Vous êtes sur la page 1sur 70

Etudiant : Benot DE MIANVILLE Responsable pdagogique UTT : Florent RETRAINT

Branche : SIT6 Anne : 2012

Semestre : P12

IPv6 tude et mise en uvre et scurit rseau

Ce stage s'est droul dans l'entreprise 2SI, au sein du service infrastructure; les clients de 2SI sont des PME/PMI, petites industries et groupes nationaux. Les missions du service infrastructure sont la conception et le dploiement d'architectures systmes et rseaux, l'hbergement de serveurs et d'applications et l'infogrance. Ce stage a consist analyser IPv6, dterminer les enjeux de cette technologie et prparer son dploiement, il a galement consist amliorer la scurit rseau interne et capitaliser ces savoirs. Les tapes ont consist mettre en uvre IPv6 sur un site pilote, former l'quipe technique et commerciale et aider dfinir un plan d'action commercial. Au final, un grand travail dtude a mis en vidence la ncessit dIPv6, a propos et mis en uvre des solutions permettant de donner accs des postes utilisateurs lInternet IPv6 et de rendre disponible laccs des serveurs interne en IPv4 via IPv6.

Mots cls (CF Thsaurus) Entreprise : Lieu : Responsable : 2SI SYSTEMES Soissons Stphane CANIVET Nature de lactivit : Mise en place, mise en uvre Branche dactivit conomique : Services aux entreprises Domaines technologiques : Rseaux dordinateurs Application physique directe : machines

Remerciements
Je tiens remercier trs sincrement mon maitre de stage, Stphane Canivet, qui a su ds mon premier entretien mcouter et maider construire un droulement de stage passionnant et qui a continu maccompagner tout au long du stage. Je remercie mon parrain de stage, Daniel Doulbeau, qui ma form au quotidien et ma transmis son savoir faire et sa grande exprience dans le domaine des rseaux et des systmes, tout cela avec beaucoup de bonne humeur. Je remercie chaleureusement chaque collaborateur de 2SI pour leur aide prcieuse et leur confiance. Je remercie M. Alain Crmont pour mavoir accueilli dans son entreprise et mavoir fait confiance. Enfin je remercie lquipe ducative de lUTT qui assure une qualit de formation trs pointue.

Sommaire
1 2 3 4 5 2SI .................................................................................................................................................... 1 Contexte .......................................................................................................................................... 2 Quest-ce quIPv6 ............................................................................................................................ 3 Qui va avoir besoin dIPv6 ............................................................................................................... 7 Quelles diffrences par rapport IPv4............................................................................................ 8 5.1 5.2 5.3 5.4 5.5 5.6 5.7 Adressage et notation ............................................................................................................. 8 Types dadresses...................................................................................................................... 9 Rpartition des adresses par lIANA ........................................................................................ 9 Unicast : notion de scope/porte.......................................................................................... 11 Autres types dadresse .......................................................................................................... 13 Entte .................................................................................................................................... 13 ICMP v6.................................................................................................................................. 14 Auto configuration ........................................................................................................ 15

5.7.1 5.8 5.9 5.10 6 7 8

Problme de scurit de lauto configuration....................................................................... 15 DHCP ...................................................................................................................................... 16 Scurit .................................................................................................................................. 17

2SI et IPv6 ...................................................................................................................................... 19 Planning du projet ......................................................................................................................... 20 Comment mettre en uvre IPv6 .................................................................................................. 22 8.1 Techniques les plus utilises ................................................................................................. 22 La double pile ................................................................................................................ 22 La traduction dadresses NAT-PT, NAT-64 et DNS-64 ................................................ 23

8.1.1 8.1.2 8.2 8.3 8.4

Offre des FAI .......................................................................................................................... 26 Mthodes adaptes............................................................................................................... 27 Quel matriel ......................................................................................................................... 28 Les terminaux des utilisateurs ....................................................................................... 28 Les serveurs ................................................................................................................... 28 Equipements rseau de niveau 2 (commutation) ......................................................... 29 Pare feu et routeur ........................................................................................................ 29 Translation NAT 64 ........................................................................................................ 29

8.4.1 8.4.2 8.4.3 8.4.4 8.4.5 8.5

Autres techniques.................................................................................................................. 30 Tunnels .......................................................................................................................... 30 Fournisseurs de tunnel .................................................................................................. 33

8.5.1 8.5.2

8.5.3 8.5.4 9

Autres tunnels ............................................................................................................... 33 6PE (MPLS)..................................................................................................................... 33

Ce qui a t mis en uvre ............................................................................................................. 34 9.1 9.2 Formation .............................................................................................................................. 34 Site pilote............................................................................................................................... 34 Etude de FAI proposant IPv6 ......................................................................................... 34 Etude du matriel ncessaire ........................................................................................ 35 Etapes de dploiement.................................................................................................. 35 Mise en uvre avec un tunnel IPv6 .............................................................................. 37

9.2.1 9.2.2 9.2.3 9.2.4 10 11 12 13 13.1 13.2 13.3

Critique de ce qui a t fait ....................................................................................................... 49 Conclusion ................................................................................................................................. 51 Bibliographie.............................................................................................................................. 52 Annexe ......................................................................................................................................... 1 Configuration du pare feu Cisco 1941 ..................................................................................... 1 Cisco VPN IPSec site site (sur routeur) ................................................................................. 6 Cisco NAT PT explication et mise en uvre ............................................................................ 9

IPv6 tude et mise en uvre

Benot de Mianville

1 2SI
Le groupe 2SI est un intgrateur de nouvelles technologies la porte nationale. Lexpertise est apporte dans lingnierie informatique, le conseil, la communication interactive, le e-learning et la production audiovisuelle. 120 collaborateurs sont rpartis sur 6 sites dans la France, 2SI compte 2500 clients :

Figure 1 : 2SI, 6 sites sur la France, Google Maps 2012

2 agences sont Soissons dont celle de 2SI Systmes qui comporte les services suivants : Service intgration de progiciels o Intgrateur des progiciels DIVALTO et SAGE, spcialiste des solutions pour les cabinets dexpertise comptable et dveloppement de logiciels sur mesure Service infrastructure o Conception et dploiement darchitectures systmes et rseaux o Dploiement de services rseaux (messagerie, annuaire, outils de travail collaboratif) o Hbergement de serveurs et dapplications o Infogrance

Cest dans le service infrastructure que jai effectu mon stage de fin dtude, dont je vais dcrire le contenu dans la partie suivante. 1

IPv6 tude et mise en uvre

Benot de Mianville

2 Contexte
Mon sujet de stage tait IPv6 et la scurisation des rseaux, il consistait analyser le protocole Internet de nouvelle gnration, former lquipe technique compose de 13 personnes puis aider dployer un plan daction commerciale pour accompagner les clients dans lintroduction de cette technologie, je devais galement mintresser ltude et lamlioration de la scurit rseau au sein de linfrastructure technologique interne pour ensuite proposer ces solutions prouves aux clients. Concrtement le sujet initial a t suivi et dvelopp en profondeur puisque lquipe technique a t forme au cours dune sance qui abordait IPv6 par la thorie puis par des travaux pratiques, jai assist un sminaire concernant le lancement mondial dIPv6 organis par G6 associ Neo Telecoms, Cisco, lAFNIC et lInstitut Mines-Telecom, un site pilote a t dploy et lquipe commerciale a t forme ; concernant la scurisation des rseaux, une formation a t donne lquipe technique pour consolider les bases des rseaux et de la scurit. De plus, le renouvellement du pare feu de linfrastructure rseau interne est en cours la suite dune tude technique et financire. Ma place dans le service tait celle dun ingnieur rseau et systme en apprentissage avec les autres ingnieurs, jai particip des missions techniques de maintenance et de dploiement dinfrastructure rseau et systme virtualise haute disponibilit jusqu une chelle dun systme accueillant 400 utilisateurs.

IPv6 tude et mise en uvre

Benot de Mianville

3 Quest-ce quIPv6
IPv6 Internet Protocol version 6 est un protocole qui permet deux machines de communiquer travers un rseau, en particulier le rseau Internet. Nous allons dcrire lhistoire de lancien protocole Internet puis la venue du nouveau protocole. Le berceau dInternet, Arpanet, a fait peu peu apparaitre le premier protocole Internet largement utilis en 1981 : IPv4, dcrit dans le RFC1 791. IP est un protocole de communication de bout en bout ou chaque pair est identifiable par une adresse, cette adresse est compose de quatre octets. A lorigine ces quatre octets pouvant thoriquement permettre dadresser jusqu 4 milliards dordinateurs paraissaient dmesurs tant donn que les ordinateurs pouvaient prendre lespace de pices entires et cotaient trs cher. Aujourdhui lInternet sest dmocratis en commenant par les communications inter universits puis le dveloppement de la bulle internet par les commerants, finalement lInternet est petit petit rentr dans nos foyers et depuis le dveloppement des appareils mobiles grand public pouvant accder Internet suivi de la rcente gnralisation de laccs Internet nomade par les oprateurs tlphoniques, on est arriv une moyenne de 5 priphriques connects par personne en 2010 et il est prvu en 2013 datteindre 140 priphriques connects par personne (source Forrester Research, Cisco IBSG), ce qui nous donnera raison de 7 milliards dindividus un besoin denviron 980 milliards dadresses pour les priphriques connects. Les limites du nombre dadresse IPv4 ont dj t atteintes et le dveloppement dune nouvelle version dIP (version 6) a t initie en 1992 ; la version 5 a t attribue un protocole exprimental. En attendant des palliatifs ont t mis en place notamment les masques longueur variable (VLSM) en 1993 pour arrter le gaspillage dadresses d aux masques longueur fixe, lautre palliatif utilis massivement aujourdhui est le systme de translation dadresses dont le RFC a t publi en 1994 ; la translation permet de nallouer quune adresse publique valide sur internet au routeur dune organisation, les terminaux internes tant cachs avec une adresse prive derrire le routeur. Le protocole Dynamic Host Configuration Protocol , DHCP, dont le RFC a t publi en 1993 permet dallouer dynamiquement une adresse un hte, cette technique permet aux FAI2 davoir moins dadresses IP que de clients en sachant que statistiquement tous leurs clients ne sont pas connects en mme temps. LIANA, Internet Assigned Numbers Authority est responsable de la rpartition de tous les blocs dadresses du protocole Internet, et notamment des blocs dadresses utilisables sur lInternet. LIANA nassigne pas des adresses directement aux utilisateurs mais elle assigne des blocs des registres rgionaux (RIR, Regional Internet Registry) qui eux, assignent des sous blocs dadresses aux oprateurs de tlcommunication. Ce systme de distribution est le mme pour IPv6 ; ci-dessous une carte gographique reprsentant les RIR et leurs zones gographiques.

RFC : cela signifie Request For Comments, ce sont des documents qui servent standardiser les protocoles de lInternet, ils sont accessibles ladresse suivante : http://www.ietf.org/rfc.html 2 Fournisseurs dAccs Internet

IPv6 tude et mise en uvre

Benot de Mianville

Figure 2 : Reginal Internet Registries, ripe.net

Le 1er fvrier 2011, lIANA a assign son dernier bloc dadresse aux RIR, cela ne signifie pas quil nest plus possible de rserver une adresse IP puisque les registres rgionaux ont encore des blocs disponibles pour les assigner aux FAI mais cependant le compte rebours est visible pour la pnurie dadresses IPv4. Le graphique ci-dessous montre lvolution de la distribution des adresses IPv4.

Figure 3 : Epuisement des adresses IPv4 - http://fr.wikipedia.org/wiki/Fichier:Ipv4-exhaust.svg

IPv6 tude et mise en uvre

Benot de Mianville

La pnurie totale dadresse IPv4 est prvue courant 2012 suivant le graphique ci-dessus cependant elle risque dtre quelque peu allonge. En effet, la plupart des entreprises ne sont pas encore prtes effectuer la transition vers IPv6 et des techniques sont prtes tre mises en place pour que les oprateurs aient besoin de moins dadresses IPv4 publiques grce au CGN Carrier Grade NAT. Ce dernier permet de distribuer des adresses prives v4 aux clients et deffectuer une translation chez loprateur pour que les clients puissent communiquer avec linternet ; cependant cette technique reste complexe grande chelle et non prenne. On peut voir ci-dessous un graphique reprsentant la rpartition des blocs dadresses IPv4 de lIANA ; on voit que lIANA a distribu toutes ses adresses ; noter que la partie Central Registry reprsente les adresses gres historiquement directement par lIANA et la partie not available reprsente principalement les adresses prives, les multicast et les exprimentales.

Figure 4 : rpartition des blocs dadresses IPv4 de lIANA - http://www.nro.net/statistics

Ci-dessous on voit le nombre dassignation dadresses IPv6 par les registres rgionaux aux utilisateurs finaux.

IPv6 tude et mise en uvre

Benot de Mianville

Figure 5 : IPV6 ASSIGNMENTS RIRS TO END-USERS - http://www.nro.net/statistics

On peut constater que les 5 dernires annes ont t celles qui ont connu le plus grand nombre dassignations et que cela croit de manire trs importante car de 2009 2010 on a multipli par 3,3 le nombre dassignations et de 2010 2011 on a multipli par 1,9 le nombre dassignations en passant respectivement de 180 600 et de 600 1120 assignation dadresses IPv6 par les registres. LInternet Society (ISOC) a organis le lancement dIPv6 le 6 juin 2012 (http://www.worldipv6launch.org/), partir de cette date, les FAI, les quipementiers et fabricants de matriel rseau voulant bien participer ainsi que les autres fournisseurs auront activ IPv6 de manire permanente et dfinitive sur leurs quipements3 ; des grand acteurs de lInternet tels que Google et Facebook participent cette journe ainsi que la majorit des FAI aux Etats Unis mais aussi Free en France, entre autres.

http://linuxfr.org/news/activation-mondiale-de-l-ipv6-world-ipv6-launch

IPv6 tude et mise en uvre

Benot de Mianville

4 Qui va avoir besoin dIPv6


Comme dcrit prcdemment, le nombre dadresses IPv4 disponible devient faible, aprs lpuisement du stock dadresse IPv4 de lIANA, le premier registre ressentant directement cet puisement est lAPNIC, qui gre les adresses en Asie. En effet ce jour en France il est dj plus difficile quil ya quelques annes dobtenir des adresses IPv4, il est ncessaire de fournir des informations prcises sur la raison de lutilisation des adresses et sur notre identit ; tandis que de lautre ct de la terre, en Asie, des sites, nayant pas le choix, ou tant contraints davoir trs peu dadresses IPv4, commencent dj utiliser IPv6 comme seul protocole pour se relier Internet. La demande de connectivit IPv6 va donc provenir des utilisateurs finaux, principalement des fournisseurs de contenu ayant besoin dtre prsent sur lInternet, cela se traduit par lacquisition dadresses IP. Etant donn le contexte, il ya deux cas ou on va tre oblig de dployer IPv6, le premier est celui o on veut accder des ressources disponibles uniquement via IPv6. Ainsi une entreprise multinationale ayant une entit en Asie a t oblige dutiliser IPv6 car cette dernire avait une vision long terme et misait sur ce nouveau protocole. Lautre cas est celui ou on veut prsenter du contenu des utilisateurs qui nont quIPv6, on devra rendre ce contenu accessible par IPv6. Nous nous intressons maintenant aux entits qui vont tre concernes par IPv6, les premiers acteurs, ceux sans qui le dploiement ne pourra tre ralis, ce sont les FAI et les oprateurs, cest le cur de linternet par lequel transitent toutes les communications locales, interrgionales et internationales. Un autre acteur mettre au mme niveau dans lordre de priorit pour permettre le dploiement dIPv6 regroupe les gestionnaires des plus hauts niveaux des domaines DNS, ceux-ci sont systmatiquement utiliss et font partie intgrante de lInternet. Dans un second temps, les professionnels qui ont un lien avec lhbergement des services : ceux qui dploient des services comme des sites web, ceux qui proposent des hbergements de services ou dinfrastructure devront dployer petit petit IPv6. Enfin, les particuliers et les professionnels qui veulent accder aux services disponibles sur linternet, utiliseront naturellement IPv6 car il sera utilis par dfaut par tous les FAI. Peu importe la situation dans laquelle on est parmi les cas dcrits, on nest pas oblig de dployer IPv6 ni mme de sintresser ce protocole, seulement, petit petit on risque de sisoler de linternet.

