Vous êtes sur la page 1sur 66

Page : 1 / 66

I.R.T Session 2003 Prochaine Gnration Internet IPv6


Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique






session 2003









Stage fin d`tude Ingnierie Rseau et Tlcoms

Mise en place de services IPv6 l`Unit Rseau du CNRS








Description : Ce rapport decrit la mise en place d`un reseau IPv6 et des services associes.
Version actuelle :1.2
Date :7/1/2004

Auteur : Amaury Denoo amaury.denooorange.Ir
Resp. Stage : Jean Paul Gautier jean-paul.gautierurec.cnrs.Ir
Resp. Session : Vassiliki Spathis vassiliki.spathislip6.Ir


Page : 2 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

1. INTRODUCTION : ................................................................................................................ 5
2. POURQUOI UNE NOUVELLE GENERATION DE L'INTERNET ? ..................................... 5
3. PRESENTATION DES OBJECTIFS ET DE L'ENVIRONNEMENT ..................................... 7
4. CONTRIBUTIONS ET REALISATION DU PROJET IPV6 UREC........................................ 8
5. CONCLUSION ET SYNTHESE DE LA SOLUTION............................................................. 8
6. PROPOSITION D'UNE TOPOLOGIE RESEAU IPV6 (1ERE PARTIE) ............................... 9
6.1. Raccordement de l'UREC au rseaux Renater 3 IPv6 (Module 1a) ..........................................................................9
6.1.1. Etude du raccordement a Renater................................................................................................................................9
6.1.2. Realisation.................................................................................................................................................................10
6.1.3. Schema du Lien 802.1Q Renater3.............................................................................................................................10
6.2. Proposition d'une topologie IPv6 autonome (Module1b ) ........................................................................................11
6.2.1. Etude des topologies possibles..................................................................................................................................11
6.2.2. Schema du plan d'adressage .....................................................................................................................................12
6.2.3. Realisation de la topologie separant IPv6 et Ipv4 (cblage)......................................................................................13
6.3. Prparation du CISCO 4700 pour IPv6 (Module 1c )..............................................................................................13
6.3.1. Etude .........................................................................................................................................................................13
6.3.2. Realisation.................................................................................................................................................................13
6.4. Configuration du CISCO 4700 pour Ipv6 (Module 1e ) ...........................................................................................14
6.4.1. Etude .........................................................................................................................................................................14
6.4.2. Realisation.................................................................................................................................................................14
6.5. Choix d'une distribution Linux IPv6 (Module 1d )...................................................................................................15
6.5.1. Etude .........................................................................................................................................................................15
6.5.2. Realisation.................................................................................................................................................................15
6.6. Installation de la distribution Linux (Module 1f ).....................................................................................................16
6.6.1. Etude .........................................................................................................................................................................16
6.6.2. Realisation.................................................................................................................................................................16
6.7. Intgration et tests d`interconnexions unitaires (Module 1g)...................................................................................17
6.7.1. DeIinition du plan de test ..........................................................................................................................................17
6.7.2. Execution du plan de test ..........................................................................................................................................17
7. AJOUT DU SERVICE DNS IPV6 (2EME PARTIE) ............................................................ 18
7.1. Installation et paramtrage du service DNS IPv6 (Module 2a )...............................................................................18
7.1.1. Etude .........................................................................................................................................................................18
7.1.2. Realisation avec Bind 9.2.1.......................................................................................................................................19
7.2. Procdure de test du service DNS Ipv6 (Module 2b ) ...............................................................................................19
7.2.1. Plan de test DNSv6 ...................................................................................................................................................19
7.2.2. Execution du plan de test ..........................................................................................................................................20
8. MISE EN PLACE D'UN RELAIS WEB IPV4 VERS IPV6................................................... 20
Page : 3 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
8.1. Choix d'un relais Web IPv4 - IPv6 (Module 2c)........................................................................................................20
8.1.1. Etude .........................................................................................................................................................................20
8.1.2. Schema d`integration d`un relais Web IPv4 vers IPv6..............................................................................................21
8.1.3. Realisation avec Apache 1.3.27 ................................................................................................................................21
8.2. Procdure de test du service Web IPv6 (Module 2d ) ...............................................................................................22
8.2.1. Plan de test acces au Web IPv4 via IPv6...................................................................................................................22
8.2.2. Execution du plan de test ..........................................................................................................................................23
9. DISPONIBILITE ET ADMINISTRATION DU RESEAU IPV6 (3EME PARTIE) .................. 23
9.1. Les outils d'administration du rseau et des services via le Web IPv6 (Module 3b ).............................................24
9.1.1. Etude des outils disponibles ......................................................................................................................................24
9.1.2. Realisation avec webmin 1.090.................................................................................................................................24
9.1.3. InterIace Web Ipv6 d`administration du serveur Quarks de L`UREC ......................................................................25
9.1.4. InterIace web de gestion des interIaces reseau..........................................................................................................25
9.2. Les listes d'accs sur les entits IPv6 (Module 3a ) ...................................................................................................25
9.2.1. Etude .........................................................................................................................................................................25
9.2.2. Realisation.................................................................................................................................................................27
9.2.3. Plan de test administration Serveur et Routeur .........................................................................................................28
9.2.4. Execution du plan de test ..........................................................................................................................................28
10. TRANSLATION DE PROTOCOLE IPV4 VERS IPV6 (4EME PARTIE).......................... 29
10.1.1. Etude de NAT-PT.................................................................................................................................................29
10.1.2. Realisation............................................................................................................................................................29
11. RACCORDEMENT MULTICAST IPV6 A RENATER3 VIA RAP (5EME PARTIE)......... 30
11.1. Schma Multicast avec routeur CISCO.....................................................................................................................30
11.2. Schma Multicast avec routeur Linux .......................................................................................................................31
11.3. Raccordement du routeur CISCO au domaine PIM (Module 5a )..........................................................................31
11.3.1. Etude.....................................................................................................................................................................31
11.4. Configuration d'une entit multicast avec VIC et RAT (Module 5b ).....................................................................32
11.4.1. Etude.....................................................................................................................................................................32
11.4.2. Realisation............................................................................................................................................................32
11.5. Test en rception de canaux multicast (Module 5c ) .................................................................................................32
11.6. Prsentation d`un routeur Linux IPv6 avec PIM-SM (Module 5d )........................................................................33
11.6.1. Etude.....................................................................................................................................................................33
11.6.2. Realisation............................................................................................................................................................33
11.7. plan de test multicast ...................................................................................................................................................34
11.7.1. DeIinition..............................................................................................................................................................34
11.7.2. Execution du plan de test......................................................................................................................................34
12. REFERENCES BIBLIOGRAPHIQUES........................................................................... 34
13. ANNEXES....................................................................................................................... 35
13.1. Termes employs, glossaire et abrviations ...............................................................................................................35
13.1.1. Termes relatiIs aux reseaux..................................................................................................................................35
13.1.2. Abreviations .........................................................................................................................................................36
13.2. Qu`est ce qu`IPv6 ?......................................................................................................................................................37
Page : 4 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
13.3. Historique d'IPv6.........................................................................................................................................................37
13.3.1. Introduction ..........................................................................................................................................................37
13.3.2. Points cles.............................................................................................................................................................38
13.3.3. La transition IPv4 vers IPv6.................................................................................................................................39
13.4. Concepts de base IPv6.............................................................................................................................................40
13.5. Un rappel thorique non exhaustif sur IPv6..............................................................................................................41
13.5.1. Besoins .................................................................................................................................................................41
13.5.2. Caracteristiques (Garde l'esprit de IPv4 : UPD,TTL,DGTM) ..............................................................................41
13.5.3. Entte IPv6 ...........................................................................................................................................................41
13.5.4. Format adresse IPv6 ............................................................................................................................................43
13.6. Routage en IPv6 ...........................................................................................................................................................46
13.6.1. Avantages du routages en IPv6 ............................................................................................................................46
13.7. Linux et Ipv6: Rtrospective.......................................................................................................................................49
13.7.1. RedHat..................................................................................................................................................................50
13.7.2. PLD Linux............................................................................................................................................................50
13.8. Analyse des fichiers de configuration du Serveur Quarks ......................................................................................52
13.8.1. Fichier etc/resolv.conI ..........................................................................................................................................52
13.8.2. Fichier /etc/host ....................................................................................................................................................52
13.8.3. Fichier /etc/module.conI.......................................................................................................................................53
13.8.4. Fichier /etc/network.conI......................................................................................................................................53
13.8.5. Fichier /etc/sysconIig/interIaces/iIcIg-eth0 ..........................................................................................................55
13.8.6. Fichier /etc/sysconIig/interIaces/iIcIg-eth1 ..........................................................................................................55
13.8.7. Fichier /etc/poldek.conI........................................................................................................................................56
13.8.8. Fichier /etc/named.conI ........................................................................................................................................58
13.8.9. Fichier /var/named.data/UREC/localhost-v6.rev..................................................................................................62
13.8.10. Fichier /var/named.data/UREC/urec6.cnrs.Ir .......................................................................................................63
13.8.11. Fichier /var/named.data/UREC/urec6.cnrs.Ir .......................................................................................................64
13.8.12. Fichier /etc/httpd/httpd.conI .................................................................................................................................65
Page : 5 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

1. Introduction :
L`acces aux telecommunications et a l`Internet est un element essentiel de l`economie mondiale. Les
chiIIres concernant l`utilisation d`Internet revelent un desequilibre entre le nord et le sud.
Presque toutes les grandes entreprises entrevoient dans la reduction de la Iracture numerique de nouveaux
marches : Le protocole Internet de prochaine generation (IPng) Iait partie des moyens utilises pour
Iaonner une scene economique mondiale plus equilibree.

IPng est conduit par un ensemble d`organismes internationaux. Ces organismes qui pilotent la
standardisation de l'Internet sont : l'Internet Engineering Task Force (IETF), l'Internet engineering
Steering Group (IESG), l'Internet Society (ISOC) , l'Internet Architecture Board (IAB) et l'Internet
Assigned Numbers Authority (IANA).

De plus en plus de Projets IPng sont realises. Prochainement, la Thalande va deployer 1 million
d`ordinateurs IPv6 Linux avec des acces sans Iils metropolitains (IEEE 802.16) pour Iavoriser l`acces aux
sciences des communications. Ils choisissent IPv6 et Linux parce que le gouvernement Thalandais
preIere garder la matrise de son avancee technologique. Ailleurs en Orient, des Indous corrigent les
bogues pendant que les Americains dorment. En occident, la migration IPv6 se Iera en douceur a cause du
systeme IPv4 existant. A Paris, le departement de l`UREC du CNRS souhaite disposer d`un reseau IPv6
et ce document developpe l etude de realisation.

2. Pourquoi une nouveIIe gnration de I'Internet ?

Tout simplement, pour restaurer le dialogue de bout en bout et generaliser la diIIusion multicast et les
procedes de securite dans le monde des reseaux. IPv6 s`inscrit dans le prolongement de l`Internet
actuellement disponible. Pour s`en convaincre, les congres comme l`Interop (mai 2003), la renaissance
IPv6 a Caen (juin 2003) et le NI (19-21 Novembre 2003) a Paris Iont partie des reponses.

IPv6, composante de IPng, consiste en une generalisation des concepts deja mis en place et en une
adaptation a l`echelle mondiale de la toile.
IPv6 est un protocole de la couche 3 (voir le modele OSI) qui supplantera a terme IPv4 (plus connu sous
le nom d'IP). IPv4 a ete conu a partir de janvier 1980, et, depuis le commencement, il y a eu de
nombreuses demandes pour accrotre la quantite d'adresses disponible et augmenter les capacites. Le RFC
Request Ior Comments 2460 (speciIication du protocole Internet version 6) repond a l`ensemble des
demandes d`evolutions. La modiIication essentielle dans IPv6 est la nouvelle conception de l'en-tte,
incluant une augmentation de la taille de l'adresse, en passant de 32 a 128 bits.

