Vous êtes sur la page 1sur 284

Mukom Akong T.

| @perfexcellent
@AFRINICtraining

#IPv6 #<ville> #<pays>


Suivez nous sur Twitter
EXERCICE
Donner une phrase
à laquelle vous associerez IPv6
Ecrire une question
EXERCICE
QUI VOUS TARAUDE
sur IPv6
AGENDA
L’épuisement d’IPv4
et ses implications 1
2 Les Adresses IPv6
notation, compressions

Les Types d’Adr. IPv6


LLA | GUA | ULA etc 3
4 Configuration
hôtes et routeurs
IPv6 vs IPv4
comparaison des fonctions clés 5
6 Plan d’Adressage
FAIs, campus, entreprises

Neighbor Discovery
et ses usages 7
8 Attribution d’`Adr.
SLAAC, DHCPv6, DHCP-PD
Routage de base IPv6
statique & OSPFv3 9
10 Tech. de Transition
les scenarios

Tech. de Transition
11
dual stack, tunnels, NAT64

FIN
Les Prérequis

§ Concepts fondamentaux de réseaux


§ Les modèles OSI et TCP/IP
§ Adressage IPv4, les sous-réseaux, VLSM, CIDR
§ Routage et forwarding
§ Expérience de configuration et de support d’un réseau IPv4
§ Configuration d’hôte (Windows, Linux, Unix, etc)
§ L'usage d'applications TCP/IP: ping, traceroute, telnet
§ Expérience d’usage des CLIs (Cisco IOS, JUNOS, Linux/Unix)

learn.afrinic.net | slide 9
Comprendre

les Implications de l’épuisement d’IPv4


Objectifs de la Section
⫞ Décrire la situation mondiale de l’usage des adresses IPv4
⫞ Décrire les implications de l’épuisement d’IPv4
Chronologie, Implications, Conséquences
IPv4 disponible chez IANA au 16.06.2010

Utilisé

Disponible

Inutilisable

learn.afrinic.net | slide 12
IPv4 disponible chez IANA au 31.01.2011

Utilisé

Disponible

Inutilisable

learn.afrinic.net | slide 13
La distribution globale des adresses IPv4 est déséquilibrée

Nombre d’adresses IPv4 par personne


learn.afrinic.net | slide 14
La chronologie de l’épuisement globale d’IPv4

RIPE NCC

AFRINIC
LACNIC
APNIC
IANA

ARIN
3 Feb 19 Avr 14 Sep 10 Jun 24 Sep 2017
2011 2011 2012 2014 2015

learn.afrinic.net | slide 15
La pénurie augmente les coûts des adresses & le NAT

Réseau complexe

$12
Augmentation d’OPEX

/adresse
NAT Casse le end-to-end

Paralyse l'innovation

learn.afrinic.net | slide 16
Implications pour l'Afrique: ‘Ruée vers l’Afrique’
§ Les réseaux Africains sont
privées d’IPv4 nécessaire
pour faciliter la transition vers
IPv6

§ Obligation de déployer des


réseaux entièrement IPv6

§ Augmentation de l’usage du
NAT
learn.afrinic.net | slide 17
Comment allez-vous gérer l’épuisement d’IPv4?

Attendons de voir

Déployer IPv6 Déployer le NAT à jamais


IPv6 – la seule réponse durable à l'épuisement

IPv6

IPv6? Pas de
panique, AFRINIC
aura encore des
adresses IPv4
jusqu’en 2018

learn.afrinic.net | slide 19
R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
Initiation aux

Adresses IPv6
Objectifs de la Section
⫞ Travaillez confortablement avec la notation hexadécimale d’IPv6
⫞ Identifier, écrire et raccourcir les adresses IPv6
L’épuisement d’IPv4
et ses implications 1
2 Les Adresses IPv6
notation, compressions

Les Types d’Adr. IPv6


LLA | GUA | ULA etc 3
4 Configuration
hôtes et routeurs
Rappel: Modèle TCP/IP (IPv4 – 32 bits)
APPLICATION
DNS HTTP IMAP SMTP POP NFS

TRANSPORT
TCP UDP

NETWORK
IPv4 ICMP IGMP IPSec NAT OSPF IS-IS mob. IP

DATA LINK
Ethernet et al NBMA ATM 3GPP
learn.afrinic.net | slide 23
Modèle TCP/IP (IPv6 – 128 bits)
APPLICATION
DNS HTTP IMAP SMTP POP NFS

TRANSPORT
TCP UDP

NETWORK
IPv6 ICMPv6 MLD IPSec ND OSPFv3 IS-IS mob. IP

DATA LINK
Ethernet et al NBMA ATM 3GPP
learn.afrinic.net | slide 24
Comment écrire les adresses IPv6 (1/2)

0010000000000001 0100001010010000
0000000000010000 0000001001001001
1011101011101000 0101011011111111
1111111001001010 1110110011111110

128 bits
learn.afrinic.net | slide 25
Comment écrire les adresses IPv6 (2/2)
128 bits

32 quartets

hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh/n
§ h = Caractère hexadécimal (hexit) [0 – 9, a – f]
§ n = taille préfixe: valeur en décimale
learn.afrinic.net | slide 26
Exemple d’une adresse IPv6 entière
0010000000000001 0100001010010000 0000000000010000 0000001001001001

2001:4290:0010:0249:bae8:56ff:fe4a:ecfe

1011101011101000 0101011011111111 1111111001001010 1110110011111110

learn.afrinic.net | slide 27
Les règles pour raccourcir les adresses IPv6

1
La Suppression de Zéros

Omettre tous les zéros de POIDS FORTS

2La Compression de Zéros

Substituer des groupes CONSÉCUTIFS de zéros par ‘::’

learn.afrinic.net | slide 28
Exemple: Raccourcir une adresse IPv6

2001:0000:0000:0249:0000:0000:0000:ecfe

Compression de Zero Suppression de Zero

2001::249:0:0:0:ecfe
learn.afrinic.net | slide 29
Exemple: Raccourcir une adresse IPv6

2001:0000:0000:0249:0000:0000:0000:ecfe

Suppression de Zero Compression de Zero

2001:0:0:249::ecfe
learn.afrinic.net | slide 30
MAUVAIS! raccourcissement d’une adresses IPv6

2001:0000:0000:0249:0000:0000:0000:ecfe

La règle de Compression de Zéros La règle de Compression de Zéros

2001::249::ecfe
learn.afrinic.net | slide 31
Raccourcir ces adresses

a) 2001:0db8:0000:0000:0008:0800:200C:417a
b) ff01:0000:0000:0000:0000:0000:0000:0101
c) 0000:0000:0000:0000:0000:0000:0000:0001
d) 0000:0000:0000:0000:0000:0000:0000:0000
QUIZ
learn.afrinic.net | slide 32
R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
Comprendre les

Types D’Adresses IPv6


Objectifs de la Section
⫞ Identifier les différents types d’adresses IPv6
⫞ Décrire la structure et les scopes de ces adresses
L’épuisement d’IPv4
et ses implications 1
2 Les Adresses IPv6
notation, compressions

Les Types d’Adr. IPv6


LLA | GUA | ULA etc 3
4 Configuration
hôtes et routeurs
Il existe 3 types d'adresses IPv6
1:1 1:n 1:plus proche
Les adresses Unicast Les adresses Multicast Les adresses Anycast
Tx Tx Rx

Tx

Rx Rx Rx Rx Rx Rx

Il n'y a pas d’adresses (ou communications) broadcast dans IPv6


learn.afrinic.net | slide 36
le scope d’un adresse est son domaine d’unicité
Scope global Scope Lien-local

Selon le scope, une adresse peut être utilisée comme un


identifiant unique d’une interface
learn.afrinic.net | slide 37
Les Adresses Unicast Globales (GUA)

Partie ‘Réseau’ Partie ‘Hôte’

n bits 64 - n bits 64 bits

Préfixe de Routage Globale ID Réseau ID d’Interface

Ex: 2001:4290:10:249:bae8:56ff:fe4a:ecfe
learn.afrinic.net | slide 38
Les adresses Link-local (LLA)

10 bits 54 bits 64 bits

1111111010 0 ID d’Interface

fe80

Ex: fe80:0000:0000:0000:bae8:56ff:fe4a:ecfe
learn.afrinic.net | slide 39
L’accessibilité des adresses Lien-local et le scopeID

fe80::1 fe80::3
fe80::1a fe80::1b
Fe 0/0 Fe 0/1
fe80::2 fe80::4

ping fe80::1
§ Par quelle interface le routeur enverra t-il ce paquet?
§ Vous devez explicitement spécifier l'interface de sortie
learn.afrinic.net | slide 40
Résoudre l’ambiguïté des LLA avec les scopeIDs

Identifie le scope d’une adresse


Généré automatiquement par le SE
Typiquement, un entier ou nom de l'interface

fe80::hhhh:hhhh:hhhh:hhhh%zoneID
§ EX. sur Mac OS X: fe80::bae8:56ff:fe4a:ecfe%en0
§ EX. sur Windows: fe80::bae8:56ff:fe4a:ecfe%10
learn.afrinic.net | slide 41
Quiz: Usage correcte des ScopeIDs

Node B
fe80::a1%10 fe80::b%eth0

Node A

fe80::a2%11 fe80::c%en1 Node C


§ Ecrivez les commandes pour
§ Node A veut faire un telnet à Node B
§ Node A veut faire un ping à Node C
learn.afrinic.net | slide 42
L’usage exclusif des LLAs n’est pas conseillé

① Elles ne peuvent être pingées en dehors du lien


② Un Traceroute via LLA peut révéler la topologie de votre réseau
interne
③ Complique le troubleshootig des liaisons point-à-point parallèle.
④ Un changement d’interface peut déclencher un changement
d'adresse
⑤ Complique un peu l’usage du DNS (ref point 4)
⑥ Les LLS sont difficiles à mémoriser

learn.afrinic.net | slide 43
Les adresses Unique Local (ULA)

8 bits 56 bits 64 bits

1111 110L 0 ID d’Interface

fc00::/7

L=0 fc00::/8 fd00::/8 L=1


Assigné par un registre Usage libre pour tous
learn.afrinic.net | slide 44
Les Adresses de transition IPv6 basées sur IPv4

Partie ‘Réseau’ Partie ‘hôte’

n bits 32 bits 32 - n bits 64 bits

Préfixe IPv6 WWXX:YYZZ ID Réseau ID de l’Interface

Adresse IPv4: w.x.y.z

§ L'exemple le plus significatif est la formation des adresses 6RD.


