Scribd Logo
Importer

Bienvenue sur Scribd !

  • IPv6 0x09 Gestion D'adresses IPv6 (IPAM)

    Transféré par

    François-Emmanuel Goffinet
    106 vues27 pages
    DNS ICMPv6, SLAAC, RA, SLAAC, NUD, DAD DHCPv6 Stateful DHCPv6 Stateless DHCP Relay DHCPv6-PD Multicast

    Titre original

    IPv6 0x09 Gestion d’adresses IPv6 (IPAM)

    Copyright

    © Attribution (BY)

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    DNS ICMPv6, SLAAC, RA, SLAAC, NUD, DAD DHCPv6 Stateful DHCPv6 Stateless DHCP Relay DHCPv6-PD Multicast

    Droits d'auteur :

    Attribution (BY)
    Signaler comme contenu inapproprié
    106 vues27 pages

    IPv6 0x09 Gestion D'adresses IPv6 (IPAM)

    Transféré par

    François-Emmanuel Goffinet
    DNS ICMPv6, SLAAC, RA, SLAAC, NUD, DAD DHCPv6 Stateful DHCPv6 Stateless DHCP Relay DHCPv6-PD Multicast

    Droits d'auteur :

    Attribution (BY)
    Signaler comme contenu inapproprié
    sur 27

    9.

    Gestion dadresses IPv6 (IPAM)


    http://www.scoop.it/t/ipv6-training/?tag=IPAM
    Franois-Emmanuel Goffinet Formateur IT 2013Q4

    goffinet@goffinet, Protocole IPv6, CC-BY

    Programme
    1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Pourquoi IPv6 ? Fondamentaux IPv6 Paquets IPv6 Reprsentations des adresses IPv6 Types dadresses IPv6 Dcouverte de voisinage et adresse automatique Plan dadressage IPv6 Routage IPv6 Gestion dadresses IPv6 (IPAM) Introduction la scurit IPv6 Manipulation de paquets Firewalling IPv6 IPSEC IPv6 Applications IPv6 Mthodes de transition
    goffinet@goffinet, Protocole IPv6, CC-BY

    Gestion dadresses IPv6 (IPAM)


    Leon 9

    goffinet@goffinet, Protocole IPv6, CC-BY

    Protocoles
    De nombreux messages de gestion sont disponibles par dfaut ou configur pour grer ladressage IPv6 :
    DNS ICMPv6, SLAAC, RA, SLAAC, NUD, DAD DHCPv6 Stateful DHCPv6 Stateless DHCP Relay DHCPv6-PD Multicast
    goffinet@goffinet, Protocole IPv6, CC-BY

    Questions techniques
    La gestion dadresses IPv6 posent plusieurs questions techniques :
    Comment distribuer un prfixe global ? Comment distribuer des options telles que le rsolveur DNS IPv6 ? Quand et comment utiliser ladressage Unique Local priv ? Identifier le trafic de gestion et profiter du multicast ? IPv6 pour renumrer de sites ?

    goffinet@goffinet, Protocole IPv6, CC-BY

    Topologies et constructeurs
    Les solutions de gestion dadressage IPv6 se dploient selon les profils et les toplogies :
    SME/PME, SOHO ou accs public Entreprise mono-site Entreprise Multi-site, core, data-center, branch office Core Internet, FAI, Gros fournisseurs de services Cisco, Microsoft, VMWare, Les services Cloud
    goffinet@goffinet, Protocole IPv6, CC-BY

    Et selon les constructeurs choisis :

    DNS IPv6
    DNS est un service accessoire au sens protocolaire (IP
    fonctionne sans DNS). Dans la pratique il est presque devenu indispensable. Contrairement DHCPv6, le fonctionnement de DNS en IPv6 a subi moins d'impacts. Un nouveau type de champs quad-A, AAAA :
    www.ipv6.ripe.net. IN AAAA 2001:610:240:22::c100:68b

    qui permet un serveur IPv4, IPv6 ou IPv4/IPv6 de rpondre des requtes AAAA.

    Dans une topologie Dual Stack, le systme


    d'exploitation ou l'application pourra avoir une prfrence pour IPv6. goffinet@goffinet, Protocole IPv6, CC-BY

    4 mthodes de configuration IPv6


    Pour une discussion sur les mthodes de configuration DNS, voir RFC 4339, IPv6 Host Configuration of DNS Server Information Approaches, J. Jeong (February 2006) Pour les avantages et les inconvnients des diffrentes mthodes : http://blog. geoff.co.uk/2011/08/02/ipv6-automated-network-configuration/ Ces quatre mthode peuvent se combiner et servir la gestion de ladressage IPv6 ainsi qu la renumrotation IPv6.
    N 1 2 3 4 Configuration Configuration statique Stateless Automatic Autoconfiguration (SLAAC) DHCPv6 (Stateful) DHCPv6 Stateless
    goffinet@goffinet, Protocole IPv6, CC-BY

    M 0 0 1 0

    O 0 0 1 1

    Router Advertisments
    Type 134, code 0 Flags M, O, Prf Options MTU et prfixe Source Address MUST be the link-local address assigned to the interface from which this message is sent. Destination Address is Typically the Source Address of an invoking Router Solicitation or the allnodes multicast address.