Modle P et entte Pv6

Page : 6 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Une adresse IPv6 de 128bit, cela signiIie qu`elle est 4 Iois plus grande qu`en IPv4. C`est un espace
d'adressage immense, qui permet d'envisager un plan d'adressage hierarchique. Selon Christian Huitema,
On pourrait disposer dans le cas le plus deIavorable 1564 adresses sans compter les nouds
d'acheminement pour chaque metre carre de la surIace du globe . Une adresse IPv6 dispose d`une portee
(Globale, Site ou Locale) et d`un nouveau type pour Iacilite leur regroupement. Il a ete deIinie trois types
d'adresses IPng:
1. L'adresse Unicast identiIie une interIace unique.
2. L`adresse Anycast identiIie un jeu d'interIaces tel que un et un seul membre de ce jeu recevra un
paquet.
3. L'adresse Multicast identiIie un groupe d'interIaces tel que tous les membres de ce groupe
reoivent le mme paquet. Il n'y a pas d'adresse de broadcast en IPv6, ce type d'adresse est
materialise par une adresse multicast.

La representation textuelle d`une adresse IPv4 se Iait en decoupant le mot de 32 bits de l`adresse en 4
mots de 8 bits separes par le caractere . , chacun d`eux etant represente en decimal. C`est la
representation decimale pointee. Par exemple 192.168.0.1

La representation textuelle d`une adresse IPv6 se Iait en decoupant le mot de 128 bits de l`adresse en 8
mots de 16 bits separes par le caractere : , chacun d`eux etant represente en hexadecimal. Par exemple
l`adresse : 2001 :0660 :3302 :000F :0000 :0000 :0000 :0011

Dans un champ, il n`est pas necessaire d`ecrire les 0 places en tte et plusieurs champs nuls consecutiIs
peuvent tre abreges par :: . Ce symbole ne peut apparatre qu`une seule Iois dans une adresse.
L`adresse precedente peut donc s`ecrire : 2001 :0660 :3302 :F ::11

L`objectiI principal d`IPv6 est de hierarchiser les adresses pour permettre de plus grands agregats et une
reduction de la taille des tables de routage des routeurs de backbone.

Voici le schema d`une adresse IPv6 : Chaque partie (TLA, sTLA, Res, NLA, SLA, I ID) est reservee a
un usage precis qui est explicite dans le RFC 2460.







Voici un exemple d`une adresse IPv4 : 129.168.94.249, encapsulee dans une adresse IPv6 :Ce type
d`adresse est utilise pour Iaciliter la transition d`acces reseau Ipv4 vers un reseau Ipv6.Le lien
http://www.Iaqs.org/rIcs/rIc3056.html donne les moyens d`analyser en details cette adresse.

2002:81a8:5ef9:31a:9211:4eff:fe61:3a

Note : L`IETF a assigne un espace d`adresse agregeable unicast globale avec la valeur 2 dans le TLA
pour reconnatre une adresse IPv4 en capsule dans une adresse IPv6. Ce type d`adresse permet sur des
entites IPv4, avec l`aide d`un tunnel de communiquer avec une entite IPv6.
001
3 bits
TLA
13 bits
sTLA
13 bits
Res
6 bits
NLA
13 bits
SLA
16 bits
InterIace ID
64 bits
Topologie publique Topologie privee
Page : 7 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

3. Prsentation des objectifs et de I'environnement


M.Jean Paul Gautier (Ingenieur UREC) a propose une ouverture de stage IPv6 a l`Universite Pierre &
Marie Curie et a l`ecole nationale superieur des telecoms pour laquelle j'ai maniIeste mon intert dans
le cadre de la promotion Ingenierie .Reseaux.Telecommunication 2003.

Le sujet: Mise en place d`un rseau IPv6 et des services associs.

L'unite de Reseau du CNRS (UREC) est composee de trois sites geographique Grenoble, Lyon et Paris
(site principal). Ces sites sont animes par le Directeur M. Jean Luc Archimbaud. Les travaux menes par
les diIIerentes equipes sont centres sur l'administration de reseaux securises, l'expertise reseau et la
Iormation sur les technologies reseaux avancees pour le CNRS.

L'environnement de travail dans lequel le stage s'est deroule sur le site de Paris a ete exemplaire. Mes
collegues de bureau de l'UREC Paris m'ont apporte les reponses necessaires et suIIisantes pour realiser les
travaux.

L`environnement reseau de l`UREC est IPv4. L`UREC est raccorde au backbone de Jussieu qui ne
dispose pas de reseau IPv6. Le reseau 6RAP (Reseau academique parisien ) qui est raccorde au backbone
de Jussieu dispose d`un acces RENATER3 IPv6 (Reseau National de Telecommunications pour la
technologie, l'Enseignement et la Recherche) et des services associes comme le M6bone : service de
diIIusion IP multicast.

La mission qui m'a ete conIie au sein de l'equipe de l'UREC a ete de deIinir et de raccorder un ensemble
d'entite reseaux permettant de realiser un ensemble de Ionctionnalites IPv6 (IPng : Internet Protocole
nouvelle generation - IPv6).

Ces Ionctions ont pour but dans un premier temps de Iournir les services de serveur de noms IPv6 (DNS),
de relais de serveur WEB IPv4 vers IPv6 et de point de raccordement pour la diIIusion Multicast en IPv6.
Dans un deuxieme temps, il s'agit de proposer une methodologie pour le deploiement de ces services
IPv6 dans les laboratoires du CNRS.

La mise en place de ces services t dfinie dans l'objectif principal de disposer d`un relais du
serveur WEB de l'UREC en IPv6 et d`un rseau de diffusion multicast IPv6. Les objectifs
secondaires tant de raliser ces services avec une topologie rseau IPv6 venant s`intgrer dans le
rseau de production existant sans le perturber.

L'UREC m'a permis d`acceder a l`environnement reseau de recherche et de campus universitaire pour
accomplir ma mission. J`ai eu le privilege d'assister a la conIerence "IPv6 : La renaissance" qui s'est
deroule du 11 au 13 juin 2003 qui m`a permis de mieux comprendre les enjeux de l`Internet prochaine
generation. C'est avec la combinaison de tous ces moyens que la realisation du reseau IPv6 UREC a pu
voir le jour. Je tiens a remercier l'ensemble des intervenants qui m'ont aide dans cette experience tres
enrichissante.

Un grand merci a toute l`equipe de l`UREC et aux contacts avec les services du CCR ( M. Christian
Hascouet et M. Sebastien Vautherot) et de RAP ( M. Lionel David). Ils m'ont permis de realiser avec
succes les experimentations decrites ci-dessous.
Page : 8 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
4. Contributions et raIisation du projet Ipv6 UREC


Ce rapport de stage analyse les scenarios permettant de mettre place un reseau IPv6 avec des services
applications. L`approche retenue ici synthetise les procedures de mise en place du reseau IPv6 de l`UREC
pour permettre de les reutiliser ulterieurement.

Les objectiIs etant Iixes, M. Gautier m'a expose le travail pour realiser le reseau IPv6 en cinq parties.

1- Proposition d'une topologie reseau IPv6
2- Ajout des services DNS IPv6 et relais WEB
3- Disponibilite et administration du reseau Ipv6
4- Etude de NAT-PT
5- Raccordement Multicast IPv6 a Renater3 via RAP

La diversite de ces parties a mettre en place m'a conduit dans un premier temps a proposer un plan
d'etude pour decomposer ces cinq parties en modules. Ces modules sont reIerences avec un chiIIre et une
lettre, ainsi le module "3b" signiIie que c'est le deuxieme module de la troisieme partie. Chaque module
comporte un paragraphe portant sur l`etude et un portant sur la realisation. Ce decoupage a permis
d'isoler les diIIerents problemes, d`identiIier les interdependances et de relater dans un document
d'avancement les diIIicultes.
5. ConcIusion et synthse de Ia soIution

La proposition consistant a mettre en place un reseau IPv6 a l`UREC est viable avec quelques restrictions
qui peuvent tre levees dans une prochaine etude. La cohabitation des reseaux est encore une Iois
eprouvee et les services s`adaptent plutt bien.

Les systemes WINDOWS et UNIX sont operationnels pour le deploiement des stations de travail IPv6.
Ces systemes peuvent servir de routeur et de relais web IPv4- IPv6 avec des restrictions portant sur le
contenu et les acces securises. Les logiciels sont dotes d`une plus grande reactivite et dans le contexte
d`un Iaible debit sont tres interessants d`un point de vue perIormance/prix. On peut remarquer la Iiabilite
des systemes linux PLD (Itp.pld-linux.org) et ASPLINUX (www.asp-linux.com) qui sont une alternative
non negligeable.

Dans l`ensemble peu d`equipements deja installes supportent IPv6. Les equipements dedies IPv6 (par
exemple 6Wind) sont plus complets d`un point de vue Ionctionnel et plus adaptes si le reseau IPv6
devient le reseau primaire, ce qui n`est pas encore le cas generalement.

La solution IPv6 envisagee au departement de l`UREC du CNRS permet de realiser un service relais de
site web IPv4 vers IPv6. La securisation du reseau est a ce jour realisee par des regles de Iiltrage statique
mais la conIidentialite des inIormations est assuree par HTTPS et les certiIicats. La separation des Ilux
Ipv4 et IPv6 au niveau serveur et routeur permet une non regression des services existants.

La proposition consistant a adjoindre un reseau IPv6 dans les laboratoires du CNRS est viable des
aujourd`hui. Cela permet d`oIIrir les services WEB du CNRS en IPv6 d`une part et de diIIuser les medias
en IPv6 multicast d`autre part. Les equipements d`ancienne generation CISCO peuvent tre mis a niveau
pour realiser les Ionctions de routage et de Iiltrage. Pour les Ionctions avancees, NAT-PT et PIM-SM, il
est preIerable de s`orienter vers des solutions recentes dediees comme celles de 6Wind ou d`IP InIusion.


Page : 9 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

6. Proposition d'une topoIogie rseau IPv6 (1ere partie)

Cette partie developpe l`etude et la realisation d`un reseau IPv6 physique et logique. Les choix eIIectues
y sont determinants pour les services associes, developpes dans les parties suivantes. La presentation des
diIIerentes topologies est abordee ainsi que les aspects relatiIs au deploiement. Les aspects d`integration
sont aussi notiIies. La premiere parie a ete subdivisee en sept modules:

Modules de la premiere partie :
a- Raccordement de l'UREC aux reseaux Renater 3 IPv6
b- Proposition d'une topologie IPv6 autonome
c- Preparation du CISCO 4700 pour IPv6
d- Choix d'une distribution Linux IPv6
e- ConIiguration du CISCO 4700 pour Ipv6
I- Installation de la distribution Linux
g- Integration et tests interconnexion unitaires

6.1. Raccordement de l'UREC au rseaux Renater 3 IPv6 (Module 1a)
6.1.1. Etude du raccordement Renater
Une problematique majeure dans ce type d'etude est l'analyse des contraintes de tous les intervenants
impliques dans l'interconnexion. Cette analyse doit mettre en evidence le type de raccordement entre
chaque tronon pour realiser l'interconnexion de bout en bout. Les tronons identiIies peuvent eIIectuer
une liaison IPv6 native ou une encapsulation IPv6 dans un VLAN (Virtual Local Area Network) 802.1Q.
Les intervenants exterieurs identiIies ici sont le (CCR : Centre de calcul Recherche et Reseau Jussieu) et
6RAP (Reseau Academique Parisien IPv6).

Il existe donc deux scenarios d`interconnexion:

Dans le cas du scenario impliquant des entites supportant IPv6 nativement, on peut envisager un plan
de test permettant de veriIier l'acheminement dans chaque tronon. Les causes et les diagnostics sont
Iaciles a enumerer avec ping , traceroute ...