§ Exemple le plus courant est celui des adresses 6to4: 2002:WWXX:YYZZ::/48

learn.afrinic.net | slide 45
Quiz: générer un préfixe IPv6 à partir d'une adresse IPv4

Etant donné le préfixe de base IPv6 et adresse IPv4


suivante, générer le préfixe IPv6 correspondant

① 2002 et 196.1.0.87
② 2001:4290 et 196.1.0.87

learn.afrinic.net | slide 46
Générer l’ID de l’Interface (IID)

Partie ‘Réseau’ Partie ‘hôte’


64 bits 64 bits

Préfixe Réseaux ID de l’Interface

Statique (manuel) EUI-64 cryptographique Pseudo-aléatoire

Interfaces des
Serveurs/Routeurs configurer automatiquement les Hôtes
learn.afrinic.net | slide 47
Motivations of the 64-bit boundary (RFC 7421)
§ The default length of IIDs is 64-bits – with /127 for point § The Cryptographically Generated Addresses
to point links as the only exception (CGA) and Hash-Based Addresses (HBA)
specifications rely on the 64-bit identifier, as do
§ INITIAL MOTIVATIONS FOR A 64-BIT BOUNDARY the Privacy extensions [RFC4941] and some
§ A proposal that led to the Identifier-Locator examples in "Internet Key Exchange Version 2
Network Protocol[RFC6741], required a fixed (IKEv2)" [RFC7296].

point for the split between LAN and WAN parts § Mobile IP home network models [RFC4887] rely
of an address heavily on the /64 subnet length and assume a
§ Expectation that 64-bit Extended Unique 64-bit IID.
Identifier (EUI-64) Media Access Control (MAC) § A shorter IID may only be required where a site
addresses would become widespread in place doesn’t receive sufficient address space to use a /64
of 48-bit addresses per leaf-subnet e.g. home network, vehicles. In this
§ Plans that auto-configured addresses will be case a longer IID could be used in conjunction with
based on MAC-based interface IDs manual configuration or DHCPv6
learn.afrinic.net | slide 48
Advantages of a fixed-length IID
§ Simplifies address auto-configuration; thus is mandatory for § The proposed method [RFC7278] of extending an assigned
operation of Stateless Address Auto-configuration (SLAAC) /64 prefix from a smartphone's cellular interface to its WiFi
§ Fixed IID, separate from subnetID makes it possible to limit link relies on prefix length, and implicitly on the length of
the traceability of a host computer by varying the the IID, to be valued at 64.
identifier § /64 is explicitly referenced in many RFCs that specify IPv6.
§ Guarantees that there’ll forever be sufficient addresses in Many existing IPv6 code also implements this.

the subnet to add more interfaces § The Cryptographically Generated Addresses (CGA) and
§ Homenet architecture (RFC 7368 )considers a CPE which Hash-Based Addresses (HBA) specifications rely on the 64-
doesn’t receive a sufficient prefix to allow use of /64s per bit identifier, as do the Privacy extensions [RFC4941] and
leaf-subnet to be an error condition some examples in "Internet Key Exchange Version 2
§ Same prefix-length on all leaf-subnets thus fewer errors (IKEv2)" [RFC7296].
leading to simpler network design § Mobile IP home network models [RFC4887] rely heavily on
§ Adding a new subnet is easy – just pick another /64 from the /64 subnet length and assume a 64-bit IID.
the pool, no calculations or estimates

learn.afrinic.net | slide 49
Les IDs Interface réservées (RFC 5453)

0000:0000:0000:0000 Routeur anycast s. res.


FDFF:FFFF:FFFF:FF80
Sous réseau anycast
FDFF:FFFF:FFFF:FFFF

learn.afrinic.net | slide 50
Comment les IDs d’Interfaces EUI-64 sont générés
00 90 27 17 FC 0F Prendre l’adresse MAC (48 bits)

00 90 27 FF FE 17 FC 0F L’étendre à 64 bits (insérer “fffe”)

Positionner le bit U/L


0000 00X0 X = 0 MAC unique
X = 1 pour MAC non-unique

02 90 27 FF FE 17 FC 0F Viola! votre InterfaceID


learn.afrinic.net | slide 51
Problems associated with EUI-64 addresses
1) Since EUI-64 based IIDs don’t change over time, they same vendor (within a given time frame) will likely
allow correlation of host activities within the same contain the same IEEE Organizationally Unique
network, thus negatively affecting the privacy of Identifier (OUI) in the Interface Identifier.
users
4) Embedding the underlying hardware address in the
2) Since EUI-64 based IIDs are constant across networks, Interface Identifier leaks device-specific information
the resulting IPv6 addresses can be used to track that could be leveraged to launch device-specific
and correlate the activity of a host across multiple attacks.
networks (e.g., track and correlate the activities of a
typical client connecting to the public Internet from 5) Embedding the underlying link-layer address in the
different locations), thus negatively affecting the Interface Identifier means that replacement of the
privacy of users. underlying interface hardware will result in a change
of the IPv6 address(es) assigned to that interface.
3) Since embedding the underlying link-layer address in
the Interface Identifier will result in specific address
patterns, such patterns may be leveraged by
attackers to reduce the search space when
performing address-scanning attacks. For example,
the IPv6 addresses of all hosts manufactured by the

learn.afrinic.net | slide 52
Consequences of not using 64-bit IIDs
§ Router implementations with strict interpretations of /64 prefix and will fail for non-64-bit prefixes.
/64 as in RFC6164 & RFC7136 will consider unicast § The Identifier-Locator Network Protocol (ILNP)
addresses in /65 - /126 as invalid and thus fail [RFC6741] is relies on locally unique 64-bit node
§ It’s impossible to generate multicast addresses identifiers and will fail otherwise
based on unicast prefixes (as per RFC3306) that § Modifying SLAAC to work with shorter IIDs increases
are more than /64 increases the statistical risk of choosing the same
§ Breaks ability to embed a rendezvous point pseudo-random IID thus increasing change of
address in a multicast group as per RFC3956 which duplicate addresses and thus DAD failure.
assumes at least a /64 prefix § Most host implementations hard-chose the link-
§ The Cryptographically Generated Address format local address to be fe80::/64 – using different IIDs
[RFC3972] is heavily based on a /64 interface for LLAs on same link might have unpredictable
identifier and will fail otherwise results
§ IPv6-to-IPv6 Network Prefix Translation (NPTv6) § Consistent with SLAAC functioning, the A-bit in the
defined in RFC6296 maps a /64 prefix to another PIO is only honored if the prefix length is 64

learn.afrinic.net | slide 53
Des adresses connues importantes
• Adresse non spécifiée

:: •


Indique l'absence d’adresses IPv6
Jamais utilisé comme adresse de destination
Le scope est Link-local

::/0 • Route par défaut

::1 • Permet de s'envoyer des paquets IPv6


• Ne doit jamais être routé hors du nœud
learn.afrinic.net | slide 54
Les adresses IPv6 mappé IPv4

80 bits 16 bits 32 bits

0 ffff Adresse IPv4

Exemple: ::ff:196.1.0.87
§ Représenter une adresse IPv4 à un noeud/application exclusif IPv6
§ Ces adresses ne doivent pas être visibles sur l'Internet

learn.afrinic.net | slide 55
Les adresses anycasts

§ Même adresse configurée sur plusieurs hôtes(interfaces)- jaune


§ Paquets anicast sont livrés au plus proche selon la topologie
§ Attribué à partir de l’espace des adresses unicast
learn.afrinic.net | slide 56
Les adresses Multicast
L’ID d’un groupe multicast pour un scope donné

Préfixe unicast de sous-réseau qui possède cette adresse


4 4
8 bits bits bits 8 bits 8 bits 64 bits 32 bits

11111111 flags scope reserved p-len network prefix groupID

ff Nombre de bits dans le champ "préfixe réseau"

Toutes les adresses Multicast sont de la plage ff00::/8


learn.afrinic.net | slide 57
Decoder les flags de l’adresse multicast
RP non activé 0 0 Affectation permanente (IANA)
RP activé 1 1 Affectation dynamique

0RP T
0 Non basé sur un préfixe de réseau
1 Basé sur un préfixe de réseau
learn.afrinic.net | slide 58
Des scopes multicast connus
4
bits

b b b b Bits Hex Scope


0001 1 Interface-local
0010 2 Link-local
0100 4 Admin-local
0101 5 Site-local
1000 8 Organization-local
1110 e Global
learn.afrinic.net | slide 59
4
bits
0000 1 Reserved
0011 3 Reserved
b b b b 1111 f Reserved
0110 6 Unassigned
0111 7 Unassigned
1001 9 Unassigned
1110 a Unassigned
1011 b Unassigned

Les scopes réservés et 1100 c Unassigned

non définis 1101 d Unassigned


Exemple: Un groupID avec differents scopes

Si l’on affecte de façon permanente aux ‘’serveurs NTP’’ le groupe


multicast avec l’ID = 101

FF01::101 Tout serveur NTP sur la même interface que l’émetteur


FF02::101 Tout serveur NTP sur le même lien que l’émetteur
FF05::101 Tout serveur NTP sur le même site que l’émetteur
FF08::101 Tout serveur NTP dans la même organisation que l’émetteur
FF0e:101 Tout serveur NTP sur Internet

learn.afrinic.net | slide 61
Les adresses multicast réservées

§ FF00:: § FF04:: § FF08:: § FF0C::


§ FF01:: § FF05:: § FF09:: § FF0D::
§ FF02:: § FF06:: § FF0A:: § FF0E::
§ FF03:: § FF07:: § FF0B:: § FF0F::

learn.afrinic.net | slide 62
Quelques adresses multicast bien-connues

FF01::1 Tout nœud IPv6 sur la même interface


FF02::1 Tout nœud IPv6 sur le même lien
FF01::2 Tout routeur IPv6 sur la même interface
FF02::2 Tout routeur IPv6 sur le même lien
FF05::2 Tout routeur IPv6 sur le même site

RFC 2375 pour la liste complete


learn.afrinic.net | slide 63
Les adresse multicast de sollicitation de nœud (SNMA)

hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh
24 bits

ff02::1:ffhh:hhhh/104
§ Calculé pour chaque adresse unicast/anycast
§ Les adresses ayant les mêmes 24 derniers bits auront la même SNMA

learn.afrinic.net | slide 64
Exemple d’adresse multicast de sollicitation de nœud

4037::01:800:200e:8c6c
24 bits

ff02::1:ff0e:8f6c/104
learn.afrinic.net | slide 65
Exemple d’adresses multicast de sollicitation de nœud

#show ipv6 interface g0/0


GigabitEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::CA9C:1DFF:FE6B:B6A0
Description: [Link to R1]
Global unicast address(es):
2001:43F8:90:C0::2, subnet is 2001:43F8:90:C0::/64
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF00:2
FF02::1:FF6B:B6A0

learn.afrinic.net | slide 66
Le multicast au niveau des adresses Ethernet

ffhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh
32 bits

33-33-hh-hh-hh-hh
address MAC Multicast

learn.afrinic.net | slide 67
Exemples adresses MAC Multicast

ff02::1 33-33-00-00-00-01
ff02::2 33-33-00-00-00-02
ff02::1:ff3f:21ac 33-33-ff-3f-21-ac

learn.afrinic.net | slide 68
Par quelles adresses un nœud s'identifie t-il?

① [Obligatoire] Adresse Lien-Locale sur chaque interface

② [Obligatoire] Adresse de loopback (::1)

③ [Obligatoire] Adresses multicast Tout-Nœud (ff0x::1)

④ Tout adresse unicast ou anycast sur chaque interface

⑤ Une adresse multicast de sollicitation de nœud pour chacun des (4)

⑥ Les adresses multicast de tous les groupes auxquels il appartient

learn.afrinic.net | slide 69
Par quelles adresses un routeur s'identifie t-il?