IPv6 tude et mise en uvre

Benot de Mianville

5 Quelles diffrences par rapport IPv4


5.1 Adressage et notation
Une adresse IPv6 est compose de 128 bits, (une adresse IPv4 est compose de 32 bits). On peut faire une estimation du nombre dadresse 60 000 milliards de milliards dadresses par habitant en 2012. Pour la notation, les 128 bits sont spar en huit mots par : et nots en hexadcimal. Par exemple (1) : 2000:0000:0000:0000:0000:0000:0000:0001 Ou encore (2) : fedc:0000:0000:0000:0400:a987:6543:210f Il nest pas ncessaire dcrire les zros en tte, et plusieurs champs de zros conscutifs peuvent tre abrgs par :: ; cette abrviation nest possible quune fois. Le tableau ci-dessous prsente les diffrentes notations : Notation brute Pas de zros en tte Abrviation des conscutifs Notation brute Pas de zros en tte Abrviation des conscutifs 2000 :0000:0000:0000:0000:0000:0000:0001 2000:0:0:0:0:0:0:1 zros 2000::1

Tableau 1 : notations de l'exemple 1

fedc:0000:0000:0000:0400:a987:6543:210f fedc:0:0:0:400:a987:6543:210f zros fedc::0400:a987:6543:210f

Tableau 2 : notations de l'exemple 2

Dans le cas de plusieurs suites de zros non conscutives, le RFC 4038 prvoit dabrger la suite la plus longue et, dans le cas de longueurs gales, dabrger la premire suite de zros, voyons cela dans un exemple : Notation simple Abrviation des conscutifs 2000:0:2:0:0:0:0:1 zros 2000:0:2::1

Notation simple Abrviation des conscutifs

2000:0:0:5:0:0:2001:1 zros 2000::5:0:0:2001:1

Une adresse est dcompose principalement en deux parties : la partie rseau et la partie hte, comme sur le schma ci-dessous : Adresse rseau Adresse hte

Figure 6 : Dcomposition d'une adresse

IPv6 tude et mise en uvre

Benot de Mianville

On attribue la moiti de ladresse pour le rseau et lautre moiti pour les htes, ce qui fait 64 bits pour chaque moiti. Il est aussi utile de dsigner des blocs dadresses, dans ce cas-l on donne la partie adresse rseau et un prfixe pour dire quel endroit sarrte la partie rseau. Notation du prfixe : on peut noter les prfixes des adresses IPv6 comme la notation CIDR utilise pour IPv4, cela se note de la faon suivante : adresse-ipv6/longueur-du-prfixe-en-bits. Par exemple on peut noter 2000::5:0:0:2001:1/64.

5.2 Types dadresses


On distingue trois types dadresses : unicast, anycast et multicast. Une adresse unicast dsigne une interface unique et un paquet envoy une adresse unicast sera remis une seule interface. Cidessous sont prsentes les portes des adresses unicast. Type dadresse Unicast Scope/porte Globale Locale Routable sur internet Oui Non Non

Lien Site

Tableau 3 : porte des adresses unicast

Les adresses multicast dsignent plusieurs interfaces qui peuvent tre situes nimporte o sur lInternet. Cest le rseau qui se charge dacheminer les paquets destins aux membres du groupe de ladresse multicast. Les adresses anycast, comme les multicast, dsignent plusieurs interfaces, la diffrence est que lorsque un paquet est destin une adresse anycast, il est achemin une seule des interfaces du groupe, le choix peut se baser sur la mtrique du protocole de routage. Il ny a plus dadresses de broadcast comme en IPv4, ceci allgeant du trafic inutile au sein dun segment, on se servira des adresses multicast.

5.3 Rpartition des adresses par lIANA


LIANA, Internet Assigned Numbers Authority a assign un bloc dadresses IPv6 routables sur linternet, cest le bloc Global unicast : 2000::/3. Le tableau ci-dessous montre la rpartition des adresses par lIANA :

IPv6 tude et mise en uvre

Benot de Mianville

Tableau 4 : rpartition des adresses IPv6 par l'IANA, http://www.iana.org/assignments/ipv6-address-space/ipv6address-space.xml

Ces adresses vont donc de 2000:: 200f:ffff:ffff:ffff:ffff:ffff:ffff:ffff. Ce bloc dadresses Global Unicast est ensuite rparti aux diffrents RIR, Regional Internet Registries. Nous voyons donc dans le tableau ci-dessous la rpartition des adresses Global Unicast pour les registres rgionaux :

10

IPv6 tude et mise en uvre

Benot de Mianville

Tableau 5 : rpartition des adresses Global Unicast pour les registres rgionaux, http://www.iana.org/assignments/ipv6unicast-address-assignments/ipv6-unicast-address-assignments.xml

5.4 Unicast : notion de scope/porte


Les adresses unicast sont organises en plusieurs niveaux hirarchiques selon le rfc 3587. Ces trois niveaux sont les suivants [CIZ, 2005] : 11

IPv6 tude et mise en uvre

Benot de Mianville

une topologie publique alloue par le fournisseur daccs; une topologie de site. Ce champ permet de coder les numros de sous rseau du site; un identifiant d'interface distinguant les diffrentes machines sur le lien.

On parle alors de scope global, scope site et scope local. Une adresse unicast est ainsi compose de ces scopes, voir la reprsentation ci-dessous.

Figure 7 : address format, [rfc3587]

LIANA, Internet Assigned Numbers Authority assigne des blocs dadresses aux registres rgionaux et ceux-ci rpartissent des sous-blocs dadresses aux FAI, ce sont les FAI qui dterminent le scope global (global routing prefix). Le scope site (subnet ID) est lidentifiant du sous rseau du site et le scope local (interface ID) identifie les machines au sein dun segment ; ces 64 derniers bits dune adresse peuvent tre attribus de diffrentes manires : par le systme dexploitation en utilisant ladresse MAC de la carte rseau ou de manire alatoire, en DHCP ou manuellement. Attribution avec la mthode EUI-64 : Une adresse MAC est compose de 4 mots de 12 bits nots en hexadcimal, elle est compose au total de 48 bits : Mot 1 : mot 2 : mot 3 : mot 4 Remarque : sous Windows les adresses MAC sont affiches sous la forme de 6 mots de 8 bits. On aura galement besoin de sintresser au bit U/L de ladresse MAC, cest le 7 me bit du premier octet qui indique, sil est 1 que ladresse est administre localement et sil est 0 que ladresse est gre universellement (par le biais de lIEEE qui a assign un numro unique une organisation)4. Pour construire la dernire partie de ladresse IP avec la mthode EUI-64, on rajoute au milieu de ladresse MAC 16 bits qui ont la valeur fffe : Mot 1 : mot 2 : 0xfffe : mot 3 : mot 4 Puis, on effectue le complment un du bit U/L (si cest un 1 on met 0, si cest un 0 on met 1). La structure rsultante dune adresse unicast est donc la suivante :

Figure 8 : structure d'une adresse Unicast

http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/enus/sag_ip_v6_imp_addr7.mspx?mfr=true

12

IPv6 tude et mise en uvre

Benot de Mianville

Comme expliqu dans la partie prcdente, les adresses global unicast attribues pour linstant par lIANA sont dans le bloc 2000 ::/3, on va sintresser aux trois premiers bits de ladresse car le masque est /3, on met 0x2 en binaire, cela donne 0010 et on retient les 3 premiers bits : 001 ; maintenant on sait que les adresses unicast commencent par 001 en binaire.

5.5 Autres types dadresse


Explications tires de [CIZ, 2005] Adresse indtermine

Ladresse indtermine (unspecified address) est utilise comme adresse source par un nud du rseau pendant son initialisation, avant dacqurir une adresse. Sa valeur est 0:0:0:0:0:0:0:0 (en abrg ::). Cette adresse est utilise uniquement par des protocoles dinitialisation, elle ne doit jamais tre attribue un nud et ne doit jamais apparatre comme adresse destination dun paquetIPv6. Adresse de bouclage

Ladresse de bouclage (loopback address) vaut 0:0:0:0:0:0:0:1 (en abrg ::1). Cest lquivalent de ladresse 127.0.0.1 dIPv4. Elle est utilise par un nud pour senvoyer lui-mme des paquets IPv6. Un paquet IPv6 transitant sur le rseau ne peut avoir ladresse de bouclage comme adresse source ni comme adresse destination. Adresse ipv6 mappant adresse ipv4

Ce type dadresse est utilis pour que les applications puissent utiliser les adresses IPv6 comme des adresses IPv6 et les adresses IPv4 comme des adresses IPv6, cela simplifie les applications qui fonctionnent avec deux piles IP (v4 et v6). Le format de ces adresses implique que les premiers 80 bits soient fixs zro, les 16 suivants un, 5 alors que les 32 bits restants reprsentent une adresse IPv4 .
Exemple :

Ladresse IPv6 ::ffff:c000:280 reprsente ladresse IPv4 192.0.2.128 et peut aussi tre crit sous la forme ::ffff:192.0.2.128 o la partie reprsentant ladresse IPv4 est en dcimal tandis que le reste est en hexadcimal.

5.6 Entte
Voici ci-dessous le format de lentte des paquets IPv6.

http://fr.wikipedia.org/wiki/Adresse_IPv6_mappant_IPv4 13

IPv6 tude et mise en uvre

Benot de Mianville

Figure 9 : entte IPv6 [CIZ, 2005]

La taille de lentte atteint 40 octets, le double de celui dIPv4 cependant des mcanismes ont t mis en place afin de simplifier le traitement des enttes par les routeurs : La fragmentation nest plus assure par les routeurs, dans le cas dune MTU6 trop grande, le paquet nest pas rout (transmis par le routeur) et le routeur indique lmetteur la MTU appliquer par le biais dICMP. Les options sont mises dans le champ donnes. Lidentificateur de flux permet de ne regarder que ce champ pour router ds le deuxime paquet, cest trs efficace, ctait utilis de manire artisanale avec IPv4. Cependant la faon dont les constructeurs vont lutiliser na pas encore converg. La taille des enttes est fixe.

5.7 ICMP v6
Tout comme dans IPv4, le protocole de contrle ICMPv6 permet la dtection derreurs, les tests et la configuration automatique des quipements ; la diffrence avec ICMPv4 rside dans la meilleure structuration du protocole, lintgration dARP pour IPv4 et lajout de la dtection dinaccessibilit des voisins, de la dcouverte des prfixes et de la dcouverte des paramtres. Des nouveauts ont t galement apportes au niveau de la gestion de la mobilit et de la scurisation de lchange de certains messages dauto configuration (appel SEND). Parmi les fonctions de dtection derreurs et de configuration automatique, un groupe de fonctionnalits est appel dcouverte des voisins , il permet les sous fonctions suivantes :
6

La rsolution dadresses, la dtection dinaccessibilit des voisins, la dcouverte des routeurs,

MTU Maximum Transmission Unit est la taille maximale dun paquet IP cest--dire de lentte IP et de ses donnes, il peut varier sur chaque quipement qui traite les paquets IP.

14

IPv6 tude et mise en uvre la dcouverte des prfixes, la dtection des adresses dupliques, la dcouverte des paramtres, les indications de redirection

Benot de Mianville

5.7.1 Auto configuration Il est possible avec IPv6 que le routeur annonce aux terminaux le prfixe rseau utilis pour que ceux-ci sauto-configurent. Dans ce cas un serveur (qui peut tre le routeur mais pas exclusivement) va mettre rgulirement le prfixe du rseau via le message ICMP annonce du routeur , type 134 ; ce message va indiquer si les adresses doivent tre obtenues via DHCP, si ce nest pas le cas les machines vont concatner le prfixe annonc avec leur identifiant de machine (64 derniers bits de leur adresse locale). Le message dannonce du routeur va galement indiquer la dure de vie et la dure prfre de ladresse car une interface peut avoir plusieurs adresses et le paramtre dure prfre est utile dans le cas de la transition dune adresse vers une autre, le schma ci-dessous dcrit les tats successifs dune adresse sur une interface [CIZ, 2005] :

Figure 10 : tats successifs dune adresse sur une interface

Par dfaut, Valid Lifetime (VT) = 30 jours et Prefered Lifetime (PT) = 7 jours [RFC2461]. En annexe sont prsents des exemples de configuration dauto configuration sur un routeur Cisco, une machine Linux et une machine Windows.