Dans le cas du scenario impliquant l'utilisation d'un tunnel ou d'un VLAN 802.1Q qui est un protocole
Iiable et bien matrise, il est beaucoup plus diIIicile d`apprehender les causes et les diagnostics sans
avoir acces a toutes les entites reseaux de la chane. L'application de ce scenario signiIie que ce module
sera dependant du module (1e) pour tre operationnel.

L'etude de la topologie reseau du site de l'UREC Paris correspond bien a une PME actuelle. Les entites
reseaux ne disposent pas du protocole IPv6. Le commutateur routeur dispose de 48 ports pour une dizaine
d'entites (serveurs compris). Le nombre de prises RJ45 moyen par piece est de six ce qui donne de bonnes
perspectives d'evolution. L'UREC dispose d'une salle machine avec une baie 19 pouces pleine hauteur
qui peut recevoir un routeur IPv6 et un serveur IPv6 supplementaire.

D'un point de vue technique, le type de commutateur-routeur sortant du site de Paris est determinant.
Celui-ci est un Foundry Fastiron 4802 : Il ne supporte pas IPv6 nativement, le choix d'un VLAN
802.1Q entre l`UREC et 6RAP devient alors un axiome.

Ce FastIron est raccorde au backbone de Jussieu qui lui aussi ne dispose pas a ce jour d'entite reseaux
supportant Ipv6 nativement.
Page : 10 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Ce backbone a neanmoins la possibilite d'acheminer des VLAN 802.1Q vers d'autres sites interconnectes
avec lui, dont notamment 6RAP. Le site 6RAP vers lequel le VLAN doit tre achemine par le CCR
dispose de trois routeurs IPv6 interconnectes vers Renater3 et d'une interconnexion Ipv4 vers le backbone
.
6.1.2. RaIisation
Cette realisation comporte quatre etapes :
1. Parametrage du commut-routeur FastIron de L`UREC pour ajouter le VLAN n 920.
2. Parametrage du backbone de Jussieu pour acheminer ce VLAN a 6RAP.
3. Parametrage d`un des routeurs de 6RAP en accord avec le CCR pour recevoir le VLAN.
4. Parametrage du routeur 6RAP pour autoriser les Ilux IPv6 dans ce VLAN

La diIIiculte ici est de ne pas avoir une vue sur les equipements intermediaires pour connatre le
cheminement exact de VLAN. Cela permet aux intervenants une certaine souplesse pour leurs evolutions
Iutures.
6.1.3. Schma du Lien 802.1Q Renater3

Ethernet +V6 Natif
VLAN TAG 802.1Q
Ethernet + IPv4
Interconnection 6RAP - UREC
Back bone jussieu
UREC PAR8 UREC PAR8 UREC PAR8 UREC PAR8
Foundry Ipv4
UREC
6 RAP
Jussieu
Renater
3
Futur Reseau IPv6
Ce schema presente l`interconnexion entre le reseau Renater 3 IPv6 et le site de L`UREC Paris. Cette
interconnexion ne peut tre IPv6 native parce que les entites reseau du backbone et de l`UREC ne le
supportent pas encore.
La methode consiste donc a creer un tunnel de type 802.1Q (Niveau 2) pour signer le traIic des
niveaux superieur sans en analyser le contenu. Cela permet de garantir une independance totale avec
les evolutions de IPng.

Cette topologie peut recevoir un reseau IPv6 independant et un reseau d'administration Ipv4 pour le
reseau IPv6.

N'ayant pas le contrle de l'ensemble des entites traversees, il est impossible de valider ce lien au niveau
2, cependant le parametrage est simple et bien matrise sur le routeur de sortie de L'UREC (FastIron). Le
seul moyen de valider le lien est d'executer les trois phases de test du module (1g) : Tests d`integrations et
d`interconnexions unitaires.
Page : 11 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

6.2. Proposition d'une topologie IPv6 autonome (Module1b )
6.2.1. Etude des topoIogies possibIes

Il existe deux propositions de topologie physique, lorsque l'on souhaite disposer d'un service IPv6 dans
une entreprise.

1- Mono cblage, une interIace reseau avec une double pile IPv4 et IPv6 par lien.
2- bi-cblage, une interIace reseau Ipv4 une interIace reseau Ipv6 par lien.

Si l'on considere le budget comme un Iacteur plus important que la stabilite de la solution, la topologie n
1 est a retenir. Cette topologie permet de simpliIier l`installation et les cots mais pas la resolution de
probleme. Cependant elle permet d'obtenir des resultats rapidement, surtout si l'on utilise des tunnels type
GRE (Generique Routing Encapsulation developpe par CISCO) qui permettent de s'interconnecter au
reseau IPv6 par exemple, sans modiIier le parametrage des entites reseaux. Bien entendu, les
perIormances sont moins bonnes que lorsque l'on transporte IPv6 de maniere native.

Si l'on souhaite dissocier les services IPv4 de ceux d`IPv6, il Iaut alors considerer la topologie n2 qui
permet de garantir une stabilite de l'existant et d'ouvrir les services IPv6 de maniere independante. Cette
solution plus visuelle, entrane un surcot mais elle permet une matrise totale des deux reseaux IPv4 et
IPv6. Elle est adaptee aux conIigurations serveur.

Dans notre cas, l`objectiI etant d`isoler les Ilux IPv6 pour ne pas impacter le reseau IPv4, la topologie
N2 est donc plus adaptee. Il y a donc quatre interconnexions et deux sous-reseaux a etudier pour cette
topologie adaptee a l`UREC :

1. Interconnexion IPv6 6RAP-UREC : Lien vers Internet IPv6 (FastIron-Cisco 4700)
2. Interconnexion IPv6 UREC : Lien vers sous-reseau IPv6 UREC (FastIron-Cisco 4700)
3. Interconnexion IPv4 UREC : Lien vers sous-reseau IPv4 administration v6 UREC (FastIron-
Cisco 4700)
4. Interconnexion SERVEUR UREC IPv6 : Liens vers sous-reseau IPv6.


Le routeur CISCO doit donc disposer de 3 ports Ethernet libre minimum.

Le commut-routeur FastIron doit disposer de 7 ports min (ajout d`un switch possible pour chaque sous-
reseau)

Au niveau logique, le reseau IPv6 doit disposer d`un preIixe pour le site IPv6 de l`UREC et d`une adresse
IPv6 de lien pour se raccorder au site de 6RAP. Il est judicieux d`attribuer des VLANs a chaque sous-
reseau pour isoler et augmenter les perIormances.

Pour continuer, il est necessaire de constituer le plan d'adressage IPv6 et de deIinir le preIixe qui sera
utilise par l'UREC. La topologie n2 impose deux interIaces physiques donc il Iaut une adresse IPv4 et
une ou n adresses IPv6 par lien reseau.

Les entites reseaux utilisees sont decrites en page suivante :

Page : 12 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

Routeur CISCO 4700 :
Port N1 : Raccordement IPv6 6RAP-UREC vers VLAN Interco-IPv6 TAG 920
Port N2 : Raccordement IPv4 UREC vers VLAN URECP-IPv6mgt
Port N3 : Raccordement IPv6 UREC vers VLAN URECP-IPv6
Serveur UREC IPv6 :
Port N1 : Raccordement au VLAN URECP-IPv6mgt (IPv4)
Port N2 : Raccordement au VLAN URECP-IPv6

Site IP Adressage description
CCR V6 PreIixe 2001 :660 : 3302 :: /48 PreIixe disponible pour Jussieu Paris6
6RAP V6 PreIixe 2001 :660 : 2401 :: /48 PreIixe disponible pour 6 RAP
6RAP V6 2001 :660 : 2401 :2001 ::2 /64 Adresse de lien IPv6 6RAP-UREC
UREC V6 PreIixe 2001 :660 : 3302 :F :: /56 PreIixe disponible pour L`UREC
UREC V6 2001 :660 : 3302 :F :: 1 /128 Adresse de lien IPv6 UREC
UREC V6 2001 :660 : 3302 :F :: 11 /128 Serveur Quarks Linux UREC Web DMZ
UREC V6 2001 :660 : 3302 :F :: 12 /128 Serveur Quarks Linux UREC Web DMZ
UREC V4 194.57.138.0 /27 Sous Reseau UREC Administration IPv6
UREC V4 194.57.138.36 /32 Serveur Quarks Linux UREC Administration
6.2.2. Schma du pIan d'adressage
VLAN TAG 802.1Q
Interconnection 6RAP - UREC
Back bone jussieu
UREC PAR8 UREC PAR8 UREC PAR8 UREC PAR8
Foundry Ipv4
UREC
6 RAP
Jussieu
Renater
3
Rseau UREC IPv6 (niveau Physique)
PreIixe : 2001:660:3302:F::/64
Ce schema presente la topologie IPv6 de UREC PARIS. Le lien s`interconnecte avec Renater
en IPv6 via le VLAN 920. Le lien alimente le sous-reseau IPv6 de l`UREC distribue par le
FastIron avec le VLAN UREC-IPv6. Le lien permet d`administrer le CISCO 4700. Le lien
achemine le traIic IPv6 au serveur QUARKS. Le lien permet au serveur QUARKS d`utiliser les
ressources IPv4 de l`UREC.
2001:660:2401:2001::2/128 2001:660:3302:F::1x/64 x1 a F)
2001:660:3302:F::1/64 194.57.138.36/27
194.57.138.37/27
CISCO 4700
IPv6 IOS 12.2.T
1
2
3
5
4
IPv6 Natif
IPv4
N du lien
Serveur IPv6
1
2
3 4
5
1
2
4
3
5
V4
V6

Page : 13 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

6.2.3. RaIisation de Ia topoIogie sparant IPv6 et Ipv4 (cbIage)

L`interconnexion entre les diIIerentes entites ne presente pas de diIIicultes particulieres.
6.3. Prparation du CISCO 4700 pour IPv6 (Module 1c )
6.3.1. Etude

Il s'agit ici de recuperer la procedure de chargement du systeme d'exploitation (IOS) du routeur CISCO
4700 et de la bonne version de ce systeme. A ce jour les versions IOS IPv6 evoluent encore rapidement et
la compatibilite materielle n'est pas totale. L'obsolescence prematuree de certains equipements n'empche
pas d'utiliser des versions de tests ( BETA).

Pour trouver la bonne version, il Iaut avant tout Iaire l'inventaire des Ionctionnalites requises. Puis ensuite
veriIier que les caracteristiques de l'equipement sont adequates (memoire, ...).
Le CISCO 4700 utilise possede quatre interIaces 10 Mbits ethernet et une interIace ATM.

Les Ionctionnalites IPv6 necessaires sont :
1. IPv6 pour interIaces Ethernet : pour que l'on puisse dialoguer de maniere native en IPv6
2. Routage RIPng : Pour pouvoir recuperer les annonces de route IPv6.
3. ACLs V6: Pour realiser un Iiltrage.
4. NAT-PT: Pour Iaire de la translation de protocole.
5. PIM-SM et MLD: Pour mettre en place le Multicast.

La diIIiculte majeure ici est de disposer de l'IOS permettant d'implementer toutes ces Ionctions sur
l'equipement disponible. Apres de longues heures consommees sur le site www.cisco.com pour acquerir
la philosophie CISCO et le dit IOS, il a Iallu se rendre a l'evidence qu' il n'existait pas d'IOS de
production disposant de toutes ces Ionctionnalites reunies...

L'UREC pouvant disposer des ressources techniques de RAP et du CCR, il a ete possible d'obtenir des
versions IOS de tests couvrant partiellement toutes les Ionctionnalites.

Cet IOS est un 12.3 et l`image du Iichier est c4500-is-mz.122-2.T4.bin
6.3.2. RaIisation

La procedure de chargement d`un IOS est dans le document CISCO SoItware Upgrade Procedure Ior
4700 . Il Iaut disposer d`un serveur TFTP sous Windows ou sous UNIX et copier le Iichier binaire sur
l`equipement en eIIaant l`IOS precedent avec la commande copy tftp flash .