① Toutes les adresses par lesquelles les hôtes s'identifient


② Adresses multicast tous les routeurs (ff0x::2)
③ Adresse anycast Sous-réseau pour toute interface routée
④ Tout adresse anycast configurés

learn.afrinic.net | slide 70
IPv6 et les URLs (Uniform Resource Locator)

§ Problème: Les deux points dans les adresses IPv6 ont une autre
signification dans les urls
§ Sont un élément essentiel de http://
§ Sont aussi utiliser pour spécifier un port

§ Solution: Encadrer l’adresse IPv6 dans des crochets


http://[2001:db8:85a3:8d3:1319:8a2e:370:7348]/
http://[2001:db8:85a3:8d3:1319:8a2e:370:7348]:80/
learn.afrinic.net | slide 71
IPv6 et UNC (Uniform Naming Convention)

§ Problème: Les deux sont représente un caractère illégale dans les


chemins UNC de Microsoft
§ La solution:
§ Remplacer tous les deux-points dans une adresse par un tiret
§ Remplacer tout “%” du zoneID par un “s”
§ Ajouter “.ipv6-literal.net” á l’adresse

§ Exemple: 2001:db8:85a3:8d3:1319:8a2e:370:7348
2001-db8-85a3-8d3-1319-8a2e-370-7348.ipv6-literal.net

learn.afrinic.net | slide 72
Lesquels de ces EUI-64 IIDs suivants n’auraient
pas été généré à partir de cette adresse MAC
adresse 00-1E-33-3B-5A-94?

a) 2001:bd8:c001::021e:33ff:fe3b:5a94/64
b) 2001:bd8:c001::021e:33fe:ff3b:5a94/64
c) 2001:bd8::021e:33ff:fe3b:5a94/64
d) 2001:021e::33ff:fe3b:5a94/64
QUIZ
learn.afrinic.net | slide 73
Lesquels de ces EUI-64 IIDs suivants n’auraient
pas été généré à partir de cette adresse MAC
adresse 00:1E:33:3B:5A:94

a) 2001:bd8:c001::021e:33ff:fe3b:5a94/64
b) 2001:bd8:c001::021e:33fe:ff3b:5a94/64
c) 2001:bd8::021e:33ff:fe3b:5a94/64
d) 2001:021e::33ff:fe3b:5a94/64
QUIZ
learn.afrinic.net | slide 74
Configuration

De Base D’IPv6 Sur Des Hôtes


Objectifs de la Section
⫞ Configurer et vérifier IPv6 sur les systèmes d’exploitation Windows
⫞ Configurer et vérifier IPv6 sur les systèmes d’exploitation Linux
⫞ Configurer et vérifier IPv6 sur les systèmes d’exploitation MAC OS
⫞ Configurer et vérifier IPv6 sur Cisco IOS
⫞ Configurer et vérifier IPv6 sur Junos
L’épuisement d’IPv4
et ses implications 1
2 Les Adresses IPv6
notation, compressions

Les Types d’Adr. IPv6


LLA | GUA | ULA etc 3
4 Configuration
hôtes et routeurs
Sur la plupart des S.E(s), IPv6 activé par défaut

http://j.mp/OSv6-support
learn.afrinic.net | slide 77
Configuration d’hôte: Windows Vista/7

learn.afrinic.net | slide 78
Configuration d’hôte: Mac OS X

learn.afrinic.net | slide 79
Configuration d’hôte: Linux
(/etc/network/interfaces)
Configurer une adresse statique
auto eth0
iface eth0 inet6 static
address <v6address>/<prefix>
DHCPv6 SLAAC
auto eth0 auto eth0
iface eth0 inet6 dhcp iface eth0 inet6 auto

Configurer resolver DNS (/etc/resolv.conf)


nameserver <dns_resolver_v6_address>
nameserver <dns_resolver_v6_address>
learn.afrinic.net | slide 80
L’usage des adresses confidentielles

§ Rappel: les adresses EUI-64 rendent facilite le tracking


§ Pour des raisons de confidentialité, les hôtes peuvent utiliser un
IID généré aléatoirement
§ Le status des adresses confidentielles sur quelques SEs
§ Windows Vista/7/8: Activé par défaut
§ OS X 10.8+ : Activé par défaut
§ Linux - Non activé par défaut

learn.afrinic.net | slide 81
Désactiver l’adressage confidentiel
Windows

c:\netsh interface ipv6 set privacy state=enabled


c:\netsh interface ipv6 set global randomizeidentifiers=enabled

Mac OS X (/etc/sysctl.conf)

net.inet6.ip6.use_tempaddr=1
net.inet6.ip6.temppltime=XX

Linux (/etc/sysctl.conf)

$echo "1" > /proc/sys/net/ipv6/conf/default/use_tempaddr

learn.afrinic.net | slide 82
Configuration de base d’ IPv6 sur IOS de Cisco
Activer IPv6 sur une Interface

(config-if)#ipv6 enable

Assigner une adresse IPv6 avec un interfaceID automatique

#ipv6 address <prefix/length> eui-64

Assigner une adresse IPv6 statique

#ipv6 address <address/length> [link-local | anycast]

Activer le routage IPv6 et CEF

(config)#ipv6 unicast-routing
(config)#ipv6 cef
learn.afrinic.net | slide 83
Configuration de base d’IPv6 sur Junos

Activer IPv6 sur une Interface

#edit interfaces <interfacename> unit <unit_no>

Assigner une adresse IPv6 avec un interfaceID automatique

#set family inet6 address <prefix/prefix-length> eui-64

Assigner une adresse IPv6 statique

#set family inet6 address <ipv6address/prefix-length>

learn.afrinic.net | slide 84
Quelques outils de dépannage: Linux

Ping ping6 ping

Traceroute traceroute6 traceroute

Info Interface ifconfig ifconfig

Table de Routage netstat -A inet6 -rn netstat -A inet -rn

Table des voisins ip -6 neighbor show arp -an

learn.afrinic.net | slide 85
Test de base pour une connectivité IPv6

ping6 <hostname> | <address>


ping6 –I <interface> <mcast-addr>
ping <address>

learn.afrinic.net | slide 86
Quelques outils de dépannage: OS X & *BSD

Ping ping6 ping

Traceroute traceroute6 traceroute

Info Interface ifconfig ifconfig

Table de Routage netstat -f inet6 -rn netstat -f inet -rn

Table des voisins ndp -an arp -an

learn.afrinic.net | slide 87
Quelques outils de dépannage: Windows Vista et plus

Ping ping -6 ping -4

Traceroute tracert -6 tracert -4

Info Interface ipconfig /all ipconfig /all


netsh interface ipv6 netsh interface ipv4
Table de Routage
show route show route
netsh interface ipv6
Table des voisins arp -a
show neighbours

learn.afrinic.net | slide 88
Test de base pour une connectivité IPv6

ping – 6 <hostname>
ping <address[%scopeID]>

learn.afrinic.net | slide 89
Tester l'accessibilité de ce qui suit:

1. L’adresse lien local de votre voisin


EXERCICE 2. Tous les hôtes IPv6 sur le sous-réseau
3. Tous les routeurs IPv6 sur le sous-réseau
4. Tracer le chemin IPv6 vers certi6.io

learn.afrinic.net | slide 90
R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
Comprendre

IPv6 Á Partir D’IPv4


Objectifs de la Section
⫞ Décrire l'en-tête IPv6, en ressortant les différences avec celle d’IPv4
⫞ Identifier les équivalents IPv6 des protocoles clés IPv4
IPv6 vs IPv4
comparaison des fonctions clés 5
6 Plan d’Adressage
FAIs, campus, entreprises

Neighbor Discovery
et ses usages 7
8 Attribution d’`Adr.
SLAAC, DHCPv6, DHCP-PD
La structure d’un paquet IPv6
4 bits 8 bits 20 bits

Version Traffic Class Flow Label


Payload Length Next Header Hop Limit

Source Address 40
bytes

Destination Address

Next Header Taille


Extension Header Information
variable
Data
learn.afrinic.net | slide 94
Les en-têtes d'extension IPv6

§ Similaire au champ "Protocole” d’IPv4


§ Coder des compléments d'informations a la couche
Internet
§ Entre les entête des couches base et supérieure
§ Le champ "Next Header" contient une valeur unique pour
chaque en-tête

learn.afrinic.net | slide 95
Paquet IPv6 sans entête d'extension

Version Traffic Class Flow Label


Payload Length Next Header = UL Hop Limit
40
Source Address bytes
Destination Address

Taille
Upper Layer (e.g. TCP, UDP, ICMPv6, OSPFv3, tunnel etc.) Header
variable

Data

learn.afrinic.net | slide 96
Paquet IPv6 avec entête d'extension
Version Traffic Class Flow Label
Payload Length Next Header = EH1 Hop Limit
40
Source Address bytes
Destination Address

Next Header = EH2


EH1 Header

Next Header = UL
EH2 Header

Upper Layer (e.g. TCP, UDP, ICMPv6, OSPFv3, tunnel etc) Header

Data
learn.afrinic.net | slide 97
Liste et ordre des entêtes d'extension IPv6
Ordre Entête Code Description
1 Entête de base IPv6
2 Hop-by-hop options 0 Examiné par tous les nœuds sur le chemin
Spécifie la route pour un datagramme
3 Routing 43
(mobile v6)
4 Fragment 44 Les paramètres de fragmentation
5 Authentication (AH) 51 Vérifie l’authenticité du paquet
6 ESP 50 Cryptage des données
Examiné seulement par le noeud de
7 Destination options 60
destination
8 Mobility 135 Paramètres à utiliser pour mobile IPv6

learn.afrinic.net | slide 98
Analyser: http://j.mp/v6cap
Choisir le paquet #67

a) Quelle est la valeur du Flow label?


EXERCICE
b) Que transporte ce paquet?
c) Quelle est la taille de ce paquet?
d) Combien de routeurs enverront ce paquet?

learn.afrinic.net | slide 99
Analyser: http://j.mp/v6rh

Choisir le paquet #67

EXERCICE a) Lister les deux entêtes d'extension du paquet


b) Que transporte ce paquet?

learn.afrinic.net | slide 100


Les changements structurels dans l’entête IPv4
Version IHL Type of Service Total length

Identification Flags Fragment Offset

Time to Live Protocol Header Checksum

Source Address

Destination Address

Options Padding

Champ éliminé de IPv6 Champ ôté de l’en-tête de base IPv6


Champ rebaptisé dans IPv6 champ maintenu
learn.afrinic.net | slide 101
IPv4 vs IPv6, comparaison des fonctionnalités clés

IPv4 IPv6
Méthodes de configuration automatique des hôtes et des CPEs
§ DHCP § DHCPv6
§ PPPoE § Stateless Address configuration
§ PPPoE
Résolution d’adresse de la couche Réseau vers Liaison-de-données
§ ARP § ICMPv6 (NS, NA)
§ Broadcast § Multicasts

learn.afrinic.net | slide 102


IPv4 vs IPv6, comparaison des fonctionnalités clés

IPv4 IPv6
Des noms de domaines aux méthodes de résolution d’adresses
§ DNS § DNS
§ A Enregist. de ressource § AAAA Enregist. de ressource
§ in-addr-arpa Zone inverse § ip6.arpa Zone inverse
Comment rejoindre un groupes multicasts
§ IGMPv1 and IGMPv2 § MLD
Attribution automatique de passerelle par défaut aux hôtes
§ DHCP , IRD ou Passive RIP § RA (ICMPv6)

learn.afrinic.net | slide 103


IPv4 vs IPv6, comparaison des fonctionnalités clés

IPv4 IPv6
Protocoles de routages dynamiques standards supportés
§ RIPv1 , RIPv2 § RIPng
§ OSPFv2, IS-IS § OSPFv3 , IS-IS
§ BGPv4 (IPv4 Address Family) § BGPv4 (IPv6 Address Family)
Taille minimale du MTU
§ 576 octets § 1280 octets
Modes de communication supportés
§ Unicast, multicast, broadcast § Unicast, multicast

learn.afrinic.net | slide 104


R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
EXERCICE IPv6 Lab Manual
Exercice 2.2
Création d'un

Plan D’Adressage IPv6


Objectifs de la Section
⫞ Découpage d’un préfixe IPv6
⫞ Estimer les besoins d'adressage IPv6 de votre réseau
⫞ Dimensionner et attribuer votre allocation d’adresses
IPv6 vs IPv4
comparaison des fonctions clés 5
6 Plan d’Adressage
FAIs, campus, entreprises

Neighbor Discovery
et ses usages 7
8 Attribution d’`Adr.
SLAAC, DHCPv6, DHCP-PD
Les questions récurrentes au plan d’adressage

Découper 2001:db8:c001::/48,
Vous avez 125 sites dont
en 150 bloques égaux
chacun a besoin d'un /60,
quelle taille préfixe devriez-vous
réserver pour tous vos sites?
Découper 2001:db8::/32 en /40s

learn.afrinic.net | slide 109


Les problèmes génériques de subnetting IPv6
Préfixe/L

s-préfixe1/L’ s-préfixe2/L’ …………………..…… s-préfixen/L’

§ L’ > L en longueur (en quantité, plus court est plus grand)


§ L’ = L + s (s = nombre de bits de sous-réseau)
§ Le subnetting c’est trouver ‘s’ et les valeurs s-prefix1 …n
learn.afrinic.net | slide 110
Oublier les mauvaises habitudes de subnetting IPv4