5.8 Problme de scurit de lauto configuration


Avec IPv4, on maitrise le processus de distribution des adresses via DHCP et si on veut on peut filtrer les messages DHCP dans les quipements de niveau 2 et galement les messages BOOTP. Avec IPv6 et la configuration sans tat, cest plus dlicat car un hte mal intentionn peut diffuser des annonces de prfixe (RA Router Advertisement) et ainsi fausser le routage. La solution ce problme peut tre dutiliser IPv6 de la mme manire quIPv4 en utilisant DHCPv6 mais cela nest pas optimal dans les trs grands rseaux et dans les rseaux trs dynamiques. En outre pour pouvoir bnficier de la configuration sans tat sans sacrifier la scurit, une autre solution est de filtrer dans les quipements de niveau 2 les annonces de prfixe RA, cela implique dinvestir dans des switchs ayant des fonctions de filtrage propres ICMPv6 comme spcifi dans le brouillon de lIETF intitul IPv6 Autoconfig Filtering on Ethernet Switches7 . Cela ajoute un facteur ngatif au dploiement dIPv6 dans les entreprises mais il faut seulement rflchir aux architectures actuelles et leurs niveaux de scurit : filtre-t-on actuellement de manire systmatique le protocole DHCP sur les ports daccs des switchs ? En loccurrence (en gnral) ce nest pas le cas donc il faut valuer les exigences de scurit du rseau avant dintroduire ce filtrage.
7

http://tools.ietf.org/html/draft-nward-ipv6-autoconfig-filtering-ethernet-00

15

IPv6 tude et mise en uvre

Benot de Mianville

5.9 DHCP
DHCPv6 est un protocole client serveur qui permet de centraliser la distribution dinformations de configuration rseau des clients. Il faut retenir que ce nest pas DHCP, le protocole de configuration avec tat ou lauto configuration sans tat qui distribue les informations de routage, cest la procdure de dcouverte des routeurs dICMPv6 qui en a la charge. Dans les changes qui seront effectus, afin que le serveur DHCP puisse identifier le client, un identifiant nomm DUID propre au client sera utilis, il est gnr par le client, cet identifiant est propre au client et non pas une de ses interfaces. Voici ci-dessous un exemple dchange dinformations entre un client et un serveur :
Machine cliente DHCPv6 Serveur DHCPv6

Sollicitation DHCP

Annonce DHCP

Requte

Rponse

Figure 11 : exemple dchange DHCPv6 classique

Le client envoie les requtes vers le port 547 et recevra les rponses par le port 546, les changes reposent sur UDP et la fiabilit est assure par le fait que le client rpte ses messages jusqu obtenir une rponse en attendant un timeout. Le client envoie en premier lieu une sollicitation vers ladresse FF02::1:2 qui est ladresse multicast de tous les agents DHCP, en effet dans le cas ou le serveur nest pas sur le mme segment que le client, on peut utiliser des relais, ladresse multicast FF02::1:2 concerne les serveurs et les relais. Le serveur rpond et le client peut faire une requte en spcifiant les options souhaites et enfin, le serveur rpond avec les options. Nous pouvons rflchir lutilit de DHCPv6 en nous basant sur le principe que IPv6 dispose de beaucoup dadresses, de tellement dadresses quil est ncessaire de changer compltement les habitudes prises avec IPv4 dconomiser des adresses, doptimiser au mieux le plan dadressage. DHCP pour IPv4 a t une des techniques utilise pour pallier la pnurie dIPv4 ; avec IPv6 lobjectif nest pas le mme, on a au sein dun plus petit sous rseau, /64 pas moins de 2^64 combinaisons dadresses possibles donc on peut envisager que les adresses distribues peuvent tre gardes de manire prenne par les clients. Si on na pas besoin de grer finement les baux dadresses, on a alors la possibilit de se dlester dun protocole avec tat comme DHCP au profit de lauto configuration sans tat ; celle-ci tait insuffisante jusqu 2010 car on ne pouvait distribuer les adresses IP des serveurs de nom de domaine, ce nest plus le cas avec le RFC 6106 qui le permet.

16

IPv6 tude et mise en uvre

Benot de Mianville

Cependant et malgr lenthousiasme des chercheurs et des professionnels rdigeant les RFC, le plus important dans la vie dune norme nest pas sa cration mais son adoption, concernant le RFC 6106 qui permet de se passer dun serveur DHCP pour diffuser les adresses IP des serveurs DNS, il nest actuellement pas support par Microsoft Windows et nest malheureusement pas lordre du jour8, selon Christopher Palmer, un professionnel de Microsoft. En ce qui concerne les implmentations de DHCP, sur Linux on a isc-dhcp, pour Windows partir de Server 2008 un serveur DHCPv6 est intgr 9 , Une solution open source Linux/Windows est disponible : dibbler10.

5.10 Scurit
Etant donn que les communications en IPv6 se (re)font de pair pair, cela signifie que tous les terminaux sont directement exposs Internet, on peut alors adapter les rgles NAT des pare feu qui sont implicitement des rgles de filtrage des rgles pour IPv6 mais cest un travail de longue haleine, on peut alors sadapter IPv6 en adoptant des FW ayant un comportement nativement adapt IPv6. En terme de scurit les implmentations actuelles dIPv6 ne sont pas suffisamment utilises pour pouvoir y dtecter des failles de scurit et les modifier rapidement, en outre le groupe The Hackers Choice propose des outils11 trs aboutis pour tester la scurit dun rseau IPv6, voici un extrait de ces outils : - parasite6: icmp neighbor solitication/advertisement spoofer, puts you as man-in-the-middle, same as ARP mitm (and parasite) - alive6: an effective alive scanng, which will detect all systems listening to this address - dnsdict6: parallized dns ipv6 dictionary bruteforcer fake_router6: announce yourself as a router on the network, with the highest priority - redir6: redirect traffic to you intelligently (man-in-the-middle) with a clever icmp6 redirect spoofer - toobig6: mtu decreaser with the same intelligence as redir6 - detect-new-ip6: detect new ip6 devices which join the network, you can run a script to automatically scan these systems etc. - dos-new-ip6: detect new ip6 devices and tell them that their chosen IP collides on the network (DOS). - trace6: very fast traceroute6 with supports ICMP6 echo request and TCP-SYN
Tableau 6 : extrait des outils thc ipv6

Les attaques qui seront ou sont probablement effectues sont dans un premier temps les mme que pour IPv4, transposes, dans le cas o lattaquant accs au LAN, il est possible une machine de se faire passer pour un routeur en rpondant aux sollicitations de routeurs ou en envoyant des annonces de routeur. La solution ce dernier type dattaque est dutiliser la version scurise du protocole de dcouverte des voisins appele SEND Secure Neighbor Discovery, celui-ci utilise des principes de cryptographie dans les adresses IP pour que deux nuds puissent sauthentifier et avoir des changes chiffrs et
8 9

http://social.technet.microsoft.com/Forums/en-US/ipv6/thread/5757980a-5983-4efc-a5f3-27687b90fe41 http://www.labo-microsoft.org/articles/IPv6_WindowsServer/3/Default.asp 10 http://klub.com.pl/dhcpv6/


11

http://thc.org/thc-ipv6/ 17

IPv6 tude et mise en uvre

Benot de Mianville

intgres entre eux ; malheureusement lheure actuelle ce protocole nest pas adopt largement par les constructeurs et les diteurs logiciels. Une autre solution consiste filtrer les messages indsirables sur les quipements de niveau 2, les switches, on peut par exemple ne pas autoriser les annonces de routeurs sur les ports daccs.

18

IPv6 tude et mise en uvre

Benot de Mianville

6 2SI et IPv6
2SI gre les rseaux, les systmes et les systmes dinformations de ses clients, dans ce rle, il est concern par les volutions ncessaires au bon fonctionnement de ces installations et notamment par la manire dont IPv6 va devoir tre dploy. Avant le dmarrage du projet IPv6 il ny avait pas dtude spcifique dj ralise, la valeur ajoute prexistant de 2SI dans ce domaine est la forte exprience des installations en IPv4 de tailles diverses, de domaine et de criticit divers, ce qui permet de prparer au mieux les cas de figures du dploiement dIPv6. Les diffrentes structures des clients vont des cabinets de taille humaine, aux industries, et aux organisations multi sites sur toute la France, les services utiliss sont en majeur partie les accs au web, la tlphonie IP et laccs des applications en mode hberg ; les services chez les clients sont des serveurs web, des serveurs dapplications, de base de donnes. Les organisations multi sites sont relies par des tunnels scuriss. Ces diffrentes structures ncessitent une attention particulire afin dtudier limpact du dploiement dIPv6 au sein des rseaux locaux, des services hbergs et dlaborer des mthodes de dploiement. Afin de conseiller au mieux ses clients dans le dploiement dIPv6, 2SI doit tudier cette nouvelle technologie, la mettre en uvre au sein de son propre rseau dans un cas simple daccs aux services dInternet et dans des cas plus complexes dhbergement de services au sein dinfrastructures complexes faisant appel la redondance et la virtualisation.

19

IPv6 tude et mise en uvre

Benot de Mianville

7 Planning du projet
IPv6 est une technologie nouvelle que ni moi ni 2SI navions dj mise en uvre dans un environnement de production, une premire phase danalyse t ncessaire pour pouvoir envisager le futur de ce projet, lobjectif court terme a donc t de me former moi-mme puis de former lquipe technique compose de 13 personnes et enfin sensibiliser lquipe commerciale. La phase danalyse ayant t concluante, nous avons pu voir plus long terme les impacts du dploiement dIPv6 et nous avons dcid de dployer un site pilote refltant les techniques ncessaires maitriser pour le dploiement dans les infrastructures des clients, ceci a conduit choisir de dployer dans une premire phase la partie rseau interne du rseau de 2SI Soissons cest--dire les postes qui ont accs Internet puis dans une seconde phase rendre accessible les services hbergs Soissons via IPv6 en commenant par un service simple comme DNS ou un site web. Le troisime temps sera consacr lutilisation des rsultats du site pilote pour mettre au point des outils de vente pour les commerciaux, des offres puis former les commerciaux. Le planning est reprsent au format Gant ci-dessous.

20

IPv6 tude et mise en uvre

Benot de Mianville

Figure 12 : planning fvrier mai 2012

Figure 13 : planning juin juillet 2012

21

IPv6 tude et mise en uvre

Benot de Mianville

8 Comment mettre en uvre IPv6


Nous allons ici aborder les manires possibles de dployer IPv6 dans les rseaux dentreprises, lobjectif est que les machines utilisateurs aient accs linternet IPv6 et que les serveurs soient accessibles via linternet IPv6. Il est possible de mettre directement IPv6 sur les machines utilisateurs et serveurs et de prendre un FAI fournissant IPv6. Cependant IPv4 est toujours dactualit et la meilleure mthode est de garder IPv4, et de rajouter sur les machines en mme temps un accs IPv6. Cela peut se faire de manire naturelle en donnant une adresse IPv6 chaque machine terminale ou bien en laissant les machines en IPv4 et en rajoutant dans le rseau un lment de translation dIPv4 vers IPv6 et dIPv6 vers IPv4 ; dans cette partie ces deux mthodes sont expliques techniquement puis un tat actuel de ce que proposent certains FAI en terme dIPv6 est dtaill. Enfin des mthodes adaptes sont tayes pour comprendre comment dployer IPv6 et pour complter, une partie dtaille les attentions avoir en ce qui concerne le matriel puis une autre partie dtaille les autres techniques de cohabitation dIPv6 avec IPv4.

8.1 Techniques les plus utilises


8.1.1 La double pile Les quipements ont la pile IPv4, comme ils lavaient auparavant mais ils ont aussi la pile IPv6, cest une solution souvent disponible pour les postes de travail et les quipements rseau. Exemple sur Windows :

Figure 14 : sortie de la commande IPconfig sur un poste Windows

La copie dcran ci-dessus nous montre la configuration IP dune machine Windows, celle-ci a une couche IPv4 avec 2 adresses et une passerelle, et une adresse IPv6, elle peut tout a fait sur la mme interface, communiquer en mme temps avec un quipement en IPv4 et un autre en IPv6. Ce type de technique est assez frquent sur les quipements terminaux comme les ordinateurs, les tablettes et les smartphones mais aussi les imprimantes ; les quipements rseaux comme les routeurs et les pare feux ont aussi une pile IPv6 en plus de la couche IPv4 qui est en moyenne moins aboutie que la couche IPv4 ce jour. Lavantage de cette technique est la possibilit davoir les deux Internet en parallle et de ne pas prsenter de complexit mettre en uvre, en effet on laisse la couche IPv4 telle quelle et on dploie la couche IPv6 qui na pas de changement fondamental dans sa mise en uvre par rapport IPv4. Linconvnient de cette technique rside dans le fait quune adresse IPv4 publique est toujours ncessaire ds lors quun hte effectue une communication qui passe par Internet, cela ne rsout 22

IPv6 tude et mise en uvre

Benot de Mianville

donc pas le problme de pnurie dadresses ; lautre inconvnient est la double charge de la configuration des routeurs la fois pour IPv4 et IPv6. 8.1.2 La traduction dadresses NAT-PT, NAT-64 et DNS-64 NAT-PT est un mcanisme qui permet un rseau uniquement IPv6 dinteragir avec des quipements IPv4 et vice versa. On utilise un boitier qui peut tre un routeur ou un ordinateur avec un logiciel spcifique, celui-ci fait correspondre des adresses IPv6 des adresses IPv4 lorsquun quipement v6 veut communiquer avec un v4. Les quipements raccords en v4 ou en v6 nont besoin daucun paramtrage particulier. Il devient donc possible de rendre accessible via IPv6 toute une infrastructure hbergeant des services bien que les services soient lorigine en IPv4 et le restent. Les communications depuis lextrieur vers linfrastructure peuvent se faire en IPv4 comme auparavant ou en IPv6 via la traduction dadresses. Il est noter que le protocole NAT-PT a t class comme dprci par le RFC 4966, dont voici les raisons : NAT-PT est considr comme un mcanisme de transition vers IPv6 et en aucun cas il ne doit limiter les possibilits de communications quoffre IPv6 ; les applications qui utilisent les adresses IP ne peuvent pas fonctionner ; dans le cas du NAT dynamique, on a moins dadresses IPv4 que dadresses IPv6 et sans une gestion fine des timeout on pourrait avoir un manque dadresses IPv4 ; il peut y avoir des pertes dinformations tant donn que des nouveaux champs sont apparus avec IPv6 comme flow label ou encore des extensions que lon ne peut pas translater comme les enttes de routage ou de mobilit ; concernant ICMPv6, il y a des nouvelles fonctionnalits, celles-ci ne sont pas rtro compatibles ; au niveau de la scurit il est possible de surcharger les mmoires qui font la correspondance avec les translations avec des attaques de dni de service ; enfin, des incompatibilits sont prsentes avec le mcanisme de DNS. Cest pour ces raisons que lIETF a choisi de classer comme dprci NAT-PT, pour viter de le dployer grande chelle en causant beaucoup dincompatibilit ; seulement il est dit que si NAT-PT est utilis dans des cas particuliers o les problmes cits ont t considrs et ne sont pas prsents, alors NAT-PT est une solution envisageable. Plus rcemment, en Avril 2011, a t publie la norme dcrivant ledit successeur de NAT-PT : NAT 64, RFC 6146. Pour mmoire, lIETF conseillait de ne pas utiliser la translation comme mcanisme de transition IPv6, la solution conseille tait dactiver IPv6 en laissant IPv4 et, petit petit, de dsactiver IPv4 ; seulement le dploiement dIPv6 a t repouss et il est maintenant trop tard pour faire une transition douce 12, la translation redevient une ncessit et NAT 64 apporte son lot de nouveauts pour corriger les dfauts de NAT-PT voqus prcdemment avec notamment DNS 64 qui apporte des nouvelles fonctionnalits et corrige des dfauts concernant le mcanisme DNS, cependant la translation reste toujours contraire lun des principes fondamentaux dIP : la communication directe de pair pair. Pour synthtiser nous avons une solution de translation qui permet des htes uniquement IPv6 de joindre des htes uniquement IPv4 et vice versa : NAT-PT. Nous avons une solution plus oriente,
12

http://www.bortzmeyer.org/6144.html

23

IPv6 tude et mise en uvre

Benot de Mianville

NAT 64 couple DNS 64 qui permet des htes uniquement IPv6 sur un site donn de joindre des htes IPv4 lextrieur de ce site, ce mcanisme est expliqu dans la partie suivante. Il faut noter que NAT-PT a t class comme dprci pour le cas prcis o on veut rendre accessibles des serveurs IPv4 via IPv6 ; on note cependant que cest tout fait utilisable moyen terme, le temps que les mthodes, les solutions et les implmentations dIPv6 se peaufinent. DNS64 permet un hte uniquement en IPv6 de communiquer avec un serveur uniquement IPv4 ; le client IPv6 interroge un serveur DNS qui lui renvoie soit : Une adresse IPv6 si la requte DNS retourne un enregistrement IPv6 Une adresse IPv6 mappant IPv4 si la requte DNS retourne seulement un enregistrement IPv4 (cest ce qui est illustr par le point a dans la figure ci-dessous)