Note: Attention ! la memoire de l`equipement doit tre suIIisante. Il est judicieux de brancher le Routeur
sur un courant secouru pendant l`operation.
Page : 14 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
6.4. Configuration du CISCO 4700 pour Ipv6 (Module 1e )

Note . Ce module est dependant des modules 1b et 1c.

6.4.1. Etude

La procedure de conIiguration IPv6 se trouve dans le document Implementing IPv6 Ior CISCO IOS
soItware . Les commandes IPv6 sont toutes precedees du mot cleI "ipv6" et sont similaires aux
commandes IPv4.

Pour correctement conIigurer le routeur, il Iaut analyser le schema de la topologie du module 1b pour
preparer la sequence de commande.

6.4.2. RaIisation

Dans l'ensemble les commandes ne presentent pas de diIIicultes pour la creation d`interIaces IPv6 et de
routage RIPng.


Les etapes sont indiquees dans le document de CISCO mentionne ci-dessus
1. Se connecter au routeur en mode conIiguration
2. ConIigurer les interIaces avec la commande ipv6 address
3. Activer le mode IPv6 ipv6 enable et ipv6 rip enable
4. Sortir du mode conIiguration
5. Activer le routage RIPng ipv6 rip enable

Pour se connecter au routeur, il Iaut utiliser le cble de connexion au port console et un logiciel
d`emulation de terminal.

L`ajout des adresses s`eIIectue pour chaque interIace avec la commande ipv6 address avec les options de
lien local ou non.

Une attention particuliere doit tre apportee aux interIaces qui suivant le type de routeur peuvent
comporter plusieurs connectiques ( 10Base2, RJ45, AUI, ...) : il Iaut bien activer la bonne connectique.

VeriIier que les interIaces sont bien actives.

Dans le cas d`un essai en local, l`activation du routage n`est pas necessaire.

Ne pas oublier de sauvegarder la conIiguration.



Il est judicieux de proceder par etape successive, en conIigurant interIaces par interIaces en disposant d'un
serveur TFTP pour sauvegarder le Iichier de conIiguration. Cela permet de proceder a un retour arriere en
cas de dysIonctionnement. Les commandes ping et traceroute sur les entites sont salvatrices.

Page : 15 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
6.5. Choix d'une distribution Linux IPv6 (Module 1d )
6.5.1. Etude
Le portage sur Linux du premier code relatiI a IPv6 a ete realise en novembre 1996 (Voir Annexe Linux
et Ipv6). A ce jour, toutes les distributions disposent d'un noyau systeme superieur a la version 2.2.2 sont
capables d'implementer IPv6. Des tests de conIormite sont disponibles sur www.tahi.org .

La premiere question ici est : Quelle est la distribution Linux supportant IPv6 qui permet d`executer
correctement les applications necessaire aux services demandes ?

Un site incontournable pour choisir une distribution est http://www.bieringer.de/linux/IPv6/. La
consultation des groupes de discussion est un bon moyen pour valider son choix (groups.google.com)

Cependant, la problematique a resoudre ici est : Quelle est la distribution Linux qui Iacilitera le
deploiement IPv6 avec une automatisation maximum ?

En eIIet les serveurs aujourd'hui sont conIines dans la plus petite piece de l'entreprise, avec un seul, voir
pas d'ecran du tout. Il n'existe pas d'interIace graphique permettant la conIiguration IPv6 et permettant un
deploiement automatise : le parametrage de l'installation devrait tre modiIiable a posteriori et sans
relancer la procedure d'installation
6.5.2. RaIisation
Pour se conIormer aux objectiIs mentionnes dans les modules 1b,1d et 1I, les distributions pretendantes
sont RedHat (voir aussi www.ASPLinux.com ) et PLD Linux pour sa speciIicite a IPv6 et sa
predisposition au deploiement. Le choix en Iaveur PLD Linux a ete retenue par l'UREC. ConIorte sans
doute par les caracteristiques suivantes :

1.PLD-LINUX aujourd'hui dispose encore du meilleur support du protocole IPv6
2.L'installation peut tre automatisee avec un Iichier de conIiguration comprenant IPv6 et contrlee par le
port console (installation avec un PDA sans ecran dans la salle machine).
3.La securite n'est pas en reste avec l`interIace rc-xinetd, le support des methodes d'authentiIication tel
que PAM, GASPI, TSL/SSL, SASL.
4. Un support total des RPMs, DEBIAN APTs, et dispose d'un outil de mise a jour POLDEK permettant
de combiner l'ensemble des sources de paquetages disponible sur le web.

PLD-LINUX, destinee aux administrateurs, demande neanmoins une etude approIondie pour Iaire
ressortir tous les avantages. Notamment l'etude des init-scripts qui conditionne tout le parametrage,
dont le reseau.

Trois versions sont couramment disponibles sur http://docs.pld-linux.org PLD Ra, Ac et PLD Rescue.
1. PLD Rescue permet de monter des services IPv6 sur n`importe quel PC avec un ensemble d`outils
d`administration consequent, le tout sur une cle USB de 64Mo ou un mini-CD. Monter un serveur
FTP pointant sur une partition NTFS du disque dur local est possible.
2. PLD Ra 1.0 existe depuis novembre 2002 et se trouve decline en plusieurs version dont Ra
3. PLD Ac 2.0 est sur le site CVS de www.pld-Linux.org .

Le choix se porte sur PLD Ra 1.0 pour sa stabilit.

Note . Pour des installations prevues en 2004 , la version AC 2.0 sera preIerable.
Page : 16 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
6.6. Installation de la distribution Linux (Module 1f )
6.6.1. Etude

L'acces haut debit etant democratise, il est commode d'utiliser les procedures d'installation via le reseau.
Cela permet de disposer automatiquement des correctiIs sans modiIier la procedure d'installation.

L`utilisation du port serie relie a un PDA disposant du mode terminal est interessante pour realiser
l`installation dans les petites salles machines.

Dans le cas ou l'installation avec CD est de mise, il Iaut recuperer les signatures MD5 avec le Iichier
image ISO correspondant et Iaire la comparaison avant de graver le CD ( Itp://Itp.pld.org.pl).

Ce document ne suIIirait pas a decrire l'ensemble des recommandations, cependant de nombreux sites
web debattent sur le probleme. Le Iait de posseder de bonnes connaissances en architecture systeme est
un atout non negligeable.
6.6.2. RaIisation

Sur le serveur Itp://Itp.pld.org.pl se trouve le necessaire pour l`installation. Le manuel d`installation
PLD Linux distribution guide est disponible sur http://docs.pld-linux.org.

L`installation a ete realisee avec une disquette de boot qui permet de sauvegarder le parametrage eIIectue.
Le parametrage inclut le partionnement, la conIiguration reseau et les services que l'on souhaite utiliser.
Le Iichier de parametrage peut tre modiIie ulterieurement installer.conI dont voici un extrait :

source="net"
source_device="http://fr2.rpmfind.net/linux/PDL/dists/1.0/"
source_filesystem="net"
net_device="eth0"
net_ipaddr="194.57.138.36"
net_ipaddr1="2001:660:3302:f::11/64"
net_prefix="27"
net_gateway="194.57.138.62"
net_dns="194.57.137.114"
net_v6="yes"
dest_devices="/dev/hda"
dest_devices_actions="make_new" ## attention! cette commande efface le disque.

Le partionnement est tres important. Il est judicieux de prevoir une partition boot de 512Mo et une
partition contenant les donnees. Une partition de 5Go est suIIisante pour le systeme et l'utilisation des
outils de copie de partition permettent d'eIIectuer des tests en evitant les regressions. Le disque dur du
serveur P4 IPv6 est de 80Go, cela permet de Iaire beaucoup de tentatives.

Le serveur dispose de plusieurs interIaces reseau la premiere detectee sera utilisee pour l`installation.
Pour connatre celle qui est utilisee il Iaut executer la commande lspci

La mise a jour vers un noyau 2.4.x s'eIIectue sans probleme avec l'outil universel POLDEK. La mise a
jour complete du systeme et des services s`execute en une ligne de commande : poldek u.

Note 1 : Pour une premiere installation, la selection de tous les paquetages est recommandee
Note 2 : Activez les sites FTP supplementaires de PLD-Linux pour l`outil POLDEK . (/etc/poldek.conI)
Note 3 : La procedure permettant de deployer l`installation reste a ecrire en Ionction des besoins.

Page : 17 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
6.7. Intgration et tests d'interconnexions unitaires (Module 1g)

6.7.1. Dfinition du pIan de test

L'integration des modules 1a a 1d ensemble, par etape, pour permettre le diagnostique en cas de
probleme.

Les tests peuvent tre decomposes en trois phases:
Phase 1: Interconnexion locale UREC: module 1b, 1c, 1d, 1e, 1I
Phase 2: Interconnexion RAP : module 1a
Phase 3: Interconnexion WWW IPv6 : Partie n1 operationnelle.

La phase 1 est locale a l'UREC
1.1 VeriIication du bien Ionde de la topologie choisie
1.2 Execution de la commande Ping sur chaque interIace IPv6 et Ipv4
1.3 Execution de transIerts de donnees en IPv6 (TFTP, ...)

La phase 2 permet de valider l`interconnexion IPv6 native entre l'UREC et RAP.
2.1 Execution de la commande Ping sur chaque interIace IPv6 et Ipv4
2.2 Test du lien en traant les annonces de route

La phase 3 valide la Partie n1
3.1 Parametrer un navigateur sur le serveur
3.2 Recuperer l'adresse IPv6 d'un site IPv6
3.3 Execution de la commande Ping sur cette adresse
3.4 Execution du navigateur avec l`adresse sous la Iorme |2001 :660 :3302 :F ::11|
3.5 Execution du navigateur avec www.ipv6.org

6.7.2. Excution du pIan de test
Phase Test Description DiIIicultes Resultat
1 1 VeriIication Ipv4 non perturbe avec Ipv6 aucune OK
1 2 Execution Ping sur toutes interIaces ajoutees a l` UREC aucune OK
1 3 TFTP sur Quarks, copie IPv6 conIiguration CISCO 4700 Creation serveur TFTP OK
2 1 Execution Ping sur interIaces v6 entre UREC et 6RAP aucune OK
2 2 Execution traceroute entre UREC et 6RAP aucune OK
3 1 Acces www.ipv6.org avec DNS IPv4 aucune OK
3 2 Recuperer avec www.traceroute6.org aucune OK
3 3 Execution Ping avec IPv6 aucune OK
3 4 URL du navigateur avec IPv6 aucune OK
3 5 URL du navigateur avec www.ipv6.org puis site choisi
en arrtant l`interIace IPv4
IIconIig eth0 down OK

Page : 18 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

7. Ajout du service DNS IPv6 (2eme Partie)

La deuxieme partie permet de Iournir deux services a l'ensemble des entites ayant un acces sur le serveur
IPv6 de l'UREC. Ces services permettent de Iaire une resolution de noms aux entites du reseau IPv6 de
l'UREC et de rediriger les requtes HTTP IPv6 vers le serveur HTTP IPv4 de l'UREC.

Modules constituant la deuxieme partie:

a - Installation et parametrage du service DNS IPv6.
b- Procedure de test du service DNS IPv6.
c- Choix d'un relais Web IPv4 - IPv6
d Procedure de test du service Web IPv6.


7.1. Installation et paramtrage du service DNS IPv6 (Module 2a )

7.1.1. Etude

Le service de resolution de noms (DNS) permet de correler une adresse IP a un nom dans le cadre de
reseaux etendus. Ce systeme de nom de domaine consiste en une hierarchie de noms permettant de
garantir l'unicite d'un nom dans une structure arborescente. L'application de ce procede est identique en
Ipv6 (RFC1886) avec l'ajout d'un nouveau type d'enregistrement "AAAA" dans la classe IN. Une entite
aura autant d'enregistrements que d'adresses IPv6 (cardinalite 1-1). Le service DNS IPv6 de l'UREC est
de type statique, les possibilites dynamiques liees aux procedes d'auto-conIiguration ne sont pas utilisees.