§ Les raisons du subnetting


§ IPv4: économiser l'espace d'adressage
§ IPv6: Nécessaire pour le routage ou la sécurité
§ Pas de VLSM IPv6 – même longueur de préfixe par LAN
§ Pensez sous-réseaux et non hôtes
§ Il sera rare d’avoir un sous-réseau plus grand qu’un /64!

learn.afrinic.net | slide 111


Procédure de subnetting IPv6
Données Processus Formules
Préfixe & long. L , L’ s = L’- L or
OU no. de sous-res.
Find no. of subnet bits (s) s = log N/log 2

Préfixe & long. L, bit


de sous-réseau s Find subnet hexits s/4

Long. de sous-préf. L’ Find subnetID increment (B) B = 216 – (L’%16)

Utilisez sipcalc ou tout


Long. de sous-préf. L’ List the subnets autre outil en ligne

learn.afrinic.net | slide 112


Etape #1: Comment trouver le bit (s) de sous-réseaux

No. de sous-réseaux requis


Longueur des sous-préfixes

log N
s = L’– L s= log 2
Longueur du préfixe

learn.afrinic.net | slide 113


Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux

L’on connaît le nombre de sous-réseaux N = 700


① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits

learn.afrinic.net | slide 114


Etape #2: Comment trouver l’hexits de sous-réseaux

Long. de sous-préfixe L’ = L + s Partie ‘Hôte’

L bits s bits 64 bits

Préfixe initial ID réseau l’ID de l’Interface

Le nombre d’hexits = s ÷ 4
learn.afrinic.net | slide 115
Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux

L’on connaît le nombre de sous-réseaux N = 700


① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits
② Nombre d’hexits = 10 ÷ 4 = 2.5 ≈ 3 hexits
Ainsi chaque sous-préfixes sera de la forme

2001:db8:cHHH::/46
learn.afrinic.net | slide 116
Etape #3: Comment trouver l’increment (B)

Longueur de sous-préfixe

B= 2 16 – (L’%16)

learn.afrinic.net | slide 117


Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux

L’on connaît le nombre de sous-réseaux N = 700


① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits
② Nombre d’hexits = 10 ÷ 4 = 2.5 ≈ 3 hexits
③ Chaque sous-préfixes sera: 2001:db8:cHHH::/46
④ ‘HHH’ changera de B = 216 – (46%16) = 216-14 = 22 = 4

learn.afrinic.net | slide 118


Etape #4: Comment énumérer les sous-réseaux
<prefixe>:<subnetID0>::/L’
subnetID0 + B <prefixe>:<subnetID1>::/L’
subnetID1 + B <prefixe>:<subnetID2>::/L’

subnetIDn-1 + B <prefixe>:<subnetIDn>::/L’
learn.afrinic.net | slide 119
Etape #4: Comment énumérer les sous-réseaux (casse-cou)

le neme subnetID L’incrément précédemment calculé

an = (n-1)B
§ Utile pour savoir "quel est le 79e sous-réseau" par exemple
learn.afrinic.net | slide 120
Etape #4: comment énumérer les sous-réseaux avec sipcalc

Préfixe initiale & longueur Longueur de sous-préfixe

sipcalc <préfixe::/L> --v6split=<L’>


ou
sipcalc <préfixe::/L> -S <L’>

Ex: sipcalc 2001:db8:c000::/36--v6split=46


learn.afrinic.net | slide 121
Etape #4: Comment Trouver the ne sous-réseau avec sipcalc

Préfixe initiale & longueur Longueur de sous-préfixe

sipcalc <prefix::/L> --v6split=<L’>


| grep Network | nl | sed
-n np

sipcalc 2001:db8:c000::/36--v6split=46 grep Network | nl |sed –n 975p

learn.afrinic.net | slide 122


Etape #4: Exemple d’énumération de sous-réseaux

§ Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux


§ Le ne sous-reseau est an = 4(n-1)
§ 1er subnetID: a1= 4(0) = 0 (0x0)
§ 1st sous-réseau: 2001:db8:c000::/46
§ Dernier subnetID: a1024 = 4(1023) = 4092 (0xFFC)
§ Dernier sous-reseau: 2001:db8:cffc::/46
§ 264e subnetID: a264 = 4(263) = 1052 (0x41C)
§ 26e sous-reseau: 2001:db8:c41c::/46
learn.afrinic.net | slide 123
Exercice de subnetting

Un FAI qui opère dans 10 villes vient de


recevoir une allocation 2001:db8::/32
d’AFRINIC, subdiviser ce préfixe
équitablement entre ces 10 villes

learn.afrinic.net | slide 124


Exemple d’utilisation de sipcalc
sipcalc 2001:db8::/32 –v6split=36 | grep Network
Network - 2001:0db8:0000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 1000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 2000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 3000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 4000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 5000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 6000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 7000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 8000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: 9000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: a 000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: b 000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: c000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: d 000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: e000:0000:0000:0000:0000:0000 -
Network - 2001:0db8: f000:0000:0000:0000:0000:0000 -

learn.afrinic.net | slide 125


Solution á l’exercice de subnetting

§ Nombre de sous-réseaux: N = 10
§ Bits de sous-réseaux requis: s = log 10 ÷ log 2 = 3.322 ≈ 4
§ 4 bits donnent 16 (c-a-d 24) sous-préfixes dont 6 spares
§ Longueur de chaque sous-préfixe L’= 36 (c-a-d 32 + 4)
§ L’hexit de sous-réseaux = s/4 = 1
§ L’incrément de sous-réseaux B = 216-(36%16) = 4096 (0x1000)

learn.afrinic.net | slide 126


Exemple de subnetting : les analyses

§ Premier subnetID
§ a1= 4096(1-1) = 0 (0x0) [avec an=(n-1)B]
§ Premier sous-réseau: 2001:db8:000::/36
§ Dernier subnetID
§ a16 = 4096(16-1) = 61440 (0xf000)
§ Dernier sous-réseau: 2001:db8:f000::/36
§ Vérifiez votre réponse à l'aide de sipcalc
§ sipcalc 2001:db8::/32 –v6split=36
learn.afrinic.net | slide 127
Quelques précisions sur le plan d'adressages

① Ne pas se limiter aux préfixes de bases des RIRs: /32, /48


② Des longueurs de préfixe typiques
§ Les hôtes sur un LAN: /64
§ Lien inter-router: /127
§ Adresses de loopback : /128
③ Planifier un schéma hiérarchique pour optimiser l'agrégation
④ S'assurer que tous les préfixes tombent sur des arrondis(4 bits)

learn.afrinic.net | slide 128


Bonne pratique: Usage /127 pour les liens inter-routeur

<prefixe>:<subnetID>::/127

Améliore la sécurité en éliminant


§ Problème de (ping pong) sur certains liens p2p
§ Problème du cache des voisins IPv6
Les adresses avec les 64 bits suivants ne doivent pas être utilisés
§ 0000:0000:0000:0000
§ ffff:ffff:ffff:ff7f ➠ :ffff
learn.afrinic.net | slide 129
L’utilisation exclusive des LLA sur les liens d'infrastructure

Configurer un GUA sur une adresse de loopback pour


§ La gestion du traffic (ssh, telnet, SNMP, etc)
§ Avoir l’origine des messages d’erreurs ICMPv6 destiné aux sous-réseaux externe
Avantages
§ Une petite table de routage qui conduit à
§ moins la consommation de mémoire
§ convergence plus rapide
§ Accélération du routage en raison de petites RIBs & FIBs
§ Gestion simple de l’adresses
§ Moindre complexité de configuration (rien à faire)
§ DNS simplifié (vous ne mettez pas LLA dans les fichiers de zone)
§ Surface d'attaque réduite
Mises en garde
§ Impossible de pinger l’interfaces des Routeurs hors du réseaux (fix: pinger la loopback)
§ Probleme de Traceroutes vers ces interfaces
§ Dépendance matérielle - LLA changent si les cartes connectees changent
§ Probleme de la fonction NMSqui est liée a l’adresse spécifique de l’interface
§ MPLS RSVP-TE qui crée LSP avec une séquence stricte d'adresses IP

learn.afrinic.net | slide 130


Exemple d’hiérarchie pour un réseau d’FAI dans un pays

ASN

Niveau 1 Ville #1 Ville #2 Ville #n

Niveau 2 Site #1 Site #2 Site #n

Niveau 3 (fin du réseau) Client #1 Client #2 Client #n


learn.afrinic.net | slide 131
Exemple de format de préfixe | réseau d’FAI
Déterminé par l’allocation reçu de votre RIR

n bits x bits y bits 64-n-x-y bits 64 bits

allocation villes sites clients ID d’Interface

Calculé à partir de la taille de votre réseau actuel


learn.afrinic.net | slide 132
Exemple d’hiérarchie pour réseau d’université
ASN

Niveau 1 Campus #1 Campus #2 Campus #n

Niveau 2 Bâtiment #1 Bâtiment #2 Bâtiment #n

Département Département
Niveau 3 (fin du reseaux) Département #n
#1 #2
learn.afrinic.net | slide 133
Exemple de format de préfixe | réseau d’université
Déterminé par l’allocation reçu de votre RIR

n bits x bits y bits 64-n-x-y bits 64 bits

attribution campus Bâtiment département ID d’Interface

Calculé à partir de la taille de votre réseau actuel


learn.afrinic.net | slide 134
Exemple d’hiérarchie d’un réseau d’entreprise
ASN

Niveau 1 HQ Branche #1 Branche #n

Niveau 2 Données Voix Vidéo

Niveau 3 (fin du reseaux) Vente Marketing Opérations


learn.afrinic.net | slide 135
Exemple de format de préfixe | réseau d’entreprise
Déterminé par l’allocation reçu de votre RIR

n bits x bits y bits 64-n-x-y bits 64 bits

attribution branche type département ID d’Interface

Calculé à partir de la taille de votre réseau actuel


learn.afrinic.net | slide 136
Estimer le nombre total des préfixes nécessaires | Université

ASN

Campus #1 Campus #2 Campus #n

Bâtiment #1 Bâtiment #2 Bâtiment #n

Département #1 Département #2 Département #n

N = #Campus x #Bâtiments x Départementsmax


learn.afrinic.net | slide 137
Estimer le nombre total des préfixes nécessaires | FAI
ASN

Ville #1 Ville #2 Ville #n

Site #1 Site #2 Site #n

Client #1 Client #2 Client #n

N = #Villesx #Sites x Clientsmax


learn.afrinic.net | slide 138
Visez les arrondis
/20, /24, /28, /32, /36, /40, /44, /48, /52, /56, /60, /64

16 (24x1)
256 (24x2)
Villes 4096 (24x3)
Sites 65536 (24x4)
Campus
Batiments
2 4n = 1048576 (24x5)
16777216 (24x6)
268435456 (24x7)
etc 4294967296 (24x8)
68719476736 (24x9)
Arrondissez vos estimations à la plus proche puissance de quatre
learn.afrinic.net | slide 139
Les préfixes alignés sur les arrondis sont faciles a
déterminer

2001:db8:3c00::/40 2001:db8:3c00::/42

2001:db8:3c00:: 2001:db8:3c00::

2001:db8:3cff:ffff:ffff:ffff:ffff:ffff 2001:db8:3c3f:ffff:ffff:ffff:ffff:ffff

learn.afrinic.net | slide 140


Calcul de la taille de préfixe à demander
Inputs Processus Formule
# réseaux (N) Trouver le no. de bits (s) s = log N/log 2

les types de rés. Choisir le préfixe des


des clients réseaux final (sn)

s & sn Cal. de la taille de prefixe à s - sn


demander au RIR
learn.afrinic.net | slide 141
Pas d’inquiétude, il-y-a suffisamment d'adresses!