    0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Code | Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Cur Hop Limit |M|O|H|Prf|Resvd| Router Lifetime | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Reachable Time | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Retrans Timer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options ... +-+-+-+-+-+-+-+-+-+-+-+RFC491 mj Neighbor Discovery [RFC4861] Section 4.2 et [RFC6275] Section 7.1
    goffinet@goffinet, Protocole IPv6, CC-BY

    RA Flags
    Champs O et M :
    SLAAC AdvAutonomous Managed Configuration Address AdvManagedFlag Autre Configuration AdvOtherConfigFlag Scnario

    1 SLAAC

    0 0 1

    0 1 1

    Assignation : sans tat Passerelle : sans tat DNS : RDNSS ou autre Assignation : sans tat Passerelle : sans tat DNS : DHCPv6 Assignation : DHCPv6 Passerelle : sans tat DNS : DHCPv6

    2. Stateless DHCPv6 3 Statefull DHCPv6

    Le champs Prf donne une prfrence au routeur code sur 2 bits : 01(High), 00 (Medium par default), 11 (Low).
    goffinet@goffinet, Protocole IPv6, CC-BY

    L'autoconfiguration sans tat (SLAAC)


    Mthode obligatoire dans un environnement rout. Le routeur (RAs) donne toute une srie de paramtres : prfixe, mtu, prfrence, passerelle (Flags RA M=0
    O=0)

    et autres tels que les serveurs DNS, SIP, NTP, etc.


    (Flags RA M=0 et O=1)

    L'interface construit elle-mme son identifiant d'interface selon diffrentes mthodes.


    goffinet@goffinet, Protocole IPv6, CC-BY

    Fonctionnement de SLAAC
    1. Toute interface active en IPv6 gnre une adresse Lien Local avec le prfixe FE80::/10 suivi d'un identifiant d'interface. 2. Elle vrifie l'existence de l'adresse gnre via un mcanisme appel DAD. 3. Sans rponse, elle peut utiliser cette adresse sur le lien local. 4. Elle sollicite un routeur en multicast . 5. S'il est prsent sur le rseau, le routeur IPv6 rpond avec des paramtres de configuration globale. 6. L'interface labore son adresse globale selon ce qu'indique le routeur. Elle installe sa passerelle par dfaut. 7. Rgulirement, l'interface va vrifier l'existence des noeuds voisins appris par processus ND (NUD).
    goffinet@goffinet, Protocole IPv6, CC-BY

    SLAAC
    Le processus SLAAC peut tre examin ici.

    goffinet@goffinet, Protocole IPv6, CC-BY

    DHCPv6
    DHCPv6 est un nouveau protocole. Il utilise le port UDP numro 546 sur les clients et le port UDP numro 547 sur les serveurs. Le serveur assigne le prfixe et l'identifiant d'interface et des paramtres optionnels (DHCPv6 Stateful) : RFC 3315 Le serveur assigne seulement des paramtres optionnels (DHCPv6 Stateless) : Le serveur dlgue lassignation dun prfixe (DHCPv6 Prefix Delegation) : RFC 3633

    goffinet@goffinet, Protocole IPv6, CC-BY

    DHCPv6 et RA
    Dans tous les cas c'est le routeur qui prend en charge le trafic vers l'internet, automatiquement grce aux annonces de passerelle contenues dans les RA. Les Flags Managed et Other sont grs partir du routeur. Inutile de chercher le paramtre de la passerelle par dfaut dans rles DHCPv6 de Windows Server ou Bind9. Cisco Sytems, GNU Linux/BSD, Microsoft supportent bien ces services.

    goffinet@goffinet, Protocole IPv6, CC-BY

    DHCPv6 Stateless
    Un serveur stateless DHCPv6 :
    utilise des messages Information-request/Reply ne fournit que des informations optionnelles : serveur DNS, NTP, SIP, etc. ne donne aucune adresse, elles sont gnres par SLAAC ne maintient aucun tat dynamique des clients individuels