L'installation ressort de la procedure classique (ConIigure, make, make install) de l`applicatiI Bind 9.2.x
pour supporter IPv6 et peut tre etudie avec :

http://www.ipv6.asti.dost.gov.ph/repository/DNSbyDenis.ppt

La problematique essentielle reside dans le parametrage et le transIert de zone (RFC 1912). Il existe deux
options de parametrage :

soit le serveur de nom est global au site et doit resoudre les requtes IPv6 et IPv4. Dans ce cas, dans la
classe IN il y aura deux types d'enregistrements : "A" et "AAAA".
Soit le serveur de nom est dedie Ipv6 et ne contient que des enregistrements de type "AAAA".

Dans tous les cas, des noms peuvent tre associes aux interIaces disposant d'une ou de plusieurs adresses
IPv6, aux adresses de liens locaux, aux adresses compatibles IPv4 et aux adresses IPv4 mappees.

Les transIerts de zone presentent des diIIicultes en Ionction du niveau de compatibilite IPv6 des serveurs
de noms secondaires si ils utilisent un programme Bind inIerieur a 8.2.2-P5.

Pour Iaciliter les tests et la maintenance, les Iichiers de parametrages doivent tre Iacilement
identiIiables :
named.conI associe les Iichiers zone qui sont /var/named.data/UREC6/. (voir annexes)

Page : 19 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
7.1.2. RaIisation avec Bind 9.2.1

Cela consiste a ecrire le Iichier Named.conI ou il Iaut ajouter listen-on-v ] any; }; dans les
options et les Iichiers Zone associes pour permettre la resolution du nouveau reseau IPv6
2001 :660 :3302 :F ::/64. Le Iichier localhost.rev pour la partie reverse en local (127.0.0.1 pour IPv4
et ::1 pour IPv6). Ces Iichiers sont disponibles en annexes.

Les zones sont diIIerentes pour IPv4 et IPv6 pour ne pas impacter le DNS v4 de l`UREC.
IPv4 : ipv6.urec.cnrs.Ir
IPv6 : urec6.cnrs.Ir

- Les zones directes :

Enregistrement A pour IPv4 et AAAA pour IPv6
Resolution du nom a partir de l`adresse
exemple: quarks IN AAAA 2001:0660:3302:F::11
- Les zones inverses:

Resolution du nom a partir de l`adresse
IPv6 : deux arborescences
ip6.int (administre par l`ITU)
ip6.arpa (administree par l`IETF), Iutur remplaant d`ip6.int

Fonctionnement :
Renverser les adresses, par demi-octet, separes par des . (notation nibble ) :
$ORIGIN 2.0.3.3.0.6.6.0.1.0.0.2.ip6.int.
1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.I.0.0.0 IN PTR quarks.urec6.cnrs.Ir.

Il existe une seconde notation reverse IPv6 se nommant Bitstring , mais celle-ci est pour
l`instant abandonnee. (ex : \|200106602001\48|.ip6.arpa)

Pour ameliorer les perIormances, il est souhaitable d`adherer au DNS secondaire IPv4 de l`UREC.

Note : Les possibilites de Iiltrage des nom view et de liste d`acces sont particulierement interessantes
en IPv6 (plusieurs adresses pour une interIace) pour isoler et proteger des services.

Note : Le DNS v6 de l`UREC est operationnel en local et devra tre secondaire du DNS de 6RAP pour
tre vu d`internet.
7.2. Procdure de test du service DNS Ipv6 (Module 2b )

La procedure de test unitaire consiste a veriIier la correlation entre une adresse et un nom donne. Cette
procedure peut tre decomposee en trois phases:

7.2.1. PIan de test DNSv6

La procedure de test global consiste a veriIier les regles etablies dans les RFCs 1886 et 1912. Cette
procedure diIIere suivant que le service DNS est visible ou non d' Internet. Lorsque le service est visible,
l'utilisation d'un veriIicateur de zone et d'integrite disponible sur Internet permet de valider le service.
Dans le cas contraire, il Iaut installer le veriIicateur de zone sur le reseau local.
Page : 20 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

Phase 1: Service DNS lance et actiI:
1.1 VeriIication de l'etat de l`execution du service.
1.2 Lecture des journaux du systeme et du service.

Phase 2: Test de correlation adresse-nom et nom-adresse:
2.1 Utilisation de l'outil "nslookup"
2.2 Validation avec l'outil "digue"

Phase 3: Test global de conIormite aux RFCs
3.1 Installation de ZoneCheck V2 sur le serveur Quarks
3.2 Test du DNS v6 avec ZoneCheck V2
3.3 Relie le DNS v6 de l`UREC au DNS primaire
3.4 Test du DNS v6 avec ZoneCheck V2 via le web
7.2.2. Excution du pIan de test

Phase Test Description DiIIicultes Resultat
1 1 Test unitaire avec named g SigniIication des
messages d`erreurs
OK
1 2 Lecture de dmesg, syslog, named.log SigniIication des
messages d`erreurs
OK
2 1 Test avec nslookup set qany des noms et en
s`aidant de man nslookup et de man dig
Aucune OK
2 2 Contrle de coherence avec dig Coherence totale OK
3 1 Install a partir de www.zonecheck.Ir (NIC France) Ajout du langage Ruby OK
3 2 Test local sur la zone urec6.cnrs.Ir Les messages d`erreurs
Iont reIerence aux RFCs
OK
3 3 Relier urec6.cnrs.Ir au DNS de 6RAP Non realise Non realise
3 4 Test a partir de www.zonecheck.Ir Non realise Non realise

8. Mise en pIace d'un reIais web IPv4 vers IPv6
8.1. Choix d'un relais Web IPv4 - IPv6 (Module 2c)
8.1.1. Etude

Le service Web de l`UREC est generalement accessible en IPv4, ajouter un acces IPv6 demande une
analyse approIondie tant le probleme est complexe (RFCs 2893, 2185, 2766, 2667). En eIIet, la chane
des entites qui vehiculent les requtes HTTP doivent supporter IPv6 (pare-Ieu, AuthentiIication, cryptage,
routeurs, Fournisseur d'acces, ...).

Les scenarios sont multiples et beaucoup de tentatives sont presentes sur le Web : Utilisation d'un serveur
Ipv4 et d'un serveur IPv6 ou d'une double-piles sur toutes les entites, d'un "reverse proxy", d'un
"64bouncer" ... Il existe aussi du code en langage C au niveau socket permettant de remplir la Ionction de
translation de protocole sous Unix et Windows (www.hs247.com) qui peuvent tre utilises vu le Iaible
traIic engendre en IPv6. Chaque solution pose diIIerents problemes qui peuvent tre regroupes de la Iaon
suivante:
Page : 21 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

Enumeration des problemes :
1. Par-Ieu: Pas ou peu de par-Ieu compatible IPv6
2. Filtrage: Pas de modele de Iiltrage disponible
3. Securite: translation de session SSL IPv6 Ipv4
4. Stabilite: introduction IPv6 avec IPv4
5. Erreur de Liens sur serveur IPv4.

La problematique ici est la suivante: Comment disposer de l'acces IPv6 sur le service Web de l`UREC
sans perturber le Ilux Ipv4 existant ?

Pour minimiser l'inIluence sur le service web, la solution la plus Iacile a implementer est l'utilisation d'un
"Reverse -Proxy". Premierement, un "reverse-proxy" ne requiert aucune modiIication du service Web
IPv4 puisque c'est une redirection. Deuxiemement, la resolution de probleme est Iacilitee puisque c'est un
service debraillable. EnIin, il n'y a aucune modiIication des mecanismes de securite IPv4 mise en place.
Cela garantit une evolution saine et progressive du service Web vers IPng.


Pour rendre disponible le site www.urec.cnrs.Ir en IPv6 via le serveur quarks.urec6.cnrs.Ir il Iaut
considerer les applications Squid et Apache qui disposent d`un reverse proxy. D`autres plus speciIiques
comme wwwoIIle, 46Bouncer (http://netgroup.polito.it/46bouncer), Prometeo (http://prometeo-
proxy.sourceIorge.net) et le projet Vermicelli (www.vermicelli.pasta.cs ) sont a evaluer.


8.1.2. Schma d'intgration d'un reIais Web IPv4 vers IPv6

8.1.3. RaIisation avec Apache 1.3.27

Le choix pour l`experimentation s`est porte sur Apache 1.3.27 pour son aptitude en gestion de sessions
SSL. Apache dispose d`un module proxy qui Ionctionne en Iorward et Reverse . La Ionction
Iorward permet d`envoyer les requtes HTTP a leur place pour les proteger. La Ionction Reverse
eIIectue le mme traitement au niveau des serveurs : lorsque qu`un serveur reoit une requte il reconnat
comme adresse source l`adresse du proxy.
Page : 22 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

Le parametrage d`apache httpd.conI consiste a realiser les actions suivantes :
1. Ouvrir l`ecoute du port 80 pour IPv6 Listen ::80
2. Ne plus ecouter le port 80 pour IPv4
3. Positionner le nom du serveur ServerName quarks.ipv6.urec.cnrs.fr
4. Activer le module proxy ProxyRequests on
5. Ajouter un serveur virtuel NameVirtualHost 2001:660:3302:F::11
6. Paramtrer le serveur virtuel :
<VirtualHost [2001:660:3302:F::11]:80>
ProxyPass / http://www.urec.cnrs.fr/
ProxyPassReverse / http://www.urec.cnrs.fr/
</VirtualHost>


Note 1: Le support d'IPv6 dans un service Web pose de nombreux problemes dans une topologie ou les
Ilux v4 et v6 sont separes. Il n`y a pas encore de solutions generalisees.

Note 2 : Une solution pour resoudre les erreurs de liens consisterait a toujours retourner une URL Iixe
quelque soit la navigation.
8.2. Procdure de test du service Web IPv6 (Module 2d )

8.2.1. PIan de test accs au Web IPv4 via IPv6

La procedure de test unitaire consiste a veriIier sur une entite IPv6 l'acces au service Web via le relais
proxy. Pour chaque etape il Iaut consulter les journaux dans Consulter les journaux dans /var/log/httpd/.
Cette procedure peut tre decomposee en trois phases:

Phase 1: Acces au service par l'adresse IPv6 du serveur IPv6:
1.1 Ping IPv6 sur le relais.
1.2 Lancement d'un navigateur avec l'adresse du relais.
1.3 VeriIication du contenu de la page principale
1.4 VeriIication de l`acces aux pages sous-jacentes
1.5 VeriIication de l`acces des liens sur les autres sites

Phase 2: Acces au service par le nom du serveur IPv6:
2.1 Le DNS IPv6 doit tre visible
2.2 Lancement d'un navigateur avec le nom de la passerelle.
2.3 Re-derouler les etapes 1.3 a 1.5

Phase 3: Test global d'accessibilite

La procedure de test global consiste a veriIier que l'on peut acceder aux services Web de n'importe ou.
Pour cela, plusieurs techniques peuvent tre employees:
3.1 Via des services Web IPv6 www.IPv6.org
3.2 Via un tunnel www.Ireenet6.com
Page : 23 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

8.2.2. Excution du pIan de test

Phase Test Description DiIIicultes Resultat
1 1 Ping 2001 :660 :3302 :F::11 aucune OK
1 2 Lancement de Mozilla avec |2001 :660 :3302 :F::11| aucune OK
1 3 Comparaison source page avec celle en IPv4 aucune avec Ic OK
1 4 VeriIication de l`acces aux pages sous jacentes. aucune OK
1 5 VeriIication de l`acces des liens sur les autres sites Liens externes a l`UREC KO
2 1 Le DNS IPv6 doit tre visible aucune OK
2 2 Acces avec URL quarks.urec6.cnrs.Ir aucune OK
2 3 VeriIication de l`acces aux pages sous jacentes. Les
URL externes aux sites ne sont pas accessibles.
Liens externes a l`UREC OK
3 1 Via des services Web IPv6 www.IPv6.org Non realise Non realise
3 2 Via un tunnel www.Ireenet6.com Non realise Non realise


Notes :
L`acces IPv6 via un proxy a un serveur Web est operationnel. Cependant les problemes potentiels
enumeres dans l`etude sont reels. Le probleme des erreurs de liens qui surgissent lors de re-
direction vers des sites web IPv4 secondaire reste entier. Ces erreurs sont nuisibles et coteuses a
corriger surtout sur des sites commerciaux.