2000::/3 Population mondiale



3500 X

35 trillion 9.3 milliard


/48 blocks projections 2050
learn.afrinic.net | slide 142
Exemple de planification d'adresses IPv6

Un FAI a des activités dans 10 villes. La plus grande ville


dispose de 50 POPs, dont le plus important a environ 2700
clients. Quelle longueur de préfixe doit-il demander a
AFRINIC s’il compte donner un /48 à ses clients

learn.afrinic.net | slide 143


Exemple d'adressage IPv6 – analyse & solution
§ On sait
§ #Villes = 10 [arrondi à 16]
§ #SITEs = 50 [arrondi à 256]
§ #Clientsmax = 2700 [arrondi à 4096]
§ On calcule
§ Nombre total de préfixes de réseau finaux requis est N
§ N=16 x 256 x 4096 = 16,777,216
§ Nombre de bits de sous-réseau requis: s=log16,777,216/log2 =
24.
§ Taille d’allocation: 48 – 24 = 24 [Soit /48s par site finaux]
§ Ainsi, le FAI doit demander un /24 à AFRINIC.
learn.afrinic.net | slide 144
Planification d'adresses pour la virtualisation

Serveurs traditionnels Serveurs virtualisés

§ VLAN d’administration § VLAN d’administration


§ VLAN de stockage
§ VLAN de stockage
§ Plusieurs VLAN de données ()
§ VLAN de données
§ Planifier un /64 pour chacun
§ Un sous-réseau chaque de vos VLAN de données

learn.afrinic.net | slide 145


Les trois phases de la planification d’adresse IPs

Estimer vos Demander Attribuez les sous-


préfixes aux
besoins votre bloc à différentes parties
d'adressage AFRINIC du réseau

learn.afrinic.net | slide 146


Deux approches pour l'attribution des sous-préfixes

sous-réseau #1 sous-réseau #1 sous-réseau#3


sous-réseau #3
sous-réseau #5

1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12

sous-réseau #4 sous-réseau #4 sous-réseau #5


sous-réseau #2 sous-réseau #2
séquentiel bissection
learn.afrinic.net | slide 147
EXERCICE
Création d'un plan d'adressage IPv6
R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
Comprendre

Le Neighbor Discovery d’IPv6


Objectifs de la Section
⫞ Décrire l'importance et le fonctionnement du ND d'IPv6
⫞ Décrire comment ND est utilisé dans les fonctions clés d’IPv6
IPv6 vs IPv4
comparaison des fonctions clés 5
6 Plan d’Adressage
FAIs, campus, entreprises

Neighbor Discovery
et ses usages 7
8 Attribution d’`Adr.
SLAAC, DHCPv6, DHCP-PD
Les Fonctions du Neighbor Discovery (ND) d’IPv6
§ Configuration d’adresse (SLAAC)
§ Résolution d’adresse Mac
NOEUD § Notification de changement d’adresse Mac
§ NUD (détection de présence de voisins)

§ DiscoveryDécouverte de Routeurs
HOTE § Découverte de paramètre (MTU, Préfixe, hop limite…)

§ Annonce sa présence (MTU, Préfixe, hop limite…)


§ S’annonce sur le lien
ROUTEUR § Déterminer le prochain voisin (next hope)
§ Rédiriger un hôte vers le meilleur voisin

learn.afrinic.net | slide 152


IPv4

ND ≈ ARP + IRDP + Redirect + NUD

Nouveau dans IPv6


ND définit et utilise 5 messages ICMPv6

Neighbor Router
Solicitation Solicitation

Redirect

Neighbor Router
Advertisement Advertisement

learn.afrinic.net | slide 154


Le format général d’un message ND
message ND

Entête de base ND (ICMPv6) ND (ICMPv6)


IPv6 Entête du message Options du message
(Next Header = 58)

Source Target Prefix Redirected


Link-layer address Link-layer address Information Header

Maximum Route Recursive DNS


Transmit Unit Information DNS Server Search List
learn.afrinic.net | slide 155
Les options utilisées par les messages ND?
RS RA NS NA Red.
Source LLA OUI OUI OUI

Target LLA OUI OUI

Prefix Information OUI

Redirected header OUI

MTU OUI

Route information OUI

RDNS OUI

DNSSSL OUI
learn.afrinic.net | slide 156
Le Router Solicitation (RS)
Envoyé par Un hôte IPv6
Trouver les routeurs présents sur le lien en vue d’obtenir
But
les paramètres du réseau

Adresse §IP de l’interface qui fait la requête si il en existe


Source §Adresse indéterminé (::) s’il n'y a pas encore d’adresse

Adresse de
FF02::2 (all-routers)
Destination
Remarques ICMP type 133, ICMP code 0
learn.afrinic.net | slide 157
Exemple de capture d’un paquet RS

learn.afrinic.net | slide 158


Le Router Advertisement (RA)
Envoyé par Un router IPv6

§ Annoncer sa présence, les préfixes, MTU, hop limits


But
§ Envoyer périodiquement ou en réponse à un RS

Adresse
L’adresse lien-local de l’interface qui l’envoie
Source

Adresse de § [Diffusion périodique] FF02::1


Destination § [Sollicité] L’adresse source du noeud qui envoie le RS

Remarques ICMP type 134, ICMP code 0


learn.afrinic.net | slide 159
Exemple de capture d’un RA (1/2)

learn.afrinic.net | slide 160


capture d’un RA (2/2)
Configurer un RA sur IOS de Cisco

Définir l'intervalle des retransmission du RA


(config-if)#ipv6 nd ra interval { max [min]}
(config-if)#ipv6 nd ra interval {msec max [min]}

Définir la durée de vie du messages RA


(config-if)#ipv6 nd ra lifetime <secs>

Supprimer les messages RA de l’interface connectée


(config-if)#[no] ipv6 nd ra suppress [all]

learn.afrinic.net | slide 162


Le Neighbour Solicitation (NS)
Envoyé par Un hôte IPv6

§ Déterminer l’adresse L2 des voisins


But § Duplicate address detection (DAD)
§ Vérifier qu’un voisin est accessible

Adresse § IP de l’interface qui fait la requête si il en existe


Source § Adresse indéterminé (::) s’il n'y a pas encore d’adresse

§ L’adresse du voisin si elle est connue


Adresse de
§ L’adresse multicast de sollicitation de noeud de la cible
Destination
sinon

Remarques ICMP type 135, ICMP code 0


learn.afrinic.net | slide 163
Le Neighbour Advertisement (NA)
Envoyé par Un hôte IPv6

§ Répondre à un neighbour solicitation (NS)


But
§ Sinon, annoncer des mises à jour a ses voisins

Adresse
Toute adresse sur l'interface d'origine.
Source

Adresse de § L’adresse IP du noeud qui émet le NA.


Destination § FF02::1 pour des diffusions périodiques

Remarques ICMP type 136, ICMP code 0


learn.afrinic.net | slide 164
Exemple d’un NA sollicité par un router

learn.afrinic.net | slide 165


Exemple d’un NA sollicité par un hôte

learn.afrinic.net | slide 166


Le message redirect
Envoyé par Router IPv6

Informer un nœud du meilleur next-hop pour une


But
destination

Adresse
Adresse Lien-local du routeur
Source
Adresse de
Adresse IP du nœud qui fait la requête
Destination
Remarques ICMP type 137, ICMP code 0

Sample packet at http://j.mp/v6redirect


learn.afrinic.net | slide 167
Rappel: comment le 5 messages interagissent

Neighbor Router
Solicitation Solicitation

Redirect

Neighbor Router
Advertisement Advertisement

learn.afrinic.net | slide 168


Le Duplicate Address Detection (DAD)
N2 veut configurer la même adresse à 2001:db8:c001::10

ICMPv6 Type I35 (NS) N2


source ::
destination ff02::1:ff00:0010
target 2001:db8:c001::10

ICMPv6 Type I36 (NA)


source 2001:db8:c001::10
N1 destination ff02::1
target 2001:db8:c001::10

2001:db8:c001::10 ß N1 a déjà l'adresse


learn.afrinic.net | slide 169
Le Duplicate Address Detection (DAD)
① L’hôte N1 veut assigner l’adresse “A” à son interface “I”
② L’Interface “I” joint les groupes multicast:
§ ff02::1 -- “All IPv6 nodes”
§ ff02::ff00:0:a –L’adresse de multicast solicited node de “A”
③ N1 envoie un message NS à ff02::ff:0:a à partir de“::”
④ N1 écoute tous les messages NS à ff02::ff00:0:a à partir de “::”
⑤ DAD échoue dans l'une des circonstances suivantes
§ N1 reçoit une NS pour une adresse provisoire avant l'envoi d'un.
§ Plus de NSs sont reçues que celles attendues, basée sur la sémantique
de loopback.
§ than those expected based on loopback semantics
learn.afrinic.net | slide 170
Plus de détails sur le DAD

§ Le DAD est effectué pour TOUT adresse unicast


§ Le DAD n’est JAMAIS effectué pour:
§ Les adresses anycast
§ Des adresses spécifiques
§ En cas d’échec du DAD
§ Cette adresse ne peut être assignée à une interface.
§ Tout adresse utilisant cet IID n’est donc pas unique
§ Une erreur system doit être enregistrée
learn.afrinic.net | slide 171
Les états de toute adresse IPv6

pltime oui
Valid >0 Preferred
TX RX
ok non NEW

vltime oui
Tentative DAD >0 Deprecated
TX RX TX RX
nok non EXISTING

Duplicate Invalid
TX RX TX RX
Exemple de paquet NS pour un DAD

learn.afrinic.net | slide 173


Analyser http://j.mp/v6dad

① Pour quelle adresse ce DAD est-il fait?


EXERCICE ② Quel est le SNMA de l'adresse en question?
③ Notez les adresses MAC suivants
§ L’hote qui fait le DAD
§ L’hote qui possède déjà cette adresse IP

learn.afrinic.net | slide 174


Configurer DAD sur IOS de Cisco

Définir le nombre de NS envoyé pendant DAD


(config-if)#[no]ipv6 nd dad attempts <value>

Définir l’intervalle de retransmission du NS pour le DAD


(config-if)#[no] ipv6 nd dad time [millisecs]

learn.afrinic.net | slide 175


Résolution d’adresse mac du nœud N2
2001:db8:c001::10

N1
source 2001:db8c001::10

NS
destination ff02::1:ff00:0020
target 2001:db8:c001::20

source 2001:db8:c001::20
destination 2001:db8:c001::10
NA

N2 target 2001:db8:c001::20
target L2 addr b8:e8:56:4a:fe:ac

2001:db8:c001::20
[b8:e8:56:4a:fe:ac]
learn.afrinic.net | slide 176
Analyser j.mp/v6-MAC-addr-resolv

① Quelle est l'adresse IP de l'hôte dont l’adresse


MAC inconnue?
EXERCICE ② Quel nœud (adresse IP) est à la recherche de
l'adresse MAC?
③ Quelle est l'adresse de destination du paquet #1
④ Quelle est l'adresse MAC du nœud (2)?
⑤ Quelle est l'adresse MAC du noeud (1)?

learn.afrinic.net | slide 177


Le Neighbour Unreachability Detection (NUD)

N2 est-il inactif?

N1 La chemin vers N2 est-il N2


Inactif?