Dans le cas o ladresse IPv6 retourne est classique, le mcanisme de translation nest pas ncessaire et les paquets peuvent tre routs classiquement. Dans le cas o une adresse IPv6 mappant IPv4 est retourne, le routeur effectuant du NAT-64 qui a t paramtr en accord avec le serveur DNS 64 ralise une translation de ladresse IPv6 vers ladresse IPv4 contenue dans ladresse IPv6 mappant IPv4 ; cette adresse est un format reconnu avec le prfixe 64:ff9b::/96 dfinit dans le RFC 6052. Au retour lquipement de translation fait lopration inverse, un exemple simple de cette communication entre un client IPv6 et un serveur IPv4 est illustr ci-dessous.

a www.orange.fr IN AAAA 64:ff9b::193.252.122.103

Serveur DNS avec DNS64 1 2 IPv6 Internet IPv6

NAT64 Internet IPv4 Client

IPv4

3
6 www.orange.fr 193.252.122.103

4 5

Figure 15 : illustration du mcanisme DNS64 et NAT-64

Nous avons donc deux solutions concrtes pour dployer IPv6 de manire rapide sans engendrer de problme grande chelle. Lavantage de ces solutions vient du fait quon na aucun paramtrage faire sur les postes clients ou sur les serveurs. 24

IPv6 tude et mise en uvre

Benot de Mianville pour le

Voici la liste des systmes dans lesquels a t introduite la fonctionnalit NAT-PT constructeur Cisco :

Figure 16 : liste des systmes dans lesquels NAT-PT a t introduit pour le constructeur Cisco

13

On peut voir quon a en premier lieu une translation simple de 1 vers 1 (une adresse IPv4 vers une adresse IPv6) au niveau de la couche IP avec le NAT-PT et que lon a galement une translation de 1 vers n (une adresse IPv6 vers n adresses IPv4) avec la version Overload o lon fait galement de la translation de ports. On a galement un serveur DNS intgr avec la version DNS ALG puis un support pour le protocole de transfert de fichier FTP et un support pour les problmes de taille de donnes utiles et de fragmentation. En ce qui concerne la norme plus rcente NAT-64 et DNS-64, Cisco ne le propose que dans des solutions de hautes performances ddies aux oprateurs, les plateformes Cisco ASR 1000 et 1001, le tableau ci-dessous dtaille les deux fonctionnalits Stateless NAT-64 et stateful NAT-64.

13

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html#wp1057128

25

IPv6 tude et mise en uvre Fonctionnalit

Benot de Mianville

Logiciel dans lequel la fonctionnalit a t Dtails introduite Stateless Network Cisco IOS XE Release 3.2S Dtails14 Address Translation 64 Stateful Network Cisco IOS XE Release 3.4S Voir Cisco Address Translation navigator15 64
Figure 17 : Disponibilit de NAT-64 sur les quipements Cisco

feature

Des solutions open source existent, deux exemples sont cits ci-dessous. Solution TAYGA Ecdysis Fonctionnalit Plateforme NAT-64 sans DNS, sans Linux translation de ports NAT-64 avec DNS-64 Linux Lien vers le site http://www.litech.org/tayga/ http://ecdysis.viagenie.ca/

Figure 18 : exemples de solutions open source NAT-64

Nous pouvons donc maintenant dresser un tableau comparatif des diffrentes solutions, jai rajout des autres solutions commerciales concurrentes Cisco. Solution Cisco ASR 100 et 1001 Cisco avec IOS 12.2(13)T et plus Equilibreur de charge A10 Networks Equilibreur de charge Big IP F5 TAYGA Ecdysis Tarif indicatif A partir de 10 000 A partir de 800 De 20 000 200 000 A partir de 1 500 Open source Open source Fonctions de translation NAT-64 stateless et stateful NAT-PT NAT-64 stateless et stateful NAT-64 stateless et stateful NAT-64 stateless NAT-64 stateless et stateful

Figure 19 : comparatif de plusieurs solutions de translation

8.2

Offre des FAI

A lheure actuelle la disponibilit du protocole IPv6 chez un FAI - Fournisseurs dAccs Internet nest pas un critre de premier plan, ce nest pas important pour les particuliers car le passage IPv6 sera transparent pour eux et a peut tre un critre de second plan pour des grandes organisations soucieuses de prparer progressivement le dploiement. Cependant il est crucial pour les FAI dtre prt fournir de la connectivit IPv6 leurs clients pour ne pas tre en retard lors du dbut de ladoption massive, cest pour cela quun FAI comme NERIM sest intress depuis 2002 cette technologie et fourni une connectivit IPv4 et IPv6 native avec un masque /48 permettant 2 16 combinaisons de sous rseaux possible : (65536), cela est inclus dans toutes ses offres DSL et fibre optique . Orange fournit galement la connectivit IPv6 pour les professionnels depuis fin 2011, le tarif est la demande et free fournit galement de la connectivit IPv6 mais noffre pas de services ddis aux professionnels comme des garanties de temps de rtablissement ou un support technique ddi. Le tableau ci-dessous prsente les offres de FAI slectionns pour leurs tarifs et leurs caractristiques diffrentes.
14 15

http://www.cisco.com/en/US/docs/ios/ios_xe/ipaddr/configuration/guide/iad_stateless_nat64_xe.html http://tools.cisco.com/ITDIT/CFN/jsp/by-feature.jsp

26

IPv6 tude et mise en uvre FAI Offre Nerim IPv4/IPv6 dans toutes ses offres Orange IPv4/IPv6 mais pas en collecte ADSL Surcot de 13 mensuel + 2000 linstallation pour une offre particulire avec un lien de secours16 Oui

Benot de Mianville Free IPv4/IPv6 en ADSL

Surcot pour IPv6

Pas de surcot

Pas de surcot

Services aux professionnels


Tableau 7 : offre IPv6 de trois FAI

Oui

Non

8.3 Mthodes adaptes


Il ny a pas de mthode unique pour russir le dploiement dIPv6, il y a des mthodes adaptes aux spcificits des infrastructures, par exemple, pour rendre disponible via IPv6 des services comme un serveur DNS, un serveur Web etc. on pourrait mettre en route la pile IPv6 de chaque serveur et tester le service mais cela demande un investissement proportionnel la taille de linfrastructure, multipli par le nombre de systmes dexploitations diffrents qui sont parfois virtuels et qui reposent sur des hyperviseurs17, on doit aussi tester chaque application et cela a un cot. Au lieu de a et sauf si on a une petite infrastructure, on peut faire appel la traduction dadresses (NAT 64) pour laisser linfrastructure en IPv4 et laisser le boitier de traduction se charger des requtes IPv6, cette solution peut tre mutualise et alors une socit de service fera fonctionner son boitier de traduction pour rendre disponible via IPv6 les services de ses clients. Outre la traduction dadresses pour les services, il faut, si possible louer ses adresses IPv6 directement au registre pour ne pas dpendre du FAI, on donnera alors nos adresses IPv6 au FAI qui se chargera de rediriger le trafic vers notre routeur, cela nest utile que dans le cas ou on a des serveurs. Pour un client nayant pas de services hbergs qui a juste besoin dun accs internet comme le web, on peut mettre en place un accs ADSL classique en IPv6/IPv4, loprateur attribuera un prfixe et si on change doprateur, on changera de prfixe mais ce nest pas important, il suffira de configurer le service router-advertisement ou DHCP pour distribuer les adresses. On pensera des FAI pour lesquels IPv6 est en place depuis quelque temps comme free ou encore Nerim si on a besoin de SDSL18 ou de garanties comme la garantie de temps de rtablissement. Pour un client ayant des petits services hbergs comme un serveur web, un serveur de mail et dautres services, le temps danalyse et de dploiement dIPv6 peut tre important et il est intressant dans ce cas dopter pour une solution de traduction dadresses mutualise. Le client ayant gnralement une partie du rseau pour laccs des utilisateurs Internet, ce rseau reprendra le schma dcrit dans le paragraphe prcdent.
16 17

Ce tarif fait rfrence une tude de faisabilit et de cot ralise notre demande par Orange. La tendance il y a quelques annes tait la virtualisation des serveurs, les machines sont alors virtuelles et sont excutes sur un systme dexploitation que lon appelle hyperviseur ; cest aujourdhui une ralit et trs rpandu jusquaux petites infrastructures qui contiennent 4 6 serveurs. 18 SDSL : ce type de liaison assure le mme dbit dans les deux sens contrairement une ligne ADSL qui a gnralement un faible dbit montant pour privilgier le fort dbit descendant ; lorsquon dit montant, cela signifie vers le FAI.

27

IPv6 tude et mise en uvre

Benot de Mianville

Pour un client ayant des moyens gros services hbergs, on peut toujours faire appel au service de traduction dadresses mutualis ou bien si on na pas envie de dpendre dun intermdiaire, on peut mettre en place une solution interne de translation NAT 64 grce un quipement ddi (routeur Cisco,), avec la translation en interne, on publiera des adresses IPv6 dsignant nos services et la situation la plus agrable de fonctionner est dobtenir des adresses IPv6 indpendantes dun FAI, cela est possible auprs du RIPE NCC comme expliqu prcdemment. La dernire variante serait de dployer intgralement IPv6 sur tous les services sans translation mais cette solution peut tre complexe et na pas t choisie par exemple par Facebook pour ses serveurs19.

8.4 Quel matriel


Dans cette partie sont dcrites selon les diffrents cas de dploiement dIPv6 les questions se poser sur le matriel informatique utiliser que ce soit les terminaux des utilisateurs, les serveurs ou les quipements rseaux. 8.4.1 Les terminaux des utilisateurs On pourra regarder la liste des quipements terminaux pour vrifier leur compatibilit IPv6, savoir : Les PC Les clients lgers Les tablettes Les Smartphones sils se connectent en Wifi

En ce qui concerne les PC il faut savoir que les systmes dexploitation suivants sont compatibles IPv6 : Windows o compatible avec manipulation partir de Windows 2000/XP o compatible nativement partir de Windows Vista/7 Mac OS o A partir de Mac OS X 10.5 Linux o noyau 2.4 compatible o noyau 2.6 conseill en production

En ce qui concerne les Smartphone, les systmes suivants sont compatibles : iPhone o partir de liOS 4 BlackBerry et android o Suivant les modles

8.4.2 Les serveurs Si on suit la mthode de dploiement avec un boitier de translation, on spargne la ncessit de grer IPv6 nativement sur les serveurs, cependant si on a besoin de serveur DHCP ou de solutions

19

Propos recueilli lors du sminaire Prparation au World IPv6 launch .

28

IPv6 tude et mise en uvre

Benot de Mianville

spcifiques, la liste ci-dessous prsente les compatibilits IPv6 des systmes dexploitation rencontrs sur les serveurs. Windows o compatible avec manipulation partir de Windows 2000/2003 o compatible nativement partir de Windows Server 2008 Linux o Compatible nativement partir du noyau 2.4, noyau 2.6 recommand en production VMWare o ESX3.5 supporte les htes en IPv6 o ESX 4.0 est compatible IPv6 avec des restrictions20 : Stockage iSCSI et NFS exprimental Pas de support de TCP Segmentation Offload (TSO) Pas de support de la fonction haute disponibilit et tolrance aux pannes o vSphere 521 o Dautres informations concrtes22

8.4.3 Equipements rseau de niveau 2 (commutation) Il ny a pas de changement pour les Switch, ceux-ci vhiculent des trames Ethernet et ils restent compatibles. La seule raison dune incompatibilit serait dans le cas o la scurit exigerait un filtrage des annonces de routeurs par les ports daccs. Le changement ncessaire peut aussi tre prsent si les Switch sont administrables par le rseau (cest souvent le cas) mais tant donn que le but est la double pile dans un premier temps, il sera toujours possible dadministrer les Switch via IPv4 (pendant longtemps). Pour les bornes Wifi, il faudra vrifier la compatibilit au cas par cas. 8.4.4 Pare feu et routeur La plupart des grands constructeurs proposent des pare feu et des routeurs compatible IPv6, il nest cependant pas vident de dire aujourdhui quels sont les meilleurs modles et ceux viter tant donn quils nont pas encore t utiliss grande chelle. Il faudra donc vrifier que les fonctions de routage requises sont bien implmentes en IPv6, les fonctionnalits de qualit de service et les possibilits de filtrage, tous les produits ne sont pas galit et seul des lectures attentives et des tests permettront dvaluer ceux-ci. 8.4.5 Translation NAT 64 Dans le cas o une translation est ncessaire, on pourra utiliser un boitier routeur / pare feu dj existant pour raliser cette fonction ou bien utiliser un quipement ddi dans le cas de grosses infrastructures, voici des exemples de constructeurs :
20

Cisco, avec ses routeurs propose la translation NAT-PT explique prcdemment ;

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=101081 2 21 https://www.vmware.com/support/vsphere5/doc/vsphere-esx-vcenter-server-50-release-notes.html 22 http://vsphere-land.com/news/ipv6-support-in-vsphere.html