La modiIication des liens errones un a un n'est pas envisageable, d'autres solutions sont a
envisager comme la reecriture des URLs cte proxy ou serveur web. L`ideal etant de retourner
une URL constante www.urec6.cnrs.Ir quelques soient les requtes HTTP du client. Un proxy
DNS v4-v6 est peut tre a envisager comme palliatiI.

L`Intranet ici securise, n`a pas ete accessible. Cependant le probleme se trouve au niveau des
certiIicats. Dans la 3eme partie, le module SSL IPv4 vers IPv6 est valide.
9. DisponibiIit et administration du rseau Ipv6 (3eme Partie)

Cette partie propose des outils d`administration de reseau, elle decrit une approche possible de
l'administration d'un reseau IPv6 avec pour support l`ajout de liste d`acces (ACLs). A ce jour, il n'y a pas
d'administration de reseau IPv6 utilisant le reseau IPv6.

L'administration de reseau se traduit souvent par la mise a disponibilite ou non d'une ressource. Les
techniques permettant de rendre disponible une ressource se traduisent souvent par un Iiltrage. Le Iiltrage
des ressources en IPv6 est un sujet d'actualite et peu de recommandations existent.

Modules constituant la troisieme partie:

a- Les outils d'administration de reseau et de services via le Web IPv6
b Les listes d'acces sur les entites IPv6


Page : 24 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
9.1. Les outils d'administration du rseau et des services via le Web
IPv6 (Module 3b )
9.1.1. Etude des outiIs disponibIes
L'administration est une tche ardue sans outils. La consultation de journaux, le parametrage et la gestion
des alarmes se trouvent simpliIies lorsque ces travaux sont eIIectues via une interIace adaptee.
Avant de Iaire une demande d`achat pour une station HP open view, il est possible d`utiliser MRTG V2,
NETCAT6, NETSAINT. sachant que le traIic IPv6 est Iaible et qu`il est diIIicile d`obtenir les MIBs:
(Management InIormation Base). Les applications proprietaires disposent de peu de Ionctionnalites IPv6,
par contre l`analyse de trame via un port miroir et Ethereal Ionctionne.

L'administration de services DNS, Web, Proxy ... via une interIace Web est plus courante mme en IPv6.
Cependant l'acces au mode commande est indispensable et le transport de l'inIormation doit tre securise.

La problematique de ce module est de trouver un produit capable d'administrer des entites reseau IPv6
pour administrer les ACLs via les reseaux IPv6 et Ipv4 avec une interIace conviviale. Le produit retenu
doit permettre l`administration du routeur CISCO IPv6 et des services DNS, WEB, de journalisation.

L`acces telnet n`etant pas securise, le mode SSL (Secure socket Layer) doit tre utilise. Cela permettra
de mettre en application le passage d`une session SSL entre IPv4 et IPv6.

9.1.2. RaIisation avec webmin 1.090
Un des produits repondant a ces criteres est Webmin (www.webmin.com ). Disponible sur toutes les
plates-Iormes UNIX, deploye dans les produits Unix SOLARIS et HP. Il est base sur une architecture
modulaire qui est ecrite en Perl.
Webmin permet de parametrer tous les services Unix et il dispose des acces Telnet et SSH. Il s`execute :
sur un petit serveur web IPv4 miniserv.pl . Pour permettre son acces en IPv6, il Iaut appliquer la mme
demarche que pour le relais proxy Web de l`UREC en ajoutant des regles de reecriture d`URL pour Iixer
l`arborescence.

L`installation sur Quarks doit tre Iaite avec le RPM Iourni pour PLD : webmin 0.9.x . Il Iaut ensuite
utiliser la procedure de mise a jour disponible dans l`interIace de conIiguration de Webmin en modiIiant
la signature du systeme d`exploitation en RedHat 7.3.

Pour acceder en IPv6 a Webmin, la creation d`un serveur virtuel est necessaire dans Apache. Il est
judicieux d`utiliser une nouvelle adresse pour mieux gerer la disponibilite du service comme cela est
indique ici :
<VirtualHost [2001:660:3302:F::12]:1028>
DocumentRoot /home/httpd/html/test
ServerName quarks.urec6.cnrs.fr
ErrorLog /var/log/httpd/webmin_1028.ipv6-error_log
CustomLog /var/log/httpd/webmin1028.ipv6-accesslog combined
RewriteEngine on
RewriteLog /var/log/httpeRule ^/(webmin)/(.*)$ http://194.57.138.36:9999/$1/$2 [NC,P]
RewriteRule ^/(.*)/(.*)/$ http://194.57.138.36:9999/$1/$2 [NC,P]
RewriteRule ^/(.*)$ http://194.57.138.36:9999/$1 [NC,P]
</VirtualHost>

Note : Le mecanisme des re-ecriture de regle est diIIicile a apprehender au premier abord.

Page : 25 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
9.1.3. Interface Web Ipv6 d'administration du serveur Quarks de L'UREC


Home Page
Feedback..
Version 1.090 on quarks (PLD Linux Ra 1.0 |kern 2.4.20|)

Webmin System Servers Networking Hardware Cluster Others

9.1.4. Interface web de gestion des interfaces rseau

Interfaces Active Now
Add a new interIace
Name Type IP Address Netmask Status
eth0 Ethernet 194.57.138.36 255.255.255.224 Up
ipsec0 Unknown 194.57.138.36 255.255.255.224 Up
lo Loopback 127.0.0.1 255.0.0.0 Up
Add a new interIace

Interfaces Activated at Boot Time
Add a new interIace
Name Type IP Address Netmask Activate at boot?
eth0 Ethernet 194.57.138.36/27 Automatic Yes
eth1 Ethernet 2001:660:3302:I::11/64 Automatic Yes
Conf ig carte ethernet 1 [Etape 1]

Edition du Iichier de conIiguration de l'interIace reseau
eth1: /etc/sysconIig/interIaces/iIcIg-eth1
Edit Iile editor
Recherche Conf ig Pv6 sur Serveur Quarks

Edit command
Activit rseaux

ConIiguration reseau, Etat du reseau,
Liste des ports utilises
Edit command
Marche-Arrt Lien Pv6

EIIectue un iIconIig down puis up sur la
carte Ethernet 1 (eth1)
Edit command

Note : PLD-Linux genere au demarrage les Iichiers de conIiguration avec les init scripts : toutes
modiIications sur ces Iichiers se trouvent perdues au prochain demarrage.

Note : Ces blocs de commandes etendues ont ete realises speciIiquement pour le reseau IPv6 UREC.

9.2. Les listes d'accs sur les entits IPv6 (Module 3a )
9.2.1. Etude


Page : 26 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Les listes d'acces sont aujourd'hui sur tous les services applications et sur tous les equipements reseau.
Les services DNS, Squid, Apache disposent de mecanisme de Iiltrage diIIerent avec une granularite
variable. Les equipements Commutateur, Routeur IPv6 sont dotes de listes d'acces qui permettent
d'eIIectuer un Iiltrage analogue a celui pratique en IPv4 si l'on considere une topologie de reseau statique.
Le cas d'une topologie dynamique n'est pas etudie ici.

La politique de securite de l'UREC, preconise un contrle d'acces au niveau des equipements et non des
services. Cela permet dans le cadre du reseau IPv6 de concentrer le Iiltrage sur le routeur IPv6. Le Iiltrage
doit empcher les connections distantes sur le serveur IPv6 de type Telnet, SSH, sachant que les autres
services ne sont pas installes.

La problematique ici consiste a etablir les listes d'acces sur les interIaces IPv6 du routeur CISCO 4700
pour rendre disponible l'acces au DNS et au Web et indisponible pour toutes les autres connexions venant
.de l`exterieur.
Les ACL sont des Ionctions appliquees a chaque paquet IP transitant a travers le routeur et qui ont pour
parametres :
l'adresse IP de l'emetteur du paquet
l'adresse IP du destinataire du paquet
le type du paquet (tcp, udp, icmp, ip)
le port de destination du paquet
Pour un paquet donne, l'ACL prend deux valeurs
deny : le paquet est rejete
permit : le paquet peut transiter par le routeur
Le sens du traIic peut tre precise, c'est a dire en entre ou en sortie :
Une ACL de type in associee a une interIace, contrle le traIic qui entre dans le routeur par cette
interIace.
Une ACL de type out associee a une interIace, contrle le traIic qui quitte le routeur par cette interIace.

Attention : les ACL ne s'appliquent qu'au traIic en transit et pas au traIic genere par le routeur lui-mme.
Par exemple, le traIic resultant d'une connexion telnet vers le routeur n'est pas soumis aux ACL.
Page : 27 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

9.2.2. RaIisation

La mise en place des ACLs s`eIIectue via le port console du routeur CISCO 4700, a partir d`une session
telnet executee dans Webmin.

Les criteres de disponibilite suivants doivent tre veriIies :
1. Autoriser l`acces aux utilisateurs interne a l`UREC
2. Autoriser l`acces au serveur Web de l`UREC a tout le monde dans la DMZ (Zone demilitarisee)
du serveur Quarks (2001:660:3302:F::11)
3. Interdire tous les autres acces sur l`adresse 2001:660:3302:F::11
4. Autoriser l`acces au serveur Web d`administration de l`UREC au reseau 2001:660:3302::/64
dans la DMZ (Zone demilitarisee) du serveur Quarks (2001:660:3302:F::12)
5. Interdire les connexions initiees de l`internet vers la zone protegee.
6. Generer un journal des tentatives de connexions interdites.



La diIIiculte ici est le manque de recul Iace aux attaques potentielles en IPv6. L`evaluation des attaques
est d`autant plus compliquee avec les mecanismes d`auto-conIiguration.




2001:660:3302:F::/64
Zone protg
Ethernet-3
Ethernet-2
IPv6 ACLs UREC
DMZ:Serveur QUARKS ::11
Non utiIise
ipv6 access-list vty
deny ipv6 any any log-input
line vty 0 4
ipv6 access-class vty in
ipv6 access-list dmz-in6
permit ipv6 host 2001:660:3302:F:11 any
ipv6 access-list internal-in6
permit tcp 2001:660::/64 any reflect internal-tcp
permit udp 2001:660::/64 any reflect internal-udp
permit icmp 2001:660::/64 any
permit icmp any any router-solicitation
ipv6 access-list internal-out6
evaluate internal-tcp
evaluate internal-udp
permit icmp any 2001:660::/64 echo-reply
ipv6 access-list exterior-in6
evaluate exterior-tcp
evaluate exterior-udp
remark Allow access to http server on the DMZ
permit tcp any host 2001:660:3302:F::11 eq www
permit tcp any host 2001:660:3302:F::12 eq www
permit tcp any host 2001:660:3302:F::11
range 49152 65535
permit icmp any any echo-reply
permit icmp any any unreachable
deny ipv6 any any log-input
ipv6 access-list exterior-out6
permit tcp 2001:660::/64 any reflect exterior-tcp
permit udp 2001:660:;/64 any reflect exterior-udp
interface ethernet-0
ipv6 address 2001:660:2401:2001::2/64
ipv6 traffic-filter exterior-in6 in
ipv6 traffic-filter exterior-out6 out
interface ethernet-2
ipv6 address 2001:660:3302:F:1000::1/80
ipv6 traffic-filter internal-in6 in
ipv6 traffic-filter internal-out6 out
interface ethernet-3
ipv6 address 2001:660:3302:F::1/64
ipv6 traffic-filter dmz-in6 in
Internet Via RAP Eth0
2001:660:2401:2001::2/48

Page : 28 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

9.2.3. PIan de test administration Serveur et Routeur

La procedure de test consiste a veriIier l`acces a l`administration des services du reseau Ipv6 de l`UREC.