Surveille les session ACTIVE de ses voisins


learn.afrinic.net | slide 178
Comment le NUD surveille t-il les sessions actives

① Envoyer une sonde de niveau 4. ex: TCP ACK


② Solliciter un (NA) en utilisant une sonde unicast (NS)

learn.afrinic.net | slide 179


ND improvements over IPv4 protocols
ROUTER ADVERTISEMENTS determined by netmask) next-hop.
§ Carry link-layer addresses thus no additional packet exchange is § Useful on non-broadcast and shared media links in which it is
needed to resolve the router's link-layer address. undesirable or not possible for nodes to know all prefixes for on-link
§ Carry prefixes for a link; there is no need to have a separate mechanism destinations.
to configure the "netmask” for purposes of on-link determination.
§ Enable Address Auto-configuration. NEIGHBOR UNREACHABILITY DETECTION IS PART OF THE BASE,
§ Carry MTU advertisements, ensuring that all nodes use the same MTU § Significantly improves the robustness of packet delivery in the presence
value on links lacking a well-defined MTU. of
§ By integrating Router Discovery; hosts don’t need to "snoop” routing § failing routers
protocols to find out routers § partially failing or partitioned links,
§ nodes that change their link-layer addresses.
L2 ADDRESS RESOLUTION § E.g mobile nodes can move off-link without losing connectivity due
§ Multicast messages are "spread" over 16 million (224) addresses, greatly to stale ARP caches.
reducing address-resolution-related interrupts on non-target nodes § Detects ‘dead’ routers and switch to working ones so “Preference” field
§ Non-IPv6 nodes should not be interrupted at all. not required in RA like for ICMP Router Discovery
§ Because it happens via ICMPv6 (Layer 2), it’s more media-independent § Detects half-link failures thus avoids sending traffic to neighbors with
than ARP thus generic IP-layer authentication and security mechanisms which two-way connectivity is absent (unlike ARP).
can be used as appropriate.
MISCELLEANEOUS
REDIRECTS § Use of LLAs to uniquely identify routers means hosts can maintain the
§ Contain the link-layer address of the new first hop thus separate address router associations in the event renumbering to use new global prefixes.
resolution is not needed upon receiving a redirect. § Setting the Hop Limit to 255 prevents off-link nodes from accidentally or
§ Handles traffic redirection for prefixes that aren’t specified as on-link. intentionally sending ND messages. (unlike in IPv4 where off-link senders
§ Unlike IPv4, the recipient of an IPv6 redirect assumes that the new next- can send both ICMP Redirects & Router Advertisement messages.
hop is on-link. In IPv4, a host ignores redirects specifying an off-link (as
learn.afrinic.net | slide 180
Configurer le NUD sur IOS de Cisco

Définir le no. de fois que le NUD renvoie des messages NS


(config-if)#ipv6 nd nud retry <base> <interval> <max-attempts>

Définir la durée de vie (expiration) du cache ND


(config-if)#ipv6 nd cache expire <time> [refresh]

Configurer le ND pour créer une entrée d'un NA non sollicités


(config-if)#ipv6 nd na glean

learn.afrinic.net | slide 181


Capture d’un paquet NS pour un NUD

learn.afrinic.net | slide 182


R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
Attribution D’adresse Dans IPv6
Objectifs de la Section
⫞ Décrire les options d’attribution d’adresses en IPv6
⫞ Décrire, et vérifier comment fonctionne SLAAC
⫞ Décrire, et vérifier comment fonctionne DHCPv6
⫞ Décrire, et vérifier comment fonctionne DHCPv6-PD
IPv6 vs IPv4
comparaison des fonctions clés 5
6 Plan d’Adressage
FAIs, campus, entreprises

Neighbor Discovery
et ses usages 7
8 Attribution d’`Adr.
SLAAC, DHCPv6, DHCP-PD
Exigences de base pour l’attribution d'adresse
HOTE CPE

① Adresse(s) IPv6
① Adresse(s) IPv6
② Passerelles par défaut IPv6
② Passerelles par défaut IPv6
③ Serveur(s) DNS
③ Serveur(s) DNS
④ Délégations de préfixe(s)
learn.afrinic.net | slide 186
Il y’a 2 mécanismes d'approvisionnement clés

DNS config. Adresse DNS config.

Basé sur RA (SLAAC) DHCPv6

Adresse Passerelle par défaut Délégation de préfixe Autres

Le DNS via RA est récent, il n‘y-a donc pas de support global


learn.afrinic.net | slide 187
Comparaison les options offertes par méthodes

Pass. Par Délégation


Adresses DNS info.
defaut de Préfixes
SLAAC Oui Oui Non Non
Stateful DHCPv6 Oui Non Oui Oui

Stateless DHCPv6 Non Non Oui Non


RDNSS Non Non Oui Non

learn.afrinic.net | slide 188


Les options (flags) des RAs

Managed Other
On-Link Use for SLAAC
configuration configuration

M O L A
Dans l’option Informations de
Dans les messages RA
Préfixes du RA
learn.afrinic.net | slide 189
L’influence de ‘M’ & ‘A’ dans l’auto-configuration
M A Adresses résultant sur l’interface de l’hôte (sur le lien)

0 0 Aucune adresse sera configuré automatiquement


0 1 Adresse généré à partir de préfixe(s) dans un RA

Adresse généré à partir de préfixe(s) dans un RA


1 1
Adresse complète à partir du serveur DHCP

1 0 Adresse complète à partir du serveur DHCP

§ Les hôtes doivent être configurés pour obtenir une adresse IP


automatiquement
§ Tous les hôtes génèrent et utilisent toujours une adresse Lien-locale
learn.afrinic.net | slide 190
Configurer les options M & O sur Cisco IOS

(config)#interface fastethernet 0/1


(config-if)#ipv6 nd managed-config-flag
(config-if)#ipv6 nd other-config-flag

learn.afrinic.net | slide 191


Configurer les options M, O & A sur [JUNOS]
protocols {
router-advertisement {
interface ge-0/1/0.0 {
managed-configuration;
other-stateful-configuration;
prefix 2001:db8:c00l::/64 {
no-autonomous;
}
}
}
}
learn.afrinic.net | slide 192
L’usage de l’option ‘L’ pour indiquer des voisins sur le lien

L Comment traiter d'autres adresses dans le préfixe


1 On-link: transmet directement, pas besoin de routeur
0 Off-link: utiliser la passerelle par défaut pour les obtenir

§ Mettre L = 0 force un comportement de PVLAN sur le sous-réseau


§ Il est impossible d’indiquer le statut on-link avec DHCP
§ Les hôtes n'effectuent pas de résolution d'adresse de niveau 2 pour
des adresses off-link
learn.afrinic.net | slide 193
Configurer les options L & A sur Cisco
Par défaut: L = 1 & A = 1 Pour tous les préfixes annoncés

(config)#interface fastethernet 0/1


(config-if)#ipv6 nd prefix <prefix> no-advertise
(config-if)#ipv6 nd prefix <prefix> offlink|no-onlink

learn.afrinic.net | slide 194


Donner les informations du DNS
§ Les Informations DNS nécessaires
1) Un ou plusieurs Serveurs DNS Récursifs (RDNSS)
2) List de nom de domaines
§ Si DHCPv6 est utilisé
§ Configurez les options de serveur DHCP
§ Mettre l’option ‘M’ à 1
§ Si SLAAC est utilisé
§ Configurez les options sur le routeur
§ Si le client supporte la RFC6106, il obtiendra les informations DNS
§ Si le client ne supporte pas la RFC 6106, mettre l’option 'O' à 1
learn.afrinic.net | slide 195
Donner les informations du DNS
Serveur DNS recursif
Liste des noms de domaines

Serveur DHCPv6 Passerelle

[RA] M = 1 [RA] O = 1

DHCPv6 DHCPv6 Pas


RFC 6106
client client RFC 6106

learn.afrinic.net | slide 196


Comment le (SLAAC) fonctionne t-il

Adresse: 2001:db8:c001:<EUI-64>/64
DNS: 2001:db8:cafe::53 2001:db8:c001::1/64

RS

RA
[PIO] 2001:db8:c001::/64 {A=1}
[RDNSO] 2001:db8:cafe::53

learn.afrinic.net | slide 197


Comment le (SLAAC) fonctionne t-il

① Hôte génère un interfaceID et une adresse lien-local


② Réalise le [DAD] sur l'adresse gerenee
③ Interroge tous les routeurs (via RS) pour des informations complémentaires
④ Le routeur répond avec un [RA] qui contient:
§ les préfixes alloués pour le sous-réseau
§ indique si il peut fournir des services de routage pour les hôtes connectés.
§ Les informations du DNS (si la RFC6106est supportee)
⑤ Pour chaque préfixe reçu:
§ l'hôte ajoute son interfaceID 64bit
§ configure une adresse
§ réalise le DAD.
⑥ L'hôte construit une liste de 'routeurs par défaut' a partir des RAs

learn.afrinic.net | slide 198


A savoir sur l’usage des options
① Configurer O lorsque M l’est, est redondant
② Certains DNS peuvent nécessiter que vous configuriez M & O
③ Un préfixe avec les options A & L non configurées, est inutiles
④ DHCPv6 ne précise pas la longueur de préfixe, donc vous aurez besoin de
configurer L pour éviter un comportement de PVLAN
⑤ SLAAC ne fonctionne qu'avec /64, il n’est donc pas possible d’utiliser un
préfixe plus long

TOUJOURS tester votre système d'exploitation avec différentes


combinaisons d’options pour savoir ce qui ne se passe EFFECTIVEMENT
learn.afrinic.net | slide 199
Exemple de configuration de SLAAC sur Cisco

(config)#ipv6 unicast-routing
(config)#interface fastethernet 0/1
(config-if)#ipv6 address 2001:db8:c001::1/64
(config-if)#no shutdown

learn.afrinic.net | slide 200


Analyser j.mp/SLAAC-1
① Quelle est l’adresse MAC de l'hôte qui veut une
adresse?
② Quelle est l’adresse MAC du routeur qui répond?
EXERCICE ③ Quel est le préfixe IPv6 que le routeur envoie à l'hôte?
④ Quelles sont les valeurs des options M,O & L
⑤ Pour combien de temps sont valident Les adresses
obtenues à partir de ce préfixe?
⑥ Écrivez une adresse IPv6 que l'hôte peut avoir

learn.afrinic.net | slide 201


Fonctionnement du stateful DHCPv6 (1/2)

1 [ND]RS
M = 1 [RA] 2

[DHCP6] Solicit
3
Option Request Option

Advertise[DHCP6]
4
2001:db8:c001::face
{DNS} 2001:db8:cafe::53
learn.afrinic.net | slide 202
Fonctionnement du stateful DHCPv6 (2/2)
Adresse: 2001:db8:c001::face
DNS: 2001:db8:cafe::53

[DHCP6] Request
5
2001:db8:c001::face

Reply [DHCP6]
6
2001:db8:c001::face
learn.afrinic.net | slide 203
Avantages et inconvénients du stateful DHCPv6
§ DHCP est un protocole mature et donc familier
§ Plus d'options pour contrôler la façon dont les adresses sont
attribuées par exemple:
§ Limiter l’attribution à une petite plage d'adresses
§ Affecter une adresses IP à des clients particuliers
§ Support pour les mises à jour dynamique de DNS
§ D'autres paramètres peuvent être passés en utilisant les
options
§ Logs centralisés (dépannage et investigations)
§ Certains SEs ne sont pas équipés de clients DHCPv6 (EX: Android)
§ L’on ne peut donner de passerelle par défaut aux clients
learn.afrinic.net | slide 204
Analyser j.mp/DHCPv6-1
① Quelle est l'adresse IPv6 du serveur DHCPv6?
② De quel protocole et de quel port a été initié la requête?
③ Vers quel protocole et quel port a été envoyé la requête?
EXERCICE ④ Quel est l'identificateur unique du client pour cette session?
⑤ Quels sont les paramètres demandés par le client?
⑥ Quelle est l’adresse IPv6 que le routeur donne à l'hôte?
⑦ Pendant combien de temps les adresses obtenues à partir
de ce préfixe sont-elles valident?
⑧ Notez tous les paramètres DNS reçus par le client

learn.afrinic.net | slide 205


Fonctionnement du stateless DHCPv6 (1/2)
3
Adresse: 2001:db8:c001:<EUI-64>/64

1 [ND]RS

O = 1 [RA]
[PIO] 2001:db8:c001::/64 {A=1}
2

learn.afrinic.net | slide 206


Fonctionnement stateless DHCPv6 (2/2)