29

IPv6 tude et mise en uvre

Benot de Mianville

A10 Networks propose des boitiers dquilibrage de charge pour des serveurs et galement une translation NAT-64 ; Juniper et dautres constructeurs proposent galement des routeurs avec des fonctions de translation NAT 64

8.5 Autres techniques


8.5.1 Tunnels On parle de tunnel lorsquon ralise une encapsulation anormale. Par exemple, en temps normal, les donnes utiles dun paquet IPv4 doivent tre de lUDP ou du TCP, dans le cas dun tunnel v6-in-v4 on met un protocole de niveau 3 dans un protocole de niveau 3 et on peut parler de tunnel car cest une encapsulation anormale. Dans notre cas les tunnels sont un moyen de relier deux machines avec un protocole IP version x alors quelles sont relies par un rseau IP version y. On aura donc des tunnels v6-in-v4 et v4-in-v6, ces derniers sont plus rares pour le moment, ils sont prvus dans le cas o un rseau entirement IPv6 aurait besoin daccder des ressources IPv4. Il existe des tunnels statiques et automatiques, les statiques sont configurs statiquement entre un nud et un autre tandis que les dynamiques utilisent des algorithmes qui aprs une configuration permettent dtablir un tunnel dont le nud de sortie pourra changer. Les parties suivantes dtaillent des techniques de tunnel qui peuvent tre utiles dans certains cas, cependant, les techniques de tunnel ne doivent tre envisages que lorsquune autre solution nest pas possible car ils introduisent une couche de complexit dans les couches protocolaires utilises ainsi que dans larchitecture rseau ncessaire. 8.5.1.1 Le Tunnel 6to4 Techniquement, 6to4 permet dinterconnecter des rseaux IPv6 isols en crant des tunnels automatiques qui encapsulent IPv6 dans IPv4. Grce cela, 6to4 permet deux cas de figure, il ajoute la possibilit une organisation daccder lInternet IPv6 mme si son FAI ne fournit quune connectivit IPv4 et il permet un ISP de fournir un service minimum IPv6 ses clients. 6to4 dfinit 3 types dquipements : La machine terminale 6to4, cest lutilisateur du service, celui qui a besoin dInternet v6. Le routeur de bordure, qui est connect au rseau v6 des machines terminales et au rseau v4 Internet ; cest lui qui va encapsuler les paquets v4 dans des v6. Le relais 6to4 qui permet datteindre linternet v6, son adresse doit tre connue des autres quipements (il a une adresse anycast).

Le schma ci-dessous reprsente une architecture faisant intervenir un tunnel 6to4 pour permettre un site reli par son FAI en IPv4 daccder aux ressources internet IPv6 :

30

IPv6 tude et mise en uvre

Benot de Mianville

6to4 IPv6

Internet IPv4

Internet IPv6

DNS

Routeur de bordure

FAI en v4

Relais IPv6

Internet v6

B (google.fr)

C (ipv6.google.com)

Figure 20 : tunnel 6to4

Un rseau configur en 6to4 nest pas directement reli linternet v6, en cela, en partie pour ne pas complexifier les tables de routage de linternet v6, un rseau en 6to4 doit avoir un plan dadressage en 2002 ::/16. Dans un rseau 6to4 on place ladresse IPv4 du routeur de bordure dans le prfixe de ladressage IPv6 du site, ainsi on peut donner comme exemple ladressage ci-dessous :

6to4 IPv6

Internet IPv4

Internet IPv6

2002:0f00:0001::/64 15.0.0.0/29 .1

DNS

.2

A 2002:0f00:0001::1

Routeur de bordure

FAI en v4

Relais IPv6

Internet v6

B (google.fr)

C (ipv6.google.com)

Figure 21 : adressage 6to4

A peut maintenant communiquer avec des machines IPv6 ou IPv4, pour envoyer un paquet une machine IPv6, il lui suffit de mettre ladresse IPv6 de destination finale et le routeur de bordure 31

IPv6 tude et mise en uvre

Benot de Mianville

encapsulera en IPv4 le paquet IPv6 et lenverra au relais IPv6. Pour envoyer un paquet une machine IPv4, A mettra ladresse IPv4 du destinataire dans ladresse IPv6 de la manire suivante :

Figure 22 : adresse 6to4

Lorsque A envoie un paquet avec une adresse de destination commenant par 2002 ::/16, le routeur de bordure prend les donnes et les met dans un paquet IPv4 en prenant ladresse IPv4 contenue dans ladresse 6to4 du paquet de A. Linconvnient de tunnel est lintroduction de dlais suprieurs car dans le cas dune communication entre la machine dans le rseau 6to4 et une machine dans linternet v6, la communication doit passer par le relais, il est possible doptimiser la distance entre la machine dans le rseau 6to4 et le relais mais seulement la distance entre le relais et la machine dans linternet v6 nest pas contrlable. Cest pour cette raison quon peut utiliser plusieurs relais et que ceux-ci ont une adresse anycast. Toutefois cette technique nest pas la plus optimise dans le cas ou on veut avoir des machines uniquement en IPv6 qui communique avec lInternet IPv6 et IPv4, on prfrera la solution prcdemment explique NAT-64 et DNS-64 qui est plus native pour IPv6 et optimise car lquipement de translation est toujours sur le mme site que les machines. 8.5.1.2 Tunnel Broker Le systme tunnel broker permet un rseau ou un hte isol davoir un accs IPv6 travers un rseau IPv4, le protocole TSP Tunnel Setup Protocol permet de donner des mthodes de gestion des tunnels et il dfinit plusieurs composants :

Internet IPv4

4
Tunnel server

Internet IPv6

2 3 1 Tunnel broker

Figure 23 : composants de TSP - Tunnel Setup Protocol

Dans un premier temps le client se connecte au serveur de tunnel (1), celui-ci configure le tunnel (2) puis envoie les paramtres au client (3), le client a alors ces paramtres :

32

IPv6 tude et mise en uvre

Benot de Mianville

Adresse IPv6 du client : cest le tunnel server qui fait vivre cette adresse puisque le client na pas dinterface avec une adresse IPv6. Ladresse IPv4 du tunnel server : cest ladresse laquelle le client doit envoyer ses paquets IPv6, elle correspond la sortie du tunnel ; cette adresse est souvent de type anycast pour que le client puisse joindre le serveur le plus proche.

8.5.2 Fournisseurs de tunnel Des socits proposent des solutions commerciales de tunnel pour des particuliers ou des oprateurs, il existe galement des organismes qui proposent des solutions gratuites de tunnel pour que des sites isols en IPv4 puissent avoir accs IPv6, ces solutions existent pour la plupart car elles permettent des socits de tlcommunications de se faire connaitre, voici les solutions gratuites les plus connues : Solution Hurricane Electric, oprateur tlcom, Etats-Unis Sixxs, organisme priv, Suisse Gogo6, socit de services en rseaux, Canada Type Tunnel IPv6 dans IPv4 Site http://tunnelbroker.net/ Dtails Fournit un rseau /48 Fournit un rseau /48 Fournit un logiciel simple et un rseau /56

Tunnel IPv6 dans IPv4 Tunnel IPv6 dans IPv4

http://www.sixxs.net http://www.gogo6.com/

Figure 24 : Fournisseurs de tunnels IPv6 non commerciaux

8.5.3 Autres tunnels Dautres tunnels existent notamment : ISATAP Intra-Site Automatic Tunneling Adressing Protocol qui permet de faire communiquer des machines double piles en IPv6 travers un rseau local IPv4. TEREDO - Tunneling IPv6 over UDP through NAT qui permet de fournir une connectivit IPv6 une machine isole dans un rseau IPv4 derrire un NAT et qui a un mcanisme qui permet que les flux du client TEREDO atteignent le relais TEREDO le plus proche au sens du routage. DSTM Dual Stack Transition Mechanism qui permet un rseau IPv6 daccder un rseau IPv4 suivant le modle vu pour les tunnels broker.

8.5.4 6PE (MPLS) 6PE sappuie sur MPLS Multi Protocol Label Switching pour permettre un cur de rseau MPLS dacheminer des paquets IPv6 sans en changer ses quipements. Le principe de MPLS est de commuter sur un label, si les routeurs de priphrie supportant IPv6 font correspondre une adresse IPv6 un label, le paquet avec ledit label pourra transiter via les routeurs internes qui ne regarderont que le label.

Figure 25 : exemple darchitecture MPLS

33

IPv6 tude et mise en uvre

Benot de Mianville

9 Ce qui a t mis en uvre


Aprs une phase dtude et danalyse dIPv6, la partie pratique a consist former lquipe technique, sensibiliser lquipe commerciale et lquipe dirigeante puis dployer IPv6 sur un site pilote ; puis une exprimentation avec un fournisseur de tunnel IPv6 et une solution de translation open source NAT-64 accessible depuis lInternet IPv6 a t mise en uvre, en outre des tudes de matriel, de configuration et doffres des fournisseurs daccs Internet mettent disposition un panel de solutions concrtes de dploiement dIPv6.

9.1 Formation
Lquipe technique de 2SI est compose de 13 personnes, un des objectifs du projet tait de les former IPv6, concrtement chaque personne devait avoir une connaissance globale de cette technologie, savoir pourquoi elle tait importante, quelles taient les diffrences par rapport lancienne version, connaitre le matriel et les systmes compatibles et enfin utiliser le protocole dans divers cas pratiques quils pourraient tre amens rencontrer. Une formation dune journe durant laquelle lquipe technique sest spare en 2 groupes pour assister une partie thorique puis une partie pratique avec au programme : Prsentation thorique Dmonstration des mcanismes IPv6 avec capture de trames Manipulation des outils de configuration IPv6 de Windows Mise en place du service dauto configuration avec un pare feu Cisco Mise en place de DHCPv6 avec un pare feu Cisco Utilisation dun service de tunneling IPv6 dans IPv4 et tests de connectivit avec linternet IPv6

En ce qui concerne lquipe commerciale et lquipe dirigeante, une sensibilisation sur IPv6 de 30 minutes a t mene et a permis de prsenter les points suivants : Quest-ce-quIPv6, pourquoi on en a besoin Quelles sont les solutions de dploiement dIPv6 adaptes En quoi 2SI est concern par IPv6

9.2 Site pilote


Afin de pouvoir accompagner au mieux les clients dans le dploiement dIPv6, il tait indispensable de maitriser cette technologie, la meilleure manire de la maitriser t de mettre en place un site pilote mettant en vidence la procdure et les conditions de dploiement. Le site qui a t choisi est celui du sige social de la socit qui comporte un rseau dutilisateurs qui accdent au rseau internet, aux ressources internes et un rseau comportant des serveurs accessibles depuis Internet. Dans un premier temps une tude a t ralise pour tablir dans quelles conditions et quel cot IPv6 pouvait tre dploy, cette tude ayant dmontr que le cot du matriel tait nul car englob dans le renouvellement prvu dun quipement rseau et que le cot du raccordement un FAI proposant IPv6 ne dpassait pas les 50 par mois pour un site pilote, une seconde tude dcrivant les tapes de dploiement dIPv6 a t ralise. 9.2.1 Etude de FAI proposant IPv6 34

IPv6 tude et mise en uvre

Benot de Mianville

Les FAI de 2SI ont t consults, en premier lieu Orange qui propose une offre SDSL avec un lien de secours ADSL, loffre propose un accs Internet via la double pile IPv4/IPv6 sur le lien principal SDSL avec un nouveau routeur, ils indiquent que le lien de secours est sur une collecte ADSL et non compatible avec IPv6 de leur ct ; un surcot de 13 mensuel est factur pour IPv6 et un forfait de 2000 pour linstallation et le paramtrage du routeur pouvant utiliser soit IPv4/IPv6 sur le lien principal SDSL soit utiliser IPv4 sur le lien de secours est factur. Lautre FAI de 2SI, All Telecom qui propose une connexion ADSL ne propose actuellement pas de raccordement via IPv6. Comme prsent dans la partie prcdente, Nerim et Free sont deux candidats proposant IPv6 avec pour Nerim lavantage des services ddis aux professionnels et pour Free lavantage du faible cot. 9.2.2 Etude du matriel ncessaire Afin de dployer IPv6 sur le rseau des utilisateurs et le rseau des serveurs, le pare feu actuel ncessite dtre chang par un autre modle prsentant les caractristiques suivantes : 5 interfaces Gestion des VPN site site IPSec23 Gestion de 50 VPN IPSec pour utilisateurs nomades Filtrage simple sur les couches rseau et transport Gestion de lauthentification avec Microsoft Active Directory24 Rgle de routage de qualit de service : router les flux sur une interface en se basant sur la couche transport Support dIPv6 pour le routage et le filtrage et la translation NAT 64

Etant donn que le pare feu actuel tait vieillissant son remplacement devait tre effectu indpendamment du site pilote IPv6 ; pour des questions dhomognit du parc dquipement rseau, le constructeur Cisco tait privilgi, un modle de routeur avec une licence scurit rpondant aux critres ci-dessus a t choisi. 9.2.3 Etapes de dploiement Lobjectif du dploiement est de mettre en place IPv6 dans diffrents cas de figure pour capitaliser ce savoir-faire. La premire tape du dploiement consiste remplacer le pare feu actuel et vrifier quil ait le mme comportement que lancien ; la seconde tape consiste choisir un FAI proposant un accs IPv6 ADSL et donner une adresse IPv6 aux postes du LAN interne pour quils puissent aller sur Internet ; la troisime tape consiste rendre accessible via IPv6 les services bass Soissons (on pourra commencer par le service DNS par exemple). Le pare feu qui a t choisi est un Cisco 1941 il aura un systme Cisco IOS 15 M&T se basant sur lIOS 12.4 et 12.4T, dans cette partie nous allons dcrire larchitecture existante avec le pare feu du constructeur Clavister puis nous allons dcrire les tapes techniques de configuration du pare feu Cisco qui ont, dans un premier temps, t ralises dans un environnement de simulation avec loutil

23

VPN : Virtual Private Network, technique permettant dtendre deux sous rseaux via Internet de manire scurise 24 Microsoft Active Directory : systme dannuaire inclus dans les systmes dexploitation serveurs de Windows

35

IPv6 tude et mise en uvre

Benot de Mianville

Cisco Packet Tracer sur un routeur Cisco 1841 avec un systme IOS 12.4(15)T1, les commandes sont compatibles. Le schma ci-dessous dcrit la topologie future, les plages dadresses IP sont arbitraires.