    Les RA flags sont nots M=0 et O=1

    goffinet@goffinet, Protocole IPv6, CC-BY

    Option DNS DHCPv6


    Sur le routeur Cisco 0xX00 : ipv6 dhcp pool IPv6_Option_pool dns-server 2001:470:20::2 ! interface fastethernet0/0 ipv6 nd other-config-flag ipv6 dhcp server IPv6_Option_pool rapidcommit

    goffinet@goffinet, Protocole IPv6, CC-BY

    DHCPv6 Stateful
    Le serveur assigne le prfixe et l'identifiant d'interface, plus des paramtres optionnels (Flags RA M=1 et O=1) Ce mode est appel DHCPv6 Stateful. Il est similaire ce que peut utilement fournir DHCP IPv4 sur un rseau administr. Maintient une base de donnes des liens. En quatre ou deux messages (rapid commit: Solicit/Reply)

    Par exemple, en admettant que l'adresse lien-local du serveur est fe80::0011:22ff:fe33:5566/64 et que l'adresse lien-local du client est fe80::aabb:ccff:fedd:eeff/64, 1. le client DHCPv6 envoie un Solicit de [fe80:: aabb:ccff:fedd:eeff]:546 [ff02::1:2]:547. 2. le serveur DHCPv6 rpond avec un Advertise (annonce) de [fe80::0011:22ff:fe33: 5566]:547 [fe80::aabb:ccff:fedd:eeff]:546.

    3. le client DHCPv6 rpond avec un Request de [fe80::aabb:ccff:fedd:eeff]:546 [ff02::1:2]: 547.

    4. le serveur DHCPv6 termine avec un Reply de [fe80::0011:22ff:fe33:5566]:547 [fe80:: aabb:ccff:fedd:eeff]:546.

    goffinet@goffinet, Protocole IPv6, CC-BY

    DUID (DHCPv6 Unique Identifier)


    Selon la section 9 du RFC3315, les serveurs DHCP utilisent les DUIDs pour identifier les clients pour la slection de paramtres et dans la slection de son IA. Un IA (Identity Association) est une collection dadresses assigns au client. Le DUID doit tre unique dans lenvironnement et il est cr par le client. Parce que certains priphriques ne peuvent pas garder en mmoire cette information, il y a trois moyens de gnrer un DUID : Ladresse de couche 2 + horodatage Vendor-assigned unique ID bas sur un Enterprise Number Ladresse de couche 2

    goffinet@goffinet, Protocole IPv6, CC-BY

    Messages DHCPv6
    1 SOLICIT 2 ADVERTISE 3 REQUEST CONFIRM RENEW REBIND 4 REPLY RELEASE DECLINE RECONFIGURE 1 INFORMATION-REQUEST RELAY-FORW RELAY-REPL

    goffinet@goffinet, Protocole IPv6, CC-BY

    DHCPv6 MS-Windows
    Adressez la machine, suivez le guide en DHCPv6 Stateful, adaptez les RA, activez lAD, crez un compte, enregistrez la machine

    goffinet@goffinet, Protocole IPv6, CC-BY

    DHCPv6 Stateful Cisco


    ipv6 dhcp pool test address prefix 2010:AA01:10::/64 lifetime infinite infinite dns-server AAAA:BBBB:10FE:100::15 dns-server 2010:AA01::15 domain-name example.com ! interface F0/0 no ip address duplex auto speed auto ipv6 address 2010:AA01:10::2/64 ipv6 dhcp server test rapid-commit ipv6 nd other-config-flag ipv6 nd managed-config-flag
    goffinet@goffinet, Protocole IPv6, CC-BY

    DHCPv6 Conclusion
    DHCPv6 est un outil puissant de configuration du rseau, conu pour des topologies mme trs larges : combin au SLAAC DHCP relay Dlgation de prfixe Pour une discussion complmentaire sur DHCPv6 : http://ipv6friday. org/blog/2011/12/dhcpv6/
    goffinet@goffinet, Protocole IPv6, CC-BY

    Outils de gestion

    goffinet@goffinet, Protocole IPv6, CC-BY

    Labs 9
    1. Capture et interprtation de trafic IPv6 avec Wireshark. http://packetlife.net/captures/protocol/ipv6/ Trafic SLAAC, trafic DNS 2. Dsactivation dIPv4 3. Configuration DHCPv6 Stateless Cisco 4. Configuration DHCPv6 Stateful Cisco 5. Configuration DHCPv6 Stateful MS-AD
    goffinet@goffinet, Protocole IPv6, CC-BY

    Quiz 9
    Quiz sur RA, SLAAC, DHCPv6, DNS

    goffinet@goffinet, Protocole IPv6, CC-BY

    Droits
    Protocole IPv6 de goffinet@goffinet.eu est mis disposition selon les termes de la licence Creative Commons Attribution 4.0 International.
    goffinet@goffinet, Protocole IPv6, CC-BY

    Vous aimerez peut-être aussi