Adresse: 2001:db8:c001:<EUI-64>/64
DNS: 2001:db8:c001::53 6

4 [DHCP6] Info-request
Option Request Option

Reply [DHCP6]
5
{DNS} 2001:db8:c001::53

learn.afrinic.net | slide 207


Configuration de stateless DHCPv6 sur IOS
(config)# ipv6 dhcp pool dhcp-pool
(config-dhcp)#dns server 2001:db8:face::53
(config-dhcp)#domain-name 6lab.afrinic.net
(config-dhcp)#exit
(config-dhcp)#interface fastethernet 0/1
(config-if)#ipv6 nd other-config-flag

learn.afrinic.net | slide 208


Analyser j.mp/SL-DHCPv6
① Quelle est l'adresse IPv6 du serveur DHCPv6?
② Vers quel protocole de niveau 4 et quel port la requête
est-elle envoyée?
③ Quel est l'identificateur unique du client pour cette
EXERCICE
session?
④ Quels sont les paramètres demandés par le client?
⑤ Quelle est l’adresse IPv6 que le routeur donne à l'hôte?
⑥ Pendant combien de temps les adresses obtenues à
partir de ce préfixe sont-elles valident?
⑦ Notez tous les paramètres DNS reçus par le client
learn.afrinic.net | slide 209
Fonctionnement du DHCPv6-PD (1/2)
Adresse: 2001:db8:face:<EUI-64>/64
DNS: 2001:db8:c001::53
2

1 Provision WAN addr & DNS

[DHCP6] Solicit
3 Option IA_PD

Advertise[DHCP6] 4

learn.afrinic.net | slide 210


Fonctionnement du DHCPv6-PD (2/2)
Adresse: 2001:db8:face:<EUI-64>/64
DNS: 2001:db8:c001::53
Prefix: 2001:db8:dad:c000::/60 7

[DHCP6] Request
5 Option IA_PD

Reply[DHCP6]
6
{IA-PD} 2001:db8:dad:c000::/60

learn.afrinic.net | slide 211


Exemple de configuration de DHCPv6-PD [Server]

(config)#ipv6 dhcp pool dhcpv6


(config-dhcp)#prefix-delegation pool v6pool lifetime 1800 600
(config-dhcp)#ipv6 local pool v6pool 2001:db8:c000::/40 48

(config-if)#ipv6 address 2001:db8:f00d::a/64


(config-if)#ipv6 dhcp server dhcpv6
learn.afrinic.net | slide 212
Exemple de configuration de DHCPv6-PD[Client]

(config-if)#ipv6 address autoconfig default


(config-if)#ipv6 enable
(config-if)#ipv6 dhcp client pd DelegatedPrefix

learn.afrinic.net | slide 213


Comparaison DHCPv4 vs DHCPv6
DHCPv4 DHCPv6
Usage de l’option ‘Managed Configuration’
Pas disponible Utilisée par les routeurs pour contrôler la configuration des hôtes
Adresses source et de destination du message initiale DHCP
src: 0.0.0.0 src: Adresse Lien-Local
dst: broadcast dst: ff02::1:2 (Usage plus efficace du lien)
Comment le serveur identifie les clients
Adresses MAC DHCP Unique Id (DUID)
Message de reconfiguration
Pas disponible Les serveurs peuvent demander aux clients de mettre à jour leur
configuration
Association d’identité
Pas disponible Les clients peuvent gérer
learn.afrinic.net plusieurs
| slide 214 serveurs (redondance)
Certains serveurs DHCPv6 et leurs fonctions

logiciel Certaines options clés supportées

ISC DNS, NTP, NIS, SIP, Lifetime, Prefix Delegation, Relay IDs, FQDN

WIDE DNS, NTP, NIS, SIP, Lifetime, Prefix delegation

Dibbler DNS, NTP, NIS, SIP, Lifetime, Timezone, Prefix delegation, FQDN,

Windows DNS, NIS, SIP, NTP, Lifetime, User class

Cisco IOS DNS, NTP, NIS, SIP, Lifetime, Relay IDs, Prefix Delegation

Source: http://ipv6int.net/software/index.html
learn.afrinic.net | slide 215
RADIUS & IPv6: Comment ça marche

CPE NAS RADIUS

learn.afrinic.net | slide 216


Les attributs RADIUS pour IPv6 (rfc 3162)

NAS-IPv6-Address L’adresse du NAS


Framed-Interface-Id IID de l’utilisateur

Framed-IPv6-Prefix Préfixe delegué pour l’utilisateur


Framed-IPv6-Route Route de l’utilisateur (conf. sur le NAS)
Login-IPv6-Host System, de connections utilisateur
Framed-IPv6-Pool Pool, duquel les préfixes seront délégués

learn.afrinic.net | slide 217


Les attributs utilisés par paquet!
ACCOUNTING
REQUEST ACCEPT
REQUEST

NAS-IPv6-Address 0-1 0 0-1


Framed-Interface-Id 0-1 0-1 0-1
Framed-IPv6-Prefix 0+ 0+ 0+
Framed-IPv6-Route 0+ 0+ 0+
Login-IPv6-Host 0 0+ 0+

Framed-IPv6-Pool 0 0-1 0-1

learn.afrinic.net | slide 218


Exemple de configuration RADIUS & DHCPv6
1/2: Configure DHCPv6 to use RADIUS for pool

aaa authorization configuration IA_PD group radius


!
ipv6 dhcp pool PPP-Radius
prefix-delegation aaa method-list IA_PD lifetime 7200 300
dns-server 2001:db8:c001::53
domain-name 6lab.afrinic.net
learn.afrinic.net | slide 219
Exemple de configuration RADIUS & DHCPv6
2/2: Configure virtual template interface

interface Virtual-Template01
ipv6 enable
ipv6 nd other-config-flag
no ipv6 nd ra suppress
ipv6 dhcp server PPP-Radius
learn.afrinic.net | slide 220
Exemple de création d’utilisateur (FreeRADIUS)

Client-777 Cleartext-Password := ”Client-777"


Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IPv6-Prefix = ”2001:db8:f00d:100::/64",
Delegated-IPv6-Prefix = ”2001:db8:dead:bad0::/60"
learn.afrinic.net | slide 221
IPv6 Lab Manual
EXERCICE Lab 2.3: Configurer & vérifier SLAAC
Lab 2.4: Configurer & vérifier stateful DHCPv6
Lab 2.5: Configurer & vérifier DHCPv6-PD

learn.afrinic.net | slide 222


R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
Routage de Base IPv6
Objectifs de la Section
⫞ Configurer et vérifier le routage statique
⫞ Configurer et vérifier OSPFv3
⫞ Configurer et vérifier BGP pour IPv6
Routage de base IPv6
statique & OSPFv3 9
10 Tech. de Transition
les scenarios

Tech. de Transition
11
dual stack, tunnels, NAT64

FIN
Donner

EXERCICE
3 notions
que vous savez du routage IPv4
Same key principles as IPv4 routing

§ Le prefixe le plus long est utilisé pour la destination


§ Les routes peuvent être statiques et/ou par des
protocoles dynamiques
§ La distance administrative comme indicateur de fiabilité
§ Principes de vecteur de distance vs état de liens
appliquent toujours

learn.afrinic.net | slide 227


La plupart des meilleures pratiques s’applicables
• Transporte les préfixes de l’infrastructure

IGPs • AUCUN préfixes de clients ou d’Internet


• Réduit les préfixes pour la convergence & la scalabilité

• Transporte les préfixes Internet à travers le backbone


iBGP • Transporte les préfixes des clients

• Exchange des préfixes avec d’autres réseaux


eBGP • Implémente des politiques de routage
Exemple de routage statique
(config)#ipv6 unicast-routing
(config)#ipv6 route 2001:db8:babe::/48 2001:db8:dead::1

2001:db8:babe::/48 1 2 2001:db8:face::/48
2001:db8:dead::/126
R1 R2

(config)#ipv6 unicast-routing
(config)#ipv6 route 2001:db8:face::/48 2001:db8:dead::1
Donner

EXERCICE
3 notions
que vous savez d’OSPFv2 (IPv4)
OSPFv3: differences from OSPFv2

§ Adresses sont transportées avec le nouveau LSA type 9


§ PAS d’authentification (s'appuie sur AH et ESP)
§ Fonctionne par link , non par sous-réseau –annonce ainsi
tous les préfixes sur le lien, pas seulement le primaire.
§ Supporte plusieurs instances par lien – seul les routeurs de
la même instance formeront l'adjacence.
§ Utilise les LLAs pour communications entre voisins (sauf les
liens virt.)
www.afrinic.net | slide 231
Éléments OSPFv3 | types de LSA
Type
Nom Description Portée
LSA
Décrit l’état des liaisons et leur coûts pour un
1 Router LSA Aire
routeur dans une aire
Généré par un DR pour décrire l'état des liens
Aire
2 Network LSA agrégés et leur coûts pour tous les routeurs
dans une aire
Inter-Area Prefix LSA Émis par les ABRs pour décrire une aire à des Aire
3
for ABRs routeurs d’autres aires
Inter-Area Router Émis par les ABRs pour annoncer l’ Aire
4
LSA for ASBRs emplacement d’un ASBR
Émis par les ASBR pour décrire les routes
5 AS External LSA AS
redistribuées

www.afrinic.net | slide 232


Éléments OSPFv3 | types de LSA

Type
Nom Description Portée
LSA

Annonce l’adresse lien-local et les préfixes aux


8 Link LSA Lien
autres routeurs sur le lien

Associe une liste de préfixes IPv6 à un réseau de


Intra-Area Prefix transit en pointant vers un Network LSA OU
9 Aire
LSA Associe une liste de préfixes IPv6 à un routeur
en pointant vers un routeur LSA

www.afrinic.net | slide 233


Les commandes de configuration d’OSPFv3
Activer OSPFv3 sur une Interface

(config-if)#ipv6 ospf pid area area-id [instance instance-id]

Résumer (Agréger) les routes d'une aire

(config)#ipv6 ospf pid


(config-router)#ipv6 area area-id range prefix/length
[advertise | not-advertise] [cost cost]

Verifier OSPFv3

show ipv6 route


show ipv6 ospf neighbor
show ipv6 ospf interface
show ipv6 ospf database
Exemple de configuration d’OSPFv3
f1/0

R1 Area 1 Area 0

2001:db8::1ce:123::/64

2001:db8::1ce::/64
f1/1 f1/0 f1/0

R2 R4
ipv6 router ospf 1
R3 router-id 2.2.2.2
interface FastEthernet1/0
f1/0 ipv6 address 2001:DB8:1CE:123::2/64
ipv6 ospf 1 area 0
interface FastEthernet1/1
ipv6 address 2001:DB8:1CE::2/64
learn.afrinic.net
ipv6 ospf 1| area
slide 235
1
Exemple de configuration d’OSPFv3
f1/0

R1 Area 1 Area 0

2001:db8::1ce:123::/64

2001:db8::1ce::/64
f1/1 f1/0 f1/0

R2 R4

R3
f1/0 ipv6 router ospf 1
router-id 3.3.3.3
interface FastEthernet1/0
ipv6 address 2001:DB8:1CE:123::3/64
ipv6 ospf 1 area 1
Exemple de configuration d’OSPFv3
ipv6 router ospf 1
router-id 1.1.1.1
interface FastEthernet1/0
ipv6 address 2001:DB8:1CE:123::1/64
f1/0 ipv6 ospf 1 area 1
R1 Area 1 Area 0

2001:db8::1ce::/64
2001:db8::1ce:123::/64 f1/1 f1/0 f1/0

R2 R4

R3
f1/0

learn.afrinic.net | slide 237


Exemple de configuration d’OSPFv3
f1/0

R1 Area 1 Area 0

2001:db8::1ce:123::/64

2001:db8::1ce::/64
f1/1 f1/0 f1/0

R2 R4

R3
f1/0 ipv6 router ospf 1
router-id 4.4.4.4
interface FastEthernet1/0
ipv6 address 2001:DB8:1CE::4/64
ipv6
learn.afrinic.net | slide ospf 1 area 0
238
EXERCICE Lab 2.7 – Configurer et verifier multi-area OSPF

learn.afrinic.net | slide 239


Donner

EXERCICE
3 notions
que vous savez de BGP (IPv4)
Vue d'ensemble de BGP pour IPv6 | But

§ Il n'y a pas BGPv6!!