Phase 1: Administration Serveur
1.1 Acces Webmin en Ipv4.
1.2 Acces Webmin en Ipv6.
1.3 Administration du DNS Quarks V6 avec le module Webmin Bind.
1.4 Administration du WEB Quarks V6 avec le module Webmin Apache
1.5 Administration des interIaces reseaux

Phase 2: Administration Routeur:
2.1 Le DNS IPv6 doit tre visible
2.2 Lancement d'un navigateur avec le nom de la passerelle.
2.3 Re-derouler les etapes 1.3 a 1.5

Phase 3: Test global d'accessibilite

La procedure de test global consiste a veriIier que l'on puisse acceder aux services Web de n'importe ou.
Pour cela, plusieurs techniques peuvent tre employees:
3.1 Via des services Web IPv6 www.IPv6.org
3.2 Via un tunnel www.Ireenet6.com
9.2.4. Excution du pIan de test

Phase Test Description DiIIicultes Resultat
1 1 Ping 2001 :660 :3302 :F::11 aucune OK
1 2 Lancement de Mozilla avec |2001 :660 :3302 :F::11| aucune OK
1 3 Comparaison source page avec celle en IPv4 aucune OK
1 4 VeriIication de l`acces aux pages sous-jacentes. Sans lien externe
au site UREC
IPv4. Ni Intranet
OK
1 5 VeriIication de l`acces des liens sur les autres sites aucune KO
2 1 Le DNS IPv6 doit tre visible aucune OK
2 2 Acces avec URL quarks.urec6.cnrs.Ir aucune OK
2 3 VeriIication de l`acces aux pages sous-jacentes. Les
URL externes au site ne sont pas accessibles.
Sans lien externe
au site UREC
IPv4. Ni Intranet
OK
3 1 Via des services Web IPv6 www.IPv6.org DNS Primaire Non realise
3 2 Via un tunnel www.Ireenet6.com DNS Primaire Non realise

Page : 29 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
10. TransIation de protocoIe IPv4 vers IPv6 (4eme Partie)
10.1.1. Etude de NAT-PT

IPv6 resout le probleme de l'adressage, cependant une longue periode de transition va s'eIIectuer pendant
la transition IPv4 vers IPv6. Pour perenniser la stabilite acquise sur les reseaux Ipv4, le besoin d'un
mecanisme de translation s'est renIorce. La solution NAT-PT (RFC 2766 Network Address Translation
Protocol translation) est apparue par opposition aux entites utilisant une double-pile.


NAT-PT : la Iusion de deux concepts :

NAT (RFC 1631) est un procede de traduction d'adresse prive IPv4-IPv6 pour tout ou partie d'un site.
Les adresses ainsi traduites ne permettent pas de communiquer vers l`exterieur. Un routeur de sortie,
disposant d'un pool d'adresses oIIiciel convertit les requtes privees en une requte publique. Le
concept de bout en bout est donc brise. De plus, l'acces aux ressources securisees necessite une gestion
de cle deux Iois plus importante.

NAT-PT (RFC 2766) realise en plus du procede precedant, une translation de protocole entre IPv4 et
IPv6. Cela permet le dialogue entre une entite IPv4 et une entite Ipv6.

La topologie reseau IPv6 de l'UREC conduit inevitablement a positionner le service NAT-PT sur le
routeur IPv6. Celui-ci etant un CISCO, les translations sont a ce jour limitees aux services DNS et ICMP
par l`IOS utilise. D`autres restrictions comme pour les protocoles de securite de bout en bout ou la
Iragmentation de paquet subsistent.

La problematique de cette partie est de disposer de l'IOS incluant la Ionctionnalite NAT-PT pour le
routeur IPv6 de l'UREC.
10.1.2. RaIisation

Il n`existe pas de version IOS pour le CISCO 4700 disponible qui implemente la Ionction NAT-PT,
mme en version BETA.
Page : 30 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
11. Raccordement MuIticast IPv6 Renater3 via RAP (5eme
Partie)

Le transIert audio-video numerise sur Internet au niveau applicatiI est assure par RTP (Real time
Transport Protocol) qui se materialise par des Ilux de paquets UDP. Le multicast (une entite source, n
entite receptrices) par rapport a l'unicast consomme moins de bande passante et diminue la charge des
entites emettrices qui n'ont plus qu'un seul Ilux par canal a generer. Pour permettre ces optimisations, les
protocoles de diIIusion de groupe et de detection d`abonnes ont ete realises.

Le protocole MLD (RFC 2710: Multicast Listener Discovery) permet de gerer les groupes d`abonnes
dans des domaines. C`est sur l`adresse Multicast FF02::1 que la decouverte des abonnes s`eIIectue. Les
messages MLD sont vehicules dans des paquets ICMPv6. Le protocole de routage multicast PIM se base
sur les tables de routage pour gerer les points de rendez-vous et les abonnes.

Pour recevoir des Ilux multicast a l`UREC, il Iaut que le routeur CISCO 4700 connaisse le point de
rendez-vous du reseau de 6RAP pour recevoir les annonces de diIIusion.

Le raccordement peut tre compose en cinq modules:
a- Raccordement du routeur CISCO au point de rendez-vous de RENATER via 6RAP.
b- ConIiguration d'une station pour les applications multicast.
c- Test en reception de canaux multicast.
d- Presentation Routeur Linux IPv6 avec PIM-SM.
e- Test en reception de canaux multicast.

Deux topologies sont proposees pour realiser la diIIusion multicast :
1. Une premiere phase avec une topologie permettant de valider la Ionctionnalite PIM-SM sur le
routeur CISCO avec un abonne sous Linux.
2. Une deuxieme phase en utilisant le CISCO 4700 en simple routeur et en conIigurant Linux en
routeur PIM-SM. La validation se Iera avec un abonne sous Windows 2000
11.1. Schma Multicast avec routeur CISCO
F o u n d r y I p v 4
U R E C
P h a s e 1 : v i a u n r o u t e u r C I S C O
U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6
V 6 N a t i f
T u n n e I v 6 u n i c a s t
V L A N T A G 8 0 2 . 1 Q
R e n a t e r
3
C i s c o 4 7 0 0
P I M - S M V 6
S t a t i o n
R e d H a t 8 . 0
V i c & R a t
2 0 0 1 : 6 6 0 : 2 4 0 1 : 2 0 0 1 : : / 6 4
2 0 0 1 : 3 3 0 2 : F : : / 6 4
: : 1
: : 1 1
R s e a u
c a m p u s
J u s s i e u
6 R A P
: : 2
R s e a u U R E C I P V 6 M u I t i c a s t ( n i v e a u I o g i q u e )
L e r e s e a u R E N A T E R 3 e s t a c c e s s i b l e v i a u n t u n n e l u n i c a s t I P v 6 .
L e r o u t e u r C I S C O a r e j o i n t l e p o i n t d e r e n d e z - v o u s d e 6 R A P .
L e I l u x m u l t i c a s t I P v 6 e s t a c h e m i n e j u s q u ` a u r o u t e u r C I S C O .
L a s t a t i o n V i c & R a t s ` a b o n n e a u n e d i I I u s i o n a v e c S D R .

Page : 31 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
11.2. Schma Multicast avec routeur Linux
Foundry Ipv4
UREC
Phase 2: via un routeur ZebOS
UREC Multicast pv6 UREC Multicast pv6 UREC Multicast pv6 UREC Multicast pv6
V6 Natif
TunneI v6 unicast
VLAN TAG 802.1Q
Renater
3
Cisco 4700
PIM-SM V6
Linux 2.4.18-3 Router
ZebOs PM-SMV2
Station Vic
& Rat
2001:660:2401:2001::/64
2001:3302:F:1001::/80
::1
::11
::15 ::130
Rseau
campus
Jussieu
6RAP
::2
Rseau UREC IPV6 MuIticast (niveau Iogique)
Le reseau RENATER3 est accessible via un tunnel unicast IPv6.
Le routeur ZebOS a rejoint le point de rendez-vous de 6RAP.
Le Ilux multicast IPv6 est achemine jusqu`au routeur ZebOS.
La station Vic & Rat s`abonne a une diIIusion avec SDR.
2001:3302:F::/64

11.3. Raccordement du routeur CISCO au domaine PIM (Module 5a )
11.3.1. Etude

Pour recevoir les annonces de diIIusion, il Iaut se raccorder au point de rendez-vous de RENATER via
6RAP. Celui-ci est 2001:660:3007:300:1:: .
11.3.1.1. Ralisation
Le raccordement ne presente aucune diIIicute. Il consiste a ajouter dans la conIiguration du routeur
CISCO 4700 le point de rendez-vous avec la commande :
ipv6 pim rp-address 2001:660:3007:300:1::

Il Iaut aussi ajouter une liste d`acces pour autoriser les domaines multicast disponibles:
ipv6 access-list M6bone
permit ipv6 any FF0E::/16
permit ipv6 any FF1E::/16

Page : 32 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
11.4. Configuration d'une entit multicast avec VIC et RAT (Module 5b )
11.4.1. Etude

Il s`agit d`ajouter les Ionctionnalites de visioconIerence IPv4 & IPv6 Iournis avec les outils du Mbone
(http://www-mice.cs.ucl.ac.uk/multimedia/soItware , www.kabassanov.com ) . Ces outils sont disponible
pour les plate-Iorme Unix et Windows.
Il s`agit de trois applications:
1. VIC: pour recevoir les Ilux video .
2. RAT: pour recevoir les Ilux audio.
3. SDR: pour connatre la liste des sessions actives ou annoncees.
11.4.2. RaIisation

Dans la phase N1, ces outils sont installes sur une station Linux puis dans la phase N2 sous Windows.

L`installation des outils sous PLD-Linux Ra 1.0 Noyau 2.4.20 ne peut se Iaire parce que le compilateur
GCC 3.0 n`est pas disponible pour Ra 1.0. Il Iaut donc recourir a une autre distribution qui dispose de ce
compilateur. Ici, l`utilisation d`une distribution RedHat 8.0 convient parIaitement pour les trois outils
VIC, RAT et SDR.

Note 1: La distribution RedHat est souvent choisie par les developpeurs d`application reseau.
Note 2: La version PLD-Linux Ac 2.0 supporte le compilateur GCC 3.0 et sera disponible en version
stabilise en 2004.
Note 3: L`installation sous windows n`a pas ete eIIectuee, cependant les collegues de 6RAP l`utilisent.
11.5. Test en rception de canaux multicast (Module 5c )
Le test consiste a s`abonner a une diIIusion multicast avec l`outils SDR qui donnent le catalogue des
sessions. Plusieurs sessions peuvent tre consultees simultanement sans probleme .

Page : 33 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
11.6. Prsentation d'un routeur Linux IPv6 avec PIM-SM (Module 5d )
11.6.1. Etude
Le routage sous linux est bien adapte aux experimentations de nouveaux protocoles parce qu`il est
possible d`agir sur les modules de routage et sur le systeme d`exploitation. En juillet 2003, la Ionction de
routage PIM-SM V2 n`est pas disponible sur les distributions Linux. Les paquettages comme ZEBRA ne
le propose pas. Le seul module de routage Linux PIM-SM V2 disponible est ZebOS dans sa version 1.5
de IP InIusion.