Figure 26 : topologie du rseau de Soissons

Laccs ADSL All Telecom est utilis pour la navigation web depuis le LAN interne ; laccs SDSL Orange est utilis pour des VPN IPSec site site et lhbergement de services rseaux. Avant dploiement, les fonctionnalits utilises par le pare feu Clavister sont les suivantes: La translation statique des serveurs des DMZ La translation dynamique des clients du LAN interne Les tunnels VPN IPSec site site Le policy based routing qui permet de router sur le WAN All Telecom le trafic Web du LAN interne Les rgles de filtrage Afin que le pare feu Cisco ait le mme comportement que le pare feu Clavister, les fonctions dcrites sont configurer, la configuration est dcrite tape par tape en annexe. 36

IPv6 tude et mise en uvre

Benot de Mianville

Une fois la configuration du pare feu effectue, il faut tester les fonctions pralablement dcrites et valider au bout de quelques jours que le comportement est celui escompt. On peut alors louer les services dun FAI proposant IPv6 et commencer ltape suivante : donner aux postes des utilisateurs internes un accs IPv6. Pour cela il est ncessaire de configurer les fonctions suivantes du pare feu : Configurer les adresses IP des interfaces WAN et LAN interne, Configurer une route par dfaut, Il faudra aussi configurer un serveur DHCPv6 en lui donnant la plage dadresses IP utilisable, on choisira Windows Server 2008 pour assurer cette fonction. On testera alors la connectivit des services accessibles en IPv6 comme par exemple la version IPv6 de Google accessible ladresse ipv6.google.com. Ltape la plus intressante et la plus complexe est celle du dploiement dIPv6 pour la partie hbergement de services, on choisira la translation NAT-64 qui permet de laisser les serveurs uniquement en IPv4 et de laisser le boitier de translation se charger de rpondre aux requtes IPv6 en faisant lintermdiaire en IPv4 auprs du serveur ; la fonction de translation dans notre cas sera assure par le pare feu Cisco, on choisira de translater directement un serveur grce au NAT-64 dcrit prcdemment et les tapes techniques propres au matriel Cisco sont dcrites en annexe. Une fois la translation du serveur configure, on peut tester depuis des sites extrieurs laccs au service en IPv6 pour valider la configuration ; il ne faudra pas oublier de mettre en place des mthodes de surveillance pour garantir une qualit de service en IPv6 au moins gale la qualit de service en IPv4. 9.2.4 Mise en uvre avec un tunnel IPv6 Pour acclrer la mise en uvre dIPv6, une solution exprimentale a t mise en uvre pour utiliser de manire relle les fonctionnalits IPv6, savoir donner accs aux utilisateurs IPv6 et mettre un service IPv4 disponible en IPv6, je dcris ci-dessous cette exprimentation. Larchitecture a pour but de donner accs lInternet IPv6 aux postes utilisateurs et de translater un service IPv4 pour quil soit accessible en IPv6, jai choisi dutiliser un service de tunnel pour pouvoir tre raccord rellement lInternet IPv6 plutt que dutiliser des rseaux isols, en cela nous pouvons voir plus prcisment les comportements des machines et effectuer des tests grandeur nature. Larchitecture comprend donc un routeur qui est raccord au rseau utilisateurs et qui a accs lInternet IPv4, sur ce routeur, une carte tunnel IPv6 dans IPv4 via UDP est connecte lInternet IPv6. Une adresse IPv6 fixe est attribue au routeur et un bloc dadresse /56 est attribu galement, on diffusera un de ces sous rseaux sur le rseau utilisateurs grce au service dauto configuration sans tats. En ce qui concerne laccessibilit dun serveur IPv4 translat en IPv6, nous utiliserons un service de translation NAT-64 et un serveur pilote, un serveur Web a t choisi car il est simple mettre en uvre et trs prsent parmi la plupart des services actuellement dploys sur Internet. Le dessin ci-dessous prsente larchitecture logique qui est utilise. 37

IPv6 tude et mise en uvre

Benot de Mianville

Internet IPv6

IPv6

Routeur donnant accs IPv6 Rseau utilisateurs

IPv6 IPv4 IPv6


Internet IPv4

Routeur NAT-64

IPv4
DMZ IPv4 pilote

Lgende

IPv4 IPv6

Serveur Web Protocole IP utilis

Figure 27 : architecture logique globale

Voici les caractristiques des quipements utiliss : Equipement routeur donnant accs IPv6 Routeur NAT-64 Serveur Web Description -Ordinateur avec systme dexploitation Windows 7 -Logiciel de tunnel gogo625 -Ordinateur avec systme dexploitation Linux Debian 6 -Logiciel de translation TAYGA26 -Ordinateur avec systme dexploitation Linux Debian 6 -Serveur Web Apache

Figure 28 : caractristiques des quipements utiliss

Configuration du tunnel
Pour le tunnel, nous utiliserons les services de la socit gogo6, cest une socit Canadienne pionnire qui fournit des services de conseils, de connectivit et du matriel afin de se raccorder au rseau IPv6. Ils fournissent un logiciel permettant de crer une carte rseau tunnel et offrent une adresse IPv6 publique et un bloc dadresses /56 (sachant quil y a 64 bits pour la partie rseau et 64 bits pour identifier les machines, il nous reste 8 bits dans la partie rseau ce qui laisse la possibilit de faire 256 sous rseaux), le logiciel est compatible Windows, Linux et Mac OS. La configuration du logiciel gogoclient consiste rentrer le nom dutilisateur obtenu sur le site du fournisseur, puis
25 26

http://www.gogo6.com/ http://www.litech.org/tayga/

38

IPv6 tude et mise en uvre

Benot de Mianville

configurer le logiciel pour quil se comporte en tant que routeur et quil diffuse le prfixe obtenu (cela se fait dans le fichier de configuration du programme). Voici une capture dun paquet ICMPv6 diffusant le prfixe utiliser :

Figure 29 : capture d'un paquet ICMPv6 Router Advertisement

Au cas o lordinateur ne diffuserait pas le prfixe, on peut le configurer manuellement par exemple avec Windows en tapant les commandes suivantes : >netsh >interface ipv6 //activer les annonces de routage sur cette interface, par dfaut disabled set interface interface="Connexion au rseau local" advertise=enabled //ajout d'un prfixe et publication add route interface="Connexion au rseau local" prefix=2001:05c0:1517:7e00::/64 publish=yes //loption router discovery doit tre active set interface "Connexion au rseau local" advertise=enabled //Permettre cette interface de router sur dautres interfaces set interface 11 forwarding=enabled

Dploiement dIPv6 sur les postes utilisateurs


Nous voyons dans cette partie la manire dont les postes utilisateurs accdent lInternet IPv6 ; le schma ci-dessous prsente larchitecture logique utilise.

39

IPv6 tude et mise en uvre

Benot de Mianville

Internet IPv6

2001:5c0:1400:b::cc55 Routeur donnant accs IPv6 :1 Rseau utilisateurs 2001:5c0:1517:7e00::/64

Internet IPv4

Lgende Diffusion du prfixe par auto configuration

Figure 30 : Architecture logique pour l'accs IPv6 des postes utilisateurs

Les ordinateurs qui rcuprent ce prfixe gnrent une valeur alatoire pour les 64 bits restants (pour la majorit des systmes) et construisent leurs adresses IPv6. Ils utilisent le mcanisme Duplicate Address Detection DaD qui consiste envoyer une demande ladresse choisie pour savoir si une autre machine la dj prise. Ensuite la machine envoie un message ICMP pour connaitre la passerelle ; il manque encore ladresse du serveur DNS, on rentre donc manuellement celle dun des serveurs DNS publics de Google : 2001:4860:4860::8888, on peut galement paramtrer un serveur DHCP dans Windows Server 2008 en complment de lauto configuration pour donner ladresse du serveur DNS et le domaine de rsolution de noms ; cependant cela fonctionne quand mme pour les requtes DNS grce au serveur DNS actuel qui rpond aussi pour les enregistrements IPv6. On peut vrifier sur les ordinateurs quils sont bien configurs en regardant leur configuration IP et en allant sur un site uniquement accessible via IPv6 comme ipv6.google.com. La conclusion de ce dploiement dIPv6 pour les postes utilisateurs dmontre quaucune intervention nest ncessaire sur les postes et quils accdent directement linternet IPv6, cependant il nest pas possible de se passer dIPv4 car beaucoup de services sont uniquement accessibles via ce protocole, savoir : Les serveurs de lIntranet en IPv4 ; les imprimantes et autres priphriques non compatibles IPv6 ; tous les serveurs sur lInternet seulement accessibles en IPv4 (cest la majorit des cas actuellement). 40

IPv6 tude et mise en uvre

Benot de Mianville

Une solution moyen terme est possible pour communiquer avec les serveurs de lInternet IPv4 en dsactivant lIPv4 sur les postes : on utilise le systme de translation NAT-64 coupl au DNS-64, grce cette solution les postes qui font une requte DNS vers un serveur IPv6 se voient rpondre ladresse IPv6 et les requtes pointant vers un serveur IPv4 se voient rpondre une adresse IPv6 mappant IPv4, ladresse IPv4 est inclue dans ladresse IPv6 en utilisant un prfixe particulier /96 qui se construit de cette manire : <prfixe de 96 bits> <adresse IPv4 de 32 bits> Grce ce systme, lorsquun poste voudra communiquer avec une adresse IPv4 inclue dans une adresse IPv6, lquipement de translation NAT-64 reconnaitra le prfixe et effectuera une translation des adresses en changeant les ports de niveau 4 si le mme couple adresse IP et ports sont dj utiliss. Voici un projet Open Source qui implmente ce systme dcrit dans le RFC 6146 : ecdysis27. On peut retrouver une explication28 dudit RFC.

Translation dun service


Comme expliqu prcdemment, nous avons choisi un serveur web comme serveur pilote, lobjectif ici est de mettre en uvre une translation dun service actuellement fonctionnel en IPv4 sans configurer de couche IPv6 sur ce serveur. Cest le routeur qui va faire le lien entre une adresse IPv6 pralablement configure et ladresse IPv4 du serveur, lorsque le routeur va voir arriver un paquet destination de ladresse IPv6 correspondant au serveur dans sa table de translation, il va reconstruire un nouveau paquet IPv4 et mettre ladresse destination du serveur et en adresse source une autre adresse prise dans un rseau part pour reconnaitre les communications qui sont le fruit dune translation ; cest en ralit non pas une adresse IPv6 qui est paramtre pour pointer vers un serveur IPv4 mais un prfixe /96, en effet une adresse IPv6 comportant 128 bits, un /96 laisse 32 bits de libres pour y crire une adresse IPv4, ces types dadresses sappellent adresse IPv6 mappant IPv4 et ont t dcrites dans la premire partie de ce rapport. Le dessin ci-dessous prsente larchitecture utilise.

27 28

http://ecdysis.viagenie.ca/ http://www.bortzmeyer.org/6146.html

41

IPv6 tude et mise en uvre

Benot de Mianville

Internet IPv4 Internet IPv6

2001:5c0:1400:b::cc55 Routeur donnant accs IPv6 :1 2001:5c0:1517:7e01::/64 2001:5c0:1517:7eff::/96

:2

.1 Routeur NAT-64

DMZ IPv4 pilote 192.168.2.0/24 .2

Lgende Carte tunnel IPv6 Translation NAT-64 Serveur Web

Figure 31 : Translation NAT-64 dun serveur Web IPv4

2001:5c0:1400:b::cc55 est ladresse attribue par le service de tunnel au routeur IPv6; 2001:5c0:1517:7e01::/64 est le premier sous rseau des 255 attribus par le service de tunnel, il est utilis pour linterconnexion entre le routeur IPv6 et le routeur NAT-64; 2001:5c0:1517:7eff::/64 est le dernier sous rseau attribu par le service de tunnel, il est utilis comme prfixe pour les adresses IPv6 mappant des adresses IPv4 par le routeur NAT64, on rduit ce prfixe /96 car on na seulement besoin des 32 derniers bits restants pour crire les adresses IPv4

Ci-dessous sont dcrites les tables de routages des routeurs et du serveur ainsi que la table de translation du routeur NAT-64. Destination Adresse rseau IPv4 interne
Figure 32 : Table de routage du routeur IPv6 (IPv4)

Via Passerelle IPv4 interne

Description Rseau IPv4 interne

42

IPv6 tude et mise en uvre Destination 2001:5c0:1400:b::/64 2001:5c0:1517:7e01::/64 ::/0 2001:5c0:1517:7eff::/96


Figure 33 : Table de routage du routeur IPv6 (IPv6)

Benot de Mianville Via Directement connect Directement connect 2001:5c0:1400:b::cc54 2001:5c0:1517:7e01:2 Description Interconnexion vers Internet IPv6 Interconnexion avec routeur NAT-64 Passerelle par dfaut IPv6 Prfixe NAT-64

Destination 192.168.2.0/24 192.168.255.0/24

Via Directement connect Vers carte nat64

Description Rseau DMZ Rcupration des rponses lorigine dune translation

Figure 34 : Table de routage du routeur NAT-64 (IPv4)

Destination 2001:5c0:1517:7e01::/64 ::/0 2001:5c0:1517:7eff::/96

Via Directement connect 2001:5c0:1517:7e01::1 Vers carte nat64

Description Interconnexion avec routeur IPv6 Passerelle par dfaut IPv6 Rcupration des requtes destination dune translation

Figure 35 : Table de routage du routeur NAT-64 (IPv6)

Destination 192.168.2.0/24 192.168.255.0/24

Via Directement connect 192.168.2.1

Description Rseau DMZ Envoie des rponses lorigine dune translation

Figure 36 : Table de routage du serveur (IPv4)

Prfixe IPv6 2001:5c0:1517:7eff::/96


Tableau 8 : Table de translation du routeur NAT-64

Adresse IPv4 192.168.255.0/24

Sur le dernier tableau ce nest pas vraiment une table de translation mais plutt les prfixes utiliss pour la translation, la table de translation se construira au fur et mesure des flux. Le logiciel open source TAYGA a t utilis pour la translation, il effectue une translation 1 vers 1 dune adresse IPv6 vers une adresse IPv4, il ncessite donc autant dadresses IPv4 disponibles que de requtes pouvant tre effectues dans le mme laps de temps, chelle relle il faudra combiner ce systme avec de la translation de ports pour pouvoir utiliser 1 adresse IPv4 pour n adresses IPv6, la 43

IPv6 tude et mise en uvre

Benot de Mianville

documentation de TAYGA indique quon peut utiliser le systme de filtre intgr Linux iptables combin avec loption MASQUERADE, cependant ce nest pas lobjet de cette exprimentation et dautres solutions sont possibles. A prsent nous abordons la configuration des quipements, notamment le routeur NAT-64, et le routeur IPv6 ; des points dexclamation en dbut de ligne indiqueront des commentaires. !Addresse IP carte vers NAT-64 (fournisseur d'IPv6) 2001:5c0:1517:7e01::1/64 !Route vers NAT-64 lorsque un paquet a t translat route ADD 192.168.255.0 MASK 255.255.255.0 192.168.2.1 !Route vers NAT-64 pour le prfixe NAT-64 !en invite de commande administrateur netsh interface ipv6 add route 2001:5c0:1517:7eff::/96 22 2001:5c0:1517:7e01::2 !Activer le forwarding sur les cartes rseaux netsh interface ipv6 set interface 11 forwarding=enabled set interface 22 forwarding=enabled set interface 41 forwarding=enabled
Figure 37 : Configuration du routeur IPv6