§ BGP4 a été étendu avec des familles d'adresses
différentes
§ IPv4-AF : Transporte des préfixes IPv4
§ IPv6-AF : Transporte des préfixes IPv6
§ Autres: VPNv4-AF , VPNv6-AF
§ IPv6 peut être à la fois la charge utile et le protocole de
transport pour BGP
www.afrinic.net | slide 241
Des préfixes IPv6 et IPv4 sur un transport IPv4
Routeurs MP-BGP

Session BGP IPv4

IPv6 IPv4

Modifier le PA du NEXT_HOP pour les prefixes v6


www.afrinic.net | slide 242
Des préfixes IPv6 et IPv4 sur un transport IPv6
Routeurs MP-BGP

Session IPv6 BGP

IPv6 IPv4

Modifier le PA du NEXT_HOP pour les prefixes v4


www.afrinic.net | slide 243
Séparer les sessions IPv4 et IPv6

IPv4
Echange de préfixes v4 dans des sessions v4

Echange de préfixes v6 dans des sessions v6


IPv6
Exemple de Config BGP: configurer une session
Préfixes: Préfixes:
203.0.113.0/24 198.51.100.0/24
2001:db8:dad::/48 2001:db8:b00c::/48

router bgp 65000


template peer-session Internal
remote-as 65000
update-source Loopback0

no bgp default ipv4-unicast


neighbor 192.0.2.2 inherit peer-session Internal
neighbor 192.0.2.2 description Bamenda peer v4
neighbor 2001:db8:1ce::2 inherit peer-session Internal
neighbor 2001:db8:1ce::2 description Bamenda peer v6
Exemple de Config BGP: échange de préfixes
Préfixes: Préfixes:
203.0.113.0/24 198.51.100.0/24
2001:db8:dad::/48 2001:db8:b00c::/48

address-family ipv4
neighbor 192.0.2.2 activate
neighbor 192.0.2.2 inherit peer-policy Internal
network 203.0.113.0 255.255.255.0

address-family ipv6
neighbor 2001:db8:1ce::2 activate
neighbor 2001:db8:1ce::2 inherit peer-policy Internal
network 2001:db8:c001::/48
EXERCICE Lab 2.8 – Configurer et verifier MP-BGP

learn.afrinic.net | slide 247


R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
Comprendre
La nécessité des Techniques
de Transition IPv6
Objectifs de la Section
⫞ Décrire la nécessité des techniques de transition
⫞ Identifier les problèmes de transition de différents réseaux
Routage de base IPv6
statique & OSPFv3 9
10 Tech. de Transition
les scenarios

Tech. de Transition
11
dual stack, tunnels, NAT64

FIN
Le POURQUOI des techniques de transition

Déploiement rapide(pressé) d’IPv6

Logiciels Incompatible

Contraintes Technologiques

Réseau d'accès Hérité

Choix initial du design du réseau


CPEs Incompatible

learn.afrinic.net | slide 251


Entreprise Internet

✍DETAILED NOTES✍
Maison

Access Core Edge

Mobile

Services
Campus
Nous avons besoin de techniques de transition si un ou plusieurs de ces blocs ne supportent pas IPv6
learn.afrinic.net | slide 252
Scenario #1: Le fournisseur ne supporte pas IPv6
Entreprise v4 v6
Internet

Maison v4 v6

Access Core Edge

Mobile

Services
Campus
learn.afrinic.net | slide 253
Scenario #2: Le upstream ne supports pas IPv6
Entreprise v4 v6
Internet

Maison v4 v6

Access Core Edge

Mobile

Services
Campus
learn.afrinic.net | slide 254
Scenario #3: Les réseaux 100% IPv6
Entreprise v4 v6
Internet

Maison
v4 v6
Access Core Edge
v4 v6
Mobile
v6 v4
Services
Campus v4 v6
learn.afrinic.net | slide 255
Scenario #4: Le cœur du réseau est MPLS
Entreprise v4 v6
Internet

Maison
v4 v6

Access Core Edge

Mobile

Services
Campus
learn.afrinic.net | slide 256
Scenario #5: Des services 100% IPv6
Entreprise v4 v6
Internet

Maison v4 v6
v4 v6
Access Core Edge

Mobile
v6 v4
Services
Campus
learn.afrinic.net | slide 257
Scenario #6: Un réseau d'accès 100% IPv6
v6 v4
Entreprise v4 v6
Internet
v6 v4
Maison v4 v6
v6 v4 v4 v6
Access Core Edge
v6 v4
Mobile

Services
v6 v4
Campus
learn.afrinic.net | slide 258
D’autres scenarios

① L'accès à Internet IPv4 avec <1 IP publique par abonné


② Réseau a besoin de plus d’IP que la RFC1918 ne fournit
③ Accès à Internet v4 à partir d'un réseau uniquement v6
④ Accès à des serveurs privés v4 depuis des réseaux v6

learn.afrinic.net | slide 259


Routage de base IPv6
statique & OSPFv3 9
10 Tech. de Transition
les scenarios

Tech. de Transition
11
dual stack, tunnels, NAT64

FIN
Il y a 3 catégories de techniques de transition

IPv4
IPv6

Dual stack Tunneling Translation


learn.afrinic.net | slide 261
Comprendre & Implémenter

Un Tunnel Manuel
Objectifs de la Session
⫞ Décrire les éléments d'infrastructure des Tunnels Manuels
⫞ Décrire comment cela fonctionne
⫞ Identifier les meilleurs scénarios pour l'utilisation des Tunnels Manuels
⫞ Configurer et vérifier des Tunnels Manuels
Qu'est-ce qu'un tunnel?

learn.afrinic.net | slide 263


Qu'est-ce qu'un tunnel?

learn.afrinic.net | slide 264


Qu'est-ce qu'un tunnel?

Protocol
Transporté (encapsulé)

Protocol de transport

Media transmission
Qu'est-ce qu'un tunnel?

§ Technique pour encapsuler un protocole dans une autre


§ Pourquoi utiliser des tunnels:
§ Le réseau ne prend pas en charge le protocole encapsulé
§ Fournir un chemin sécurisé à travers le réseau non sécurisé
§ Éléments de tunnels:
§ Le protocole de transport: pris en charge par le réseau
§ Le protocole encapsulé: non pris en charge par le réseau
§ Les tunnels manuels sont point à point

learn.afrinic.net | slide 266


Encapsuler IPv6 dans IPv4 § Encapsuler IPv4 dans IPv6

v4
v6

v4
v6

v4
v6

learn.afrinic.net | slide 267


Les types de Tunnels Manuels

① Tunnel router-router : connecte 2 réseaux IPv6 á travers


un réseau IPv4 ou vice-versa
② Tunnel host-router : donne accès à IPv6 à un hôte sur un
réseau IPv4
③ Tunnel host-host : relie des hôtes IPv6 á travers un réseau
IPv4

learn.afrinic.net | slide 268


Contourner le réseau d’accès v4 du fournisseur
Entreprise v4 v6
Internet

Maison v4 v6

Access Core Edge

Mobile

Services
Campus
learn.afrinic.net | slide 269
Le FAI pourrait faire un tunnel à travers son upstream
Entreprise v4 v6
Internet

Maison v4 v6

Access Core Edge

Mobile

Services
Campus
learn.afrinic.net | slide 270
Comment fonctionne un tunnel

v4 v6

2 3
1 IPv6 IPv4 IPv6 IPv6

6 5
IPv6 IPv6 IPv4 IPv6 4

learn.afrinic.net | slide 271


Conditions requises pour créer d'un tunnel

þ Des IPs statiques représentant les extrémités du tunnel


§ adresses IPv4 pour tunnel v6 dans v4
§ adresses IPv6 pour tunnel v4 dans v6
§ configuré de préférence sur une interface de loopback
þ Une connectivité standard entre les adresses d'extrémités
þ Accord entre les opérateurs des différentes extrémités

learn.afrinic.net | slide 272


Configurer un Tunnel Manuel sur Cisco IOS
interface Tunnel0
no ip address
ipv6 2001:db8:12::1/64
tunnel source Loopback0
tunnel destination 198.51.100.1 Loopback0: 198.51.100.1
tunnel mode ipv6ip
tunnel path-mtu-discovery
ipv6 route 2001:db8:2000::/64 Tunnel0

v4 v6
interface Tunnel0
no ip address
ipv6 2001:db8:12::2/64
tunnel source Loopback0
Loopback0: 192.0.2.1 tunnel destination 192.0.2.1
tunnel mode ipv6ip
tunnel path-mtu-discovery
ipv6 route 2001:db8:1000::/64 Tunnel0
learn.afrinic.net | slide 273
Les problèmes liés aux tunnels

§ Fragmentation due à la taille des paquets qui


augmente
§ Pas un problème pour IPv4
§ IPv6 ne permet la fragmentation qu’á la source
§ Les tunnels manuels ne sont pas évolutifs
§ Le routage des paquets v6 peut être moins optimisé

learn.afrinic.net | slide 274


Analyser j.mp/6in4-T

① Quelle est l’adresse IPv6 source de ce


message?
EXERCICE ② Quelle est l’adresse IPv6 de destination?
③ Quel est la valeur du champ protocole dans
l'en-tête IPv4?
④ Quelle sont les adresses IPv4 des extrémités
de ce tunnel?

learn.afrinic.net | slide 275


Lab Exercise 2.9
EXERCICE Configurer et vérifier un tunnel

manuel

learn.afrinic.net | slide 276


Comprendre & Implémenter

Le NAT64
Objectifs de la Session
⫞ Décrire les éléments d'infrastructure des Tunnels Manuels
⫞ Décrire comment cela fonctionne
⫞ Identifier les meilleurs scénarios pour l'utilisation du NAT64
Scenario #3: Les réseaux 100% IPv6
Entreprise v4 v6
Internet

Maison
v4 v6
Access Core Edge
v4 v6
Mobile
v6 v4
Comment ces équipements 100% v6
Services
accèderont à des services 100% v4?
Campus v4 v6
learn.afrinic.net | slide 278
Éléments d’infrastructure du NAT64

résolveur DNS64

Client 100% v6 Server 100% v4

Passerelle NAT64
learn.afrinic.net | slide 279
Éléments d’infrastructure du NAT64

§ Passerelle NAT64
§ Une interface IPv4
§ Une interface IPv6
§ Fait la translation IPv6 à IPv4 (pour UDP, TCP & ICMP)

learn.afrinic.net | slide 280


Éléments d’infrastructure du NAT64

§ NAT64
§ Fait la translation IPv6 à IPv4
§ Doit être dual-stack
§ DNS64
§ Extension d’un serveur DNS classique
§ Crée des enregistrements de type AAAA pour tout
enregistrement de type A
§ Utilise un préfixe(well-known) réservé a cet effet.
learn.afrinic.net | slide 281
Comment le NAT64 & DNS64 fonctionnent-ils
Synthesize AAAA from A
4
using WKP 64:ff9b::/96

2 Regular DNS
A? www.examp
le.com

m
co
3 www.example.co
e.
pl m = 192.0.2.6
5 DNS64
m

20 =
xa

0: m
.e

o
6
00 .c
w

Inside: 2001:db8::1
::c ple
w
w

Outside: 192.0.2.1
9b m
?

src:1
:ff xa
A

0 6 7 92.0
A

2
64 w.e

0 : .2.1
A

1
:c0 0 dst :
b: 192.
A

NAT64
w

4 :f f 9 0 .2.6
w

dst :6 ::2 src:1


2 | : db 8 9 2 .0
:: 1 .2.6
:db8 :200
9 dst :1
0 01 | d st 9 2 .0.2. 8
6 src:2 :206

Do v6<->v4 NAPT
10 1

Re-calc checksums
c0 0 0
9b::
v6 Host rc:| 64:f f
s
2001:db8::2 v4 Server
www.example.com
192.0.2.6
learn.afrinic.net | slide 282
R
Q U E S T I O N S
P
O
N
S
E
@AFRINICtraining
S @IPv6Cert
Merci