Il est possible de Iaire une demande d`une version d`evaluation completement operationnelle pour Linux
et Ipv6, couvrant Ipv6, PIM-SM V2, IS-IS V6, OSPFv3, BGP4, VRRP, MPLS Layer 3.

ZebOs est architecture autour d`un bus reseau sur lequel sont connecte les diIIerents module permettant
de realiser les protocoles. Il dispose d`une interIace de commande 'CISCO Like qui permet de
conIigurer l`ensemble des Ionctionnalites dont le point de rendez-vous. La documentation Iournie dans la
version d`evaluation est tres complete et detaillee. La duree d`un test de ZebOS peut durer 30 jours.

Note: Ainsi, pour le Multicast Ipv6, on remarque que le Bootstrap (BSR) est conIorme au derniere recommendations et qu`il
Iaut donc utiliser une commande speciIique pour dialoguer avec un routeur CISCO: 'ip pimcrpciscopreIix.
11.6.2. RaIisation

Le manuel d`installation donne toutes les etapes pour installer le routeur ZebOS. Cependant, il n`est pas
possible avec la version 1.5 de l`installer sur PLD-Linux parce que le routeur necessite un compilateur
GCC 2.96. D`autre part IP InIusion garantit uniquement ZebOs sur RedHat.

Il Iaut donc choisir une distribution RedHat 7.3 pour l`installer correctement. Cette installation passe par
une phase de recompilation du noyau pour appliquer les correctiIs necessaires a la gestion des caches
PIM-SM et du BSR. Tout cela est indique dans le manuel d`installation.

Une Iois installee, la conIiguration du point de rendez-vous est la mme que celle du CISCO 4700 en
ajoutant 'ip pimcrpciscopreIix

Note: ZebOs presente un grand nombre de Ionctionnalites Ipv6 qui seraient interessantes a etudier.
Page : 34 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
11.7. plan de test multicast
11.7.1. Dfinition

Le test consiste a veriIier dans une premiere phase la reception des annonces multicast un niveau du
routeur et dans une deuxieme phase de s`abonner a une session.

Les tests peuvent tre decomposes en deux phases:
Phase 1: veriIier la reception des annonces multicast un niveau du routeur CISCO
Phase 2: ouvrir une session multicast Ipv6
Phase 3: ReIaire Phase 1 2 avec ZebOS.

La phase 1 est locale a l'UREC
1.1 Avec la commande show ipv6 route
1.2 Avec Ethereal sur le port miroir de sortie du FastIron de l`UREC

La phase 2 Ouverture une session multicast Ipv6.
2.1 Execution de SDR et choisir une session

La phase 3 Phase 1 et 2 avec ZebOS
3.1 Parametrer le routeur Cisco en simple routeur
3.2 Parametrer le routeur ZebOS en routeur PIM
3.3 Execution de la commande show ip mroute
3.4 Execution de SDR sur Windows 2000


11.7.2. Excution du pIan de test

Phase Test Description DiIIicultes Resultat
1 1 Show ipv6 route montre les FF0E ::/16 et FF1E ::/16 aucune OK
1 2 Faire un Iiltrage IPv6 uniquement avec l` MAC de la
station recevant le port miroir.
Savoir utilise Ethereal OK
2 1 Execution SDR donne la liste des sessions aucune OK
3 1 Parametrage interIace IPv6 de base aucune OK
3 2 ZebOS ip pim rp-address 2001:660:3007:300:1:: Install ZebOS OK
3 3 Execution show ip mroute aucune OK
3 4 Execution de SDR sur Windows 2000 Non
realise


12. Rfrences bibIiographiques
http.//www.ipv6forum.org/
Howto du routage avance et du controle de trafic sur Linux (philippe.latulinux-France.org )
http.//www.bieringer.de/linux/IPv6/index.html
http.//www.faqs.org/faqs/internet/tcp-ip/resource-list/index.html
http.//www.cr-basse-normandie.fr/vikman/ipv6.html
Memoire sur IPv6 Multicast de Lionel David (6RAP)

Page : 35 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
13. Annexes

13.1. Termes employs, glossaire et abrviations
13.1.1. Termes reIatifs aux rseaux

Base 10
Le systme bien connu des nombres dcimaux, reprsentant
n'importe quelle valeur avec les chiffres 0-9.
Base 16
Habituellement utilise dans les langages de programmation de bas
et haut niveaux, connue encore en tant que systme numrique
hexadcimal, reprsentant les valeurs avec les chiffres 0-9 et
les caractres A-F (insensible la casse).
Bit
Unit minimale de stockage, allum (on)/vrai (1) ou teint
(oII)/faux (0).
Byte
Le plus souvent, une collection de 8 (mais ce n'est pas
rellement une ncessit - regardez les systmes des anciens
ordinateurs) bits.
Peripherique
ici, matriel de connexion rseau (NIC), Carte ethernet 802.3.

Hte
Gnralement, un hte simple rsident, prsent sur un lien.
Normalement, il n'a seulement qu'une interface rseau active, par
exemple Ethernet.

Hte a double residence
Un hte double rsidence est un noeud ayant deux interfaces
rseau (physique ou virtuelle) sur deux liens diffrents, mais
qui ne ralise pas de renvoi de paquets entre les interfaces.
InterIace
Quasi-synonyme de "priphrique", au sens physique du terme c'est
la carte rseau. Au sens virtuel du terme c'est un ensemble
d'adresse IP qui peut se rduire une seule adresse.

En-tte IP
En-tte d'un paquet IP (chaque paquet rseau a un en-tte, son
type dpendant de la couche rseau).
Lien
Un lien est un mdium de transport de paquet rseau de la couche
2, des exemples en sont Ethernet, PPP, SLIP, ATM, ISDN, Frame
Relay, etc.


Page : 36 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Noeud
Un noeud est soit un hte, soit un routeur.
Octet
Une collection de 8 bits vritables, aujourd'hui synonyme de
"byte".
Port
Information destine au distributeur TCP/UDP (couche 4) afin de
transporter l'information la couche suprieure.
Protocole
Chaque couche rseau contient la plupart du temps un champ
protocole facilitant la distribution de l'information transporte
la couche suprieure, comme cela peut se voir dans la couche 2
(MAC) et 3 (IP)
Routeur
Un routeur est un noeud possdant une ou plusieurs interface(s)
rseau, capable d'envoyer les paquets entre les interfaces.
Socket
Une socket IP est dfinie par ses adresses source et destination,
ses Ports et (association)
Pile
Une collection de couches relatives au rseau.
Masque de sous-reseau
Les rseaux IP utilisent un masque de bits afin de distinguer le
rseau local de ceux qui sont distants.
Tunnel
Un tunnel est typiquement une connexion point--point sur
laquelle les paquets changs transportent les donnes d'un autre
protocole, un tunnel IPv6-in-IPv4 en est un exemple.

13.1.2. Abrviations

ACL
Liste de Contrle d'Accs
API
Interface de programmation d'application
BSD
Distribution des logiciels Berkeley
KAME
Projet - effort conjoint de six entreprises au Japon pour
fournir, mondialement et dans le cadre du logiciel libre, une
pile IPv6 et IPsec (pour IPv4 et IPv6) pour les variantes de BSD
www.kame.net
NIC
Carte d'interface rseau (Network InterIace Card)
Page : 37 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

RFC
Requte commentaires - jeu de notes techniques et
organisationnelles au sujet de l'Internet.
USAGI
Projet "UniverSAl playGround for IPv6" - travaille rendre
disponible une pile protocolaire IPv6, qui soit d'une qualit
apte la production, pour le systme Linux.

13.2. Qu'est ce qu'IPv6 ?
IPv6 est un nouveau protocole de la couche 3 (voir le modele OSI) qui
supplantera terme IPv4 (plus connu sous le nom d'IP). IPv4 a t
conu il y a dj pas mal de temps (RFC 760 / Le protocole Internet) partir de
janvier 1980, et, depuis le commencement, il y a eu de nombreuses
demandes pour accrotre la quantit d'adresses disponible et augmenter
les capacits. La RFC 2460 / speciIication du protocole Internet version 6 est un bon
point de dpart pour comprendre se qu'est IPv6. La modification
essentielle dans IPv6 est la nouvelle conception de l'en-tte qui se
trouve dot d'une capacit extensible. Aussi, une augmentation de la
taille de l'adresse, passant de 32 128 bits permet de rpondre au
problme d'adressage. Parce que la couche 3 est responsable de bout en
bout du transport des paquets dont le routage est bas sur des
adresses, elle doit inclure des nouveaux type d'adresses IPv6, comme
pour IPv4.

13.3. Historique d'IPv6
13.3.1. Introduction
C'est dans les annes 1992, 1993 et 1994 que IPv6 a commenc tre
labor.
IPv6 signifie "Internet Protocol Version 6". IPv6 ou IPng sont donc
la prochaine gnration du protocole, conus par l'IETF (The Internet
Engineering Task Force) pour replacer la version IPv4 du protocole IP.
La plupart des systmes utilisent aujourd'hui IPv4, qui a dj plus de
20 ans. Ipv4 a remarquablement bien rsist jusqu'a aujourd'hui ou les
premiers vrais problmes commencent. Notamment, le manque d'adresses
disponibles pour les nouvelles machines qui se connectent Internet.
IPv6 fournis en autre, une rponse ce problme d'adressage avec une
rflexion plus aboutis qu'en IPv4. La scurit, l'auto configuration,
le routage avec un chemin pr-tablis font partis des autres
amliorations.
IPv6 permet une migration en douceur grce une coexistence des deux
versions pendant une priode de transition sur des annes.

Page : 38 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
13.3.2. Points cIs

Une vue d'ensemble sur la prochaine gnration d'Internet IPv6 a t
tablis par l'IETF au congrs de Toronto le 25 juillet 1994 et
document dans le RFC 1752 "The Recommandation for the IP Next
Generation Protocol". Cette recommandation a t approuve par l'IESG
" Internet Engineering Steering Group" le 17 novembre 1994 en tant que
proposition de standardisation.
IPv6 est avant tout une volution de IPv4 et donc inter oprable. La
stratgie de dploiement est progressive, il n'y a pas de date butoir.
Il a t conu pour s'intgrer sur des protocoles de transport comme
ATM ou 802.11b, tout en enrichissant les fonctionnalits rseaux.

Lorsque l'IETF a crit le RFC 1752, beaucoup de choses ont t
considrs pour le protocole Internet nouvelle gnration. Certaines
sont videntes, comme par exemple le support du rseau mondial.
D'autres sont plus difficiles apprhender comme la transition IPv4
vers IPv6 avec une migration en douceur.

La croissance du rseau Internet est la raison fondamentale pour le
besoin d'une nouvelle version du protocole IP. Si une chose est bien
connue de IPv4 c'est que l'adressage et le routage doivent tre
capable de supporter les besoins futur. C'est important, ici de
comprendre comment les besoins ont volus dans le pass et comment
ils volueront demain.
En ce moment, IPv4 est utilis dans le march de l'informatique. Le
but de ce march est d'interconnecter les entreprises, gouvernement,
universits. Ce march a permis l'expansion de l'Internet d'une
manire exponentielle. Il double approximativement tous les ans depuis
1994. Les ordinateurs qui sont utiliss en fin de chane sont en
gnral fixes et de puissances variables interconnectes le plus
souvent via un rseau LAN "Local Area Network"
La prochaine phase d'expansion ne sera probablement pas en relation
direct ave le march de l'informatique. Il est vident que ce march
commence a se stabiliser : la vente d'ordinateur n'est plus en
progression.
D'autre type de march demandeur de fonctionnalit comme la mobilit,
les jeux en rseau, le multimdia ... Le challenge pour IPv6 est de
fournir une solution qui rpond et rsout les problmes poss par ses
marchs mergeant.
L'ordinateur nomade (PDA) devient abordable et se spcialise dans des
travaux avec