44

IPv6 tude et mise en uvre !Suppression de la configuration IPv4 ifconfig eth0 down ifconfig eth0 up ifconfig eth1 down ifconfig eth1 up !eth0 : vers routeur IPv6 ip addr add 2001:05c0:1517:7e01::2/64 dev eth0 !eth1 : vers DMZ IPv4 ip addr add 192.168.2.1/24 dev eth1

Benot de Mianville

!Tlcharger les sources de TAYGA ladresse suivante : http://www.litech.org/tayga/ !Dcompresser larchive Tar xvf <nom de larchive> !Compiler et installer TAYGA (se placer dans le rpertoire dcompress) ./configure && make && make install !Crer le dossier qui va reccueillir les tables de translation mkdir -p /var/db/tayga !Crer le fichier de configuration de TAYGA (un exemple se trouve dans le mme rpertoire) cat >/usr/local/etc/tayga.conf <<EOD tun-device nat64 ipv4-addr 192.168.255.1 prefix 2001:5c0:1517:7eff::/96 dynamic-pool 192.168.255.0/24 data-dir /var/db/tayga EOD !Crer linterface nat-64 et la configurer tayga --mktun ip link set nat64 up ip addr add 192.168.2.1 dev nat64 ip addr add 2001:5c0:1517:7e01::2 dev nat64 ip route add 192.168.255.0/24 dev nat64 ip route add 2001:5c0:1517:7eff::/96 dev nat64 !Activer le routage IPv4 et IPv6 sysctl -w net.ipv4.conf.all.forwarding=1 sysctl -w net.ipv6.conf.all.forwarding=1 !Route par dfaut vers routeur IPv6 route --inet6 add default gw 2001:5c0:1517:7e01::1 dev eth0 !Lancer TAYGA en mode debug (ou sans en enlevant loption d) tayga -d
Figure 38 : Configuration du routeur NAT-64

45

IPv6 tude et mise en uvre

Benot de Mianville

On peut maintenant faire des tests pour vrifier les communications dans chaque segment (des tests avec la commande ping), puis on peut regarder ce quaffiche le serveur Web en IPv4 depuis un navigateur, sa manire classique de fonctionner, voici une capture dcran :

Figure 39 : capture d'cran du site visualis depuis le rseau DMZ IPv4

On peut maintenant tester laccs au site depuis un pc qui a accs lInternet IPv6, voici une capture dcran :

Figure 40 : capture d'cran du site visualis depuis l'Internet IPv6

On voit que ladresse IPv6 mappant IPv4 a automatiquement t convertie en hexadcimal par le navigateur Google chrome, elle tait lorigine 2001:5c0:1517:7eff::192.168.2.1 ; on peut noter ici que la mthode pour utiliser une adresse IPv6 dans un navigateur est de la mettre entre crochet pour viter toute confusion dans le cas de la spcification dun port non standard, par exemple 8080. Dans lexemple prsent, le site a t test depuis laccs IPv6 interne mais pas derrire le routeur du fournisseur du tunnel, on peut donc vrifier le bon fonctionnement du routage et de la translation via un test en ligne comme www.subnetonline.com, voici le rsultat concluant de ce test :

46

IPv6 tude et mise en uvre

Benot de Mianville

Figure 41 : test d'accessibilit d'un port via IPv6

Voici ce quaffiche la sortie de dbogage de TAYGA :

Figure 42 : sortie de dbogage de TAYGA

On remarque que la table de translation a t remplie par 4 requtes, les machines lorigine de ces requtes correspondent au routeur NAT-64 au routeur IPv6, ainsi qua un testeur de connectivit IPv6 fourni par Hurricane Electric et SubnetOnline.com. Il ne faut pas oublier de scuriser ce systme NAT-64, lexemple ci-dessous nautorise que les flux destination dune translation pour les adresses 192.168.2.1 et 192.168.2.2 avec le pare feu ip6tables ; sinon on pourrait utiliser le routeur NAT-64 pour accder aux ressources IPv4 qui lui sont visibles.
# ip6tables -A FORWARD s ::/0 -d 2001:5c0:1517:7eff::192.168.2.1/128 -j ACCEPT # ip6tables -A FORWARD s ::/0 -d 2001:5c0:1517:7eff::192.168.2.2/128 -j ACCEPT # ip6tables -A FORWARD -d 2001:5c0:1517:7eff::/96 -j DROP

47

IPv6 tude et mise en uvre

Benot de Mianville

Pour conclure on peut dire quune architecture et des mcanismes permettant de rendre accessible un serveur uniquement IPv4 par des utilisateurs de lInternet uniquement IPv6 a t mise au point, on rajoutera pour le service comme le site web une entre DNS pointant vers ladresse IPv6 de translation. Lavantage de cette solution une fois quelle est mise en place est la rapidit de mise en service de nouvelles translations : on peut rajouter une entre DNS IPv6 pour un site et autoriser la translation dans le routeur NAT-64, on peut reproduire ce systme facilement sur un nouveau site avec la mthode prcdemment dcrite. Une mthode judicieuse qui peut tre trs intressante pour une socit de service consiste mutualiser le service de translation pour mettre en service des serveur IPv4 via IPv6 mme sils ne se trouvent pas sur le mme site gographique : en effet le routeur NAT-64 sil a accs lInternet IPv4 peut faire lintermdiaire entre un client IPv6 de lInternet et un serveur IPv4 de lInternet ; il suffit de rentrer dans le serveur DNS ladresse IPv6 de translation construite avec le prfixe de translation et ladresse IPv4 : <prfixe de translation> ::<adresse IPv4>. Par exemple si on veut rendre accessible le site www.utt.fr avec ladresse IP 193.50.230.230 pour les utilisateurs dInternet en IPv6, il suffira dindiquer dans le serveur DNS de lUTT un enregistrement IPv6 pour www.utt.fr avec comme adresse <prefixe de translation> :: 193.50.230.230. Il est possible de construire une solution passable en production grande chelle se basant sur les mmes mcanismes que ceux dcrits ci-dessus, on pourra donc prendre un routeur implmentant la fonctionnalit NAT-64.

48

IPv6 tude et mise en uvre

Benot de Mianville

10 Critique de ce qui a t fait


Le sujet dfini avant mon arrive au sein de 2SI tait IPv6 et mise en uvre et scurit renforce, il prvoyait une analyse dIPv6, des enjeux de cette nouvelle technologie : au sein de lInternet de manire macroscopique ; pour les acteurs de lInternet tels que les oprateurs et les gestionnaires de noms de domaine de haut niveau ; pour les entreprises de diffrentes tailles connectes Internet ; puis enfin, pour les concepteurs et intgrateurs de solutions rseaux, systmes et systmes dinformations comme 2SI.

Le sujet de dpart prvoyait galement de former lquipe technique IPv6 et de concevoir des mthodes de dploiement. Enfin, le sujet comportait une partie scurit renforce dont lobjectif tait damliorer la scurit rseau interne lentreprise pour pouvoir capitaliser cette expertise et la dployer chez les clients. Aprs 4 mois de stage le projet concernant IPv6 a t un succs, un document complet dcrivant de manire pdagogique IPv6 a t remis lquipe technique lissue dune formation thorique et pratique ; une formation de lquipe dirigeante et de lquipe commerciale a expliqu IPv6, ses enjeux et des mthodes concrtes de dploiement adaptes ; une procdure de dploiement dcrivant dune part de manire globale le dploiement du site pilote IPv6 et dautre part les tapes prcises de configuration dun pare feu pour illustrer dans diffrentes situations le dploiement dIPv6 a t ralise.

Etant en soutenance avance, la date de rdaction de ce rapport, le pare feu ncessaire au droulement de dploiement dIPv6 au sein du site pilote na pas encore t reu. Concernant le projet de scurit renforce, une formation dune partie de lquipe technique a t ralise pour renforcer les bases des architectures et de la scurit des rseaux dentreprise, les points suivants ont t abords : architectures rseau de niveau 2 : Ethernet et VLAN ; routage IP ; backbone de niveaux 2 et 3 ; attaques rseaux et techniques de filtrage rseau ; liaisons intersites scurises avec des VPN.

Cette formation a pu aborder de manire thorique les points suscits puis leur mise en uvre. Pour continuer sur la scurit rseau, des tudes concernant des choix de pare feu mont t confies, jai donc tudi et fourni des comparatifs de fonctionnalits et de cot en partenariat avec les fournisseurs de 2SI ; ces tudes mont permis de mettre en application le savoir faire mayant t transmis lors de mon anne en filire intgration de rseau et on t possibles grce une grande communication et beaucoup dchanges de conseils avec les ingnieurs rseau et systme de 2SI ; les conseils des experts rseau des fournisseurs de 2SI ont aussi t trs prcieux. 49

IPv6 tude et mise en uvre

Benot de Mianville

Le planning a t suivi dans ses grand axes et le grand changement a t dans la partie communication puisque les prsentations ont eu du succs et jai donc prsent IPv6 non seulement lquipe technique, lquipe commerciale et lquipe dirigeante mais aussi lquipe du service consultant en progiciel et lquipe technique de lagence communication Soissons, autre entit de 2SI. Le site pilote au quatrime mois en est son dpart dans la mise en uvre, une dmarche prventive a largement t dploye quant aux nouvelles solutions qui intgrent le support dIPv6, autant pour larchitecture interne de 2SI comme le pare feu, les bornes Wifi que pour les solutions des clients qui intgrent le critre de support dIPv6 ; cependant ltablissement dun plan daction commerciale et la formation des commerciaux nest pas entame car la demande en IPv6 nest qua son dbut puisque il est tout fait possible dignorer court terme cette technologie, les dbouchs commerciaux sont prvoir de manire significative dans les 5 ans venir. Des autre projets qui ntaient pas forcement prvus au dpart sont venus agrmenter le contenu du stage, tant donn que jai t principalement aux cts dun ingnieur jai donc particip avec lui un projet de migration darchitecture systme (annuaire, systme de fichiers, gestion des droits) Novell vers Microsoft avec une couche de virtualisation VMWare dans le nouveau systme, les points suivants ont t dvelopps : participation la conception dune architecture systme redondante ; participation la mise en uvre de systmes de sauvegarde des machines virtuelles et des donnes ; mise en place dun outil de transfert des utilisateurs de Novell vers Active Directory ; mise au point dune solution dautomatisation de lintgration des machines utilisateurs dans le nouveau systme.

Dautres projets mont galement t confis, notamment lanalyse et la rsolution dun problme de liaison VPN non fiable au cours duquel la solution existante de supervision rseau a t mise profit pour voir lvolution de la disponibilit de la liaison, finalement la configuration dun nouveau pare feu et le remplacement du matriel a t requise. Un autre projet a consist concevoir une maquette dune grappe de serveurs applicatifs puis une procdure de mise en uvre ; jai pu participer aussi la mise en production de ce systme cela ma permis dtudier les solutions de systmes haute disponibilit de Microsoft et la mise en place dune solution adapte plus de 400 utilisateurs.

50

IPv6 tude et mise en uvre

Benot de Mianville

11 Conclusion
La pnurie dadresses IPv4 de lIANA a t atteinte en 2011, cest la diffrence par rapport lan 2000 ou on parlait dj dIPv6 car lpoque on avait encore quelques annes de rpit, en 2012, lAPNIC (en Asie) est le RIR qui a le moins dadresses IPv4, ensuite cest le RIPE NCC (en Europe), donc dans les 5 ans venir nous allons avoir une utilisation croissante historique dIPv6, on a dj pu le constater ces trois dernires annes. Cest donc naturellement quIPv6 simpose comme nouveau protocole pour pouvoir faire face la croissance de lutilisation dInternet. Aujourdhui on ne se pose plus la question du besoin dIPv6 mais plutt de la faon dont on va le dployer. Une tude a donc t mene pour comprendre prcisment le besoin de ce nouveau protocole, ensuite les diffrentes mthodes de dploiement dIPv6 ont t analyses puis une mise en uvre a t effectue sur un site pilote pour donner accs Internet IPv6 des postes utilisateurs puis pour rendre disponible sur lInternet IPv6 un serveur IPv4. Une tude a mis en vidence de manire concrte comment dployer IPv6 en concordance avec le matriel, les solutions logicielles et les fournisseurs daccs Internet actuels, et des mthodes adaptes ont t dcrites. Concernant la capitalisation de ces travaux, plusieurs formations ont t effectues, la formation avance des 13 personnes constituant lquipe technique, une sensibilisation de lquipe commerciale puis de lquipe dirigeante et enfin la formation du service consultant et de lentit agence de communication de 2SI. Le travail a t effectu dans les temps, jai pu assister un sminaire prparation au lancement mondial dIPv6 organis par lAfnic, Cisco, Telecom Bretagne et Neo Telecom, ainsi qua un sminaire web organis Cisco. Jai galement pu participer des projets de dploiement dagent pour la supervision de systmes, de migration dune ferme de serveurs applicatifs et de migration dun systme informatique au service de plus de 400 utilisateurs. Finalement cest un stage trs enrichissant qui me permet de complter ma formation dingnieur rseau avec des dimensions supplmentaires dans les relations internes lentreprise et avec ses interlocuteurs, avec de la veille technologique accrue ; je remercie trs chaleureusement chaque collaborateur de 2SI et galement certains clients mais aussi les fournisseurs et autres interlocuteurs, sans qui ce stage naurait pu se drouler aussi bien.

51

IPv6 tude et mise en uvre

Benot de Mianville

12 Bibliographie
Livres
[ARC, 2012], IPv6 Principes et mise en uvre, Jean-Paul Archier, eni, 2012, 396 pages [CIZ, 2005], IPv6 Thorie et pratique, Gizle Cizault, OREILLY, 2005, 467 pages

Documents non publis


Alain Ploix, IPv6, Cours de lUTT, UTT, 2012 Samuel Guggenbuhl, Simon Baudas, Cohabitation IPv4 Ipv6, Travail dexprimentation, UTT, 2012

Sites Internet
http://c2.touta.in/?p=222, Cours et exercices IPv6 en vido, Telecom Bretagne, consult le 10/06/2012 [CIZ, 2005], http://livre.g6.asso.fr, IPv6 Thorie et pratique, G6 Association, consult le 01/06/2012, version en ligne du livre [CIZ, 2005] http://technet.microsoft.com, documentation technique des outils Microsoft, consult le 01/06/2012 http://www.debian.org/doc, documentation technique du systme dexploitation Linux Debian, consult le 01/06/2012 http://www.cisco.com/, documentation technique des quipements Cisco, consult le 01/06/2012 http://www.bortzmeyer.org/, synthse et commentaire des normes RFC, consult le 01/06/2012

52

IPv6 tude et mise en uvre

Benot de Mianville

13 Annexe
13.1 Configuration du pare feu Cisco 1941
Le pare feu Cisco a un systme IOS 15 M&T se basant sur lIOS 12.4 et 12.4T. Le paramtrage suivant a t fait sur un routeur Cisco 1841 IOS 12.4(15)T1 dans Packet Tracer dont les commandes sont compatibles ; ci-dessous est prsent le schma physique de la simulation :

Figure 43 : Schma physique de la simulation de configuration du pare feu

Sur le schma ci-dessus, une interface est utilise pour plusieurs rseaux, on la divisera en sous interfaces avec des VLAN (car au total on naura que 2 interfaces physiques). On sintresse donc la configuration du pare feu nomm sur le schma RT1.

Protocole IP
On commence par configurer le protocole IP des interfaces : ! !--On met en route linterface physique interface FastEthernet0/0 no ip address duplex auto speed auto !--seule cette ligne est intressante no shutdown ! 1

IPv6 tude et mise en uvre

Benot de Mianville

!--On cre la sous interface 0/0.20 et on dit quon va utiliser le protocole 802.1q et que les trames seront taggues avec le numro de VLAN 20 interface FastEthernet0/0.20 description VERS ALL TELECOM encapsulation dot1Q 20 ip address 200.0.0.1 255.255.255.0 ! interface FastEthernet0/0.30 description VERS LAN INTERNE encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 ! interface FastEthernet0/0.40 description VERS DMZ MAIL encapsulation dot1Q 40 ip address 192.168.40.1 255.255.255.0 ! interface FastEthernet0/0.50 description VERS DMZ WEB encapsulation dot1Q 50 ip address 192.168.50.1 255.255.255.0 ! interface FastEthernet0/1 description VERS ORANGE ip address 100.0.0.1 255.255.255.0 !

Routage statique
Maintenant on peut configurer le routage statique:

!--Route par dfaut vers Orange ip route 0.0.0.0 0.0.0.0 100.0.0.2 2

IPv6 tude et mise en uvre ! !--Route par dfaut vers All Telecom !--On le configurera plus tard avec le policy based routing !

Benot de Mianville

Translations
On configure les translations :

Translation statique du serveur WEB de DMZ Web pour que les clients dInternet puissent y accder.

! interface FastEthernet0/0.50 !--ct du serveur web on met inside ip nat inside ! interface FastEthernet0/1 !--ct de linternet (Orange) on met outside ip nat outside ! ! ! !--Seul le port 80 du serveur web est translat ip nat inside source static tcp 192.168.50.2 80 100.0.0.1 80

On fait pareil pour le serveur de mail

! interface FastEthernet0/0.40 ip nat inside ! !-- Par contre on met le port SMTP 25 3

IPv6 tude et mise en uvre ip nat inside source static tcp 192.168.40.2 25 100.0.0.1 25 ! !-- Puis le port POP3 110 ip nat inside source static tcp 192.168.40.2 110 100.0.0.1 110

Benot de Mianville

Maintenant on va configurer la translation dynamique du LAN interne vers All Telecom Remarque : on pourrait aussi configurer une translation dynamique vers le WAN orange pour les flux autres que le web.

Interface fa0/0.30 !-L'interface LAN interne est "inside" ip nat inside ! interface FastEthernet0/0.20 !--ct de linternet (All telecom) on met outside ip nat outside ! !--Les flux du LAN interne seront translats sils passent par l'interface vers All Telecom !--Overload indique qu'on fait du PAT : si plusieurs flux ont le mme identifiant de connexion!---alors on change le port source ip nat inside source list 1 interface fa0/0.20 overload ! !--On dsigne les flux provenant du LAN interne access-list 1 permit 192.168.30.0 0.0.0.255

Policy based routing


Maintenant on va configurer le policy based routing pour que les flux du LAN interne aillent vers le WAN All Telecom. Voici la documentation29 pour cette fonctionnalit.

29

http://www.cisco.com/en/US/docs/ios/12_0/qos/configuration/guide/qcpolicy.html

IPv6 tude et mise en uvre

Benot de Mianville

Policy based routing est une fonctionnalit de qualit de service non prsente dans le logiciel de simulation packet tracer, nous allons cependant dcrire les tapes la mise en uvre sans les tester : Attention ! Les flux web doivent passer en priorit par le WAN ADSL All Telecom mais si celui est en panne, ils doivent passer par le lien WAN SDSL Orange.

!--On met le routeur en mode de configuration route map route map flux-web permit 10 ! !-Le routage se basera sur les flux web (dcrit plus bas dans l'acl) match ip address 101 ! !--On met l'interface de sortie, ici vers All Telecom set interface fa0/0.20 ! Interface fa0/0.30 !--On indique que le routage est appliquer sur l'interface LAN interne ip policy route-map flux-web ! !--Access List qui dsigne les flux Web du LAN interne vers n'importe quel serveur web !--Attention, cela peut poser problme si le LAN interne veut accder un serveur web de la DMZ access-list 101 permit tcp 192.168.30.0 0.0.0.255 any eq www

Pour continuer quand mme notre simulation, on va ajouter une route vers un seul serveur web qui est accessible via la ligne All Telecom : !--Pour atteindre le rseau du serveur Web connect All Telecom, on passe par le routeur de All Telecom ip route 200.10.0.0 255.255.255.0 200.0.0.2

VPN site site


Cette partie tant plus complexe, je recommande de lire la partie suivante prvue cet effet. Aprs avoir suivi les instructions du document prcdent, cela ne devrait pas fonctionner, en effet laccess-list utilise pour la translation dynamique pour aller sur le web tant la suivante : 5

IPv6 tude et mise en uvre access-list 1 permit 192.168.30.0 0.0.0.255

Benot de Mianville

De plus, les flux allant du LAN interne vers Orange (le flux chiffr du VPN); passent dune interface inside une interface outside (pour la translation dynamique et statique on a d faire comme a); ce qui a pour consquence que le routeur effectue une translation dynamique des flux devant aller dans le VPN. On va donc modifier laccess-list de la translation dynamique pour quelle ne matche pas les flux du VPN et matche les autres flux : On supprime lacl 1: no access-list 1 On cre lacl tendue 102 : access-list 102 deny ip 192.168.30.0 0.0.0.255 192.168.60.0 0.0.0.255 access-list 102 permit ip 192.168.30.0 0.0.0.255 any On modifie la translation dynamique pour lui dire de se baser sur lacl 102 et non plus la 1 : no ip nat inside source list 1 interface FastEthernet0/0.20 overload ip nat inside source list 102 interface FastEthernet0/0.20 overload A prsent les flux devant passer dans le VPN le sont (on peut voir en mode simulation ltablissement des tunnels ISAKMP puis IPSec) et la translation dynamique est effective.

13.2 Cisco VPN IPSec site site (sur routeur)


Lobjectif de ce document est de comprendre la configuration de VPN site site avec cl partage sur un routeur Cisco en ligne de commande et daborder une mise en uvre rapide. 1. Dfinir les paramtres pour la phase 1 IKE (tunnel ISAKMP) 2. Dfinir les paramtres pour la phase 2 IKE (tunnel IPSec) 3. Crer une ACL pour identifier le trafic intressant 4. Crer une crypto map et lappliquer linterface approprie 5. En option, crer une ACL pour bloquer le trafic non intressant

Exemple
Nous utiliserons le logiciel de simulation Packet Tracer avec des routeurs Cisco 2811 IOS 12.4(15)T1; on pourra trs bien reprendre cet exemple pour des autres routeurs. Le schma rseau est prsent ci-dessous.

IPv6 tude et mise en uvre

Benot de Mianville

Figure 44 : Rseau exemple pour les VPN site site

Pr-requis : Il faut que les routeurs puissent communiquer entre eux, ici cest directement, a peut aussi tre via Internet. Sur chaque routeur, tapez les commandes suivantes :

crypto isakmp policy 1 authentication pre-share hash sha encryption aes 128 group 2 lifetime 86400 exit

crypto isakmp key cisco address <rt distant>

crypto ipsec transform-set myset esp-aes esp-sha

access-list 101 permit ip SRC MASK DST MASK crypto map mymap 10 ipsec-isakmp set peer <rt distant> 7

IPv6 tude et mise en uvre match address 101 set transform-set myset exit int faxxx crypto map mymap

Benot de Mianville

Pour exemple, voici la configuration du routeur0 ( gauche) :

! crypto isakmp policy 1 encr aes 128 authentication pre-share group 2 ! crypto isakmp key cisco address 11.0.0.2 ! ! crypto ipsec transform-set myset esp-aes esp-sha-hmac ! crypto map mymap 10 ipsec-isakmp set peer 11.0.0.2 set transform-set myset match address 101 ! ! ! ! ! ! 8

IPv6 tude et mise en uvre ! ! ! interface FastEthernet0/0 ip address 10.0.0.1 255.0.0.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 11.0.0.1 255.0.0.0 duplex auto speed auto crypto map mymap ! ip classless ip route 12.0.0.0 255.0.0.0 11.0.0.2 ! ! access-list 101 permit ip 10.0.0.0 0.255.255.255 12.0.0.0 0.255.255.255 ! ! end

Benot de Mianville

Sources
http://www.youtube.com/watch?v=Ug1yD8Ov_00&feature=related https://learningnetwork.cisco.com/docs/DOC-10756

13.3 Cisco NAT PT explication et mise en uvre


NAT-PT de Cisco est un mcanisme qui permet des htes excutant IPv6 uniquement de communiquer avec des htes excutant IPv4 uniquement et vice versa. Il permet un dploiement vers IPv6 dans une phase de transition o les deux protocoles sont encore ncessaires. Il existe des variantes de NAT-PT, elles sont expliques ci-dessous. 9

IPv6 tude et mise en uvre

Benot de Mianville

Static NAT-PT
Static NAT-PT est utile lorsquun hte en IPv4 communique avec un autre hte accessible en IPv6 ou vice versa, cest statique car il faudra configurer une nouvelle translation pour chaque nouvel hte qui voudra communiquer.

Dynamic NAT-PT
Avec Dynamic NAT-PT, on peut faire des translations de N machines IPv4 only vers une machine IPv6 only ou linverse, les N machines auront alors aprs translation une adresse translate choisie dans un pool, ce pool est configurer et on aura autant de sessions concurrentes possibles quil y aura dadresses dans le pool.

Port Address Translation ou Overload


LOverlad permet de faire communiquer diffrents htes IPv4 vers un hte IPv6 et tous utiliseront une seule adresse translate IPv6, le port TCP ou UDP sera chang si ncessaire pour permettre des sessions concurrentes, on peut aussi utiliser un pool dadresses. Cette solution peut tre utilise linverse pour faire communiquer plusieurs htes IPv6 vers un hte IPv4 comme le cas dun serveur IPv4 que lon rend accessible aux clients IPv6.

Adresses IPv6 mappant IPv4


Ce cas de figure est utile pour donner accs un rseau uniquement IPv6 un rseau IPv4; les clients IPv6, pour joindre des htes IPv4, utiliseront des adresses IPv6 qui contiendront une adresse IPv4 (cest un format standard dfinit par lIETF). Lorsque le routeur dtectera une adresse IPv6 mappant IPv4, il vrifiera quune rgle est associe et extraira ladresse IPv4 destination pour refaire un nouveau paquet IPv4 et lenvoyer.

Cas concret : mise en service IPv6 dun serveur uniquement IPv4


On a un serveur DNS dans une DMZ qui est en IPv4 et qui va y rester. Les clients de linternet aimeraient accder ce serveur DNS via IPv6. On configure le routeur RT1 pour quil rende disponible le service DNS via une adresse IPv6, a peut tre une adresse dun sous rseau attribu par le FAI ou le RIPE NCC. Dans le cas prsent dans le schma ci-dessous, On simule un client de lInternet avec un poste derrire le routeur RT0. Les client pourront joindre le serveur DNS en IPv6 avec ladresse 2001:db8::2. Le serveur DNS croira quon lui fait des requtes partir du pool dadresses 10.21.8.1 10.21.8.10. Ci-dessous on peut voir Le schma de larchitecture La configuration du routeur RT1 La configuration du routeur RT0

10

IPv6 tude et mise en uvre

Benot de Mianville

__________________ RT1 ! !------COTE IPv4 (DMZ)-----interface FastEthernet0/0 ! !--adresse ipv4 ip address 192.168.30.9 255.255.255.0 duplex auto speed auto ! !--On doit mettre obligatoirement ipv6 nat sur les interfaces inbound et outbound ipv6 nat ! 11

IPv6 tude et mise en uvre !--Allumer l'interface! no sh

Benot de Mianville

!------COTE IPv6 (FAI/INTERNET)-----interface FastEthernet0/1 no ip address duplex auto speed auto ! !--adresse ipv6 ipv6 address 2001:DB8:BBBB:1::9/64

!--ipv6 enable : juste pour activer ipv6 ipv6 enable ! !--On doit mettre obligatoirement ipv6 nat sur les interfaces inbound et outbound ipv6 nat ! !--Allumer l'interface! no sh ! !------TRANSLATIONS-----!--Route par dfaut pour renvoyer vers RT0 ipv6 route ::/0 2001:db8:bbbb:1::8 ! !--On rend disponible le serveur DNS avec une adresse ipv6 ipv6 nat v4v6 source 192.168.30.1 2001:DB8::2 ! !--On dfinit un pool (en lien avec la ligne suivante) ipv6 nat v6v4 pool v4pool 10.21.8.1 10.21.8.10 prefix-length 24 12

IPv6 tude et mise en uvre !

Benot de Mianville

!--On dit que les connexions entrantes en ipv6 dcrites par l'acl ci-dessous seront translates vers un pool d'adresses ipv4 ipv6 nat v6v4 source list pt-list1 pool v4pool ! !--On spcifie que si une adresse destination correspond au prfixe ci-dessous, on fait!--la translation ipv6 nat prefix 2001:DB8::/96 ! !--Ca dsigne toutes les connexions entrantes de l'internet qui vont vers l'adresse IPv6 du serveur DNS ipv6 access-list pt-list1 permit ipv6 any host 2001:DB8::2 !

____________ RT0 ! int fa0/0 ipv6 address 2001:db8:bbbb:1::8/64 ipv6 enable no sh int fa0/1 ipv6 address 2010:db8:bbbb:1::9/64 ipv6 enable no sh ! ipv6 route ::/0 2001:db8:bbbb:1::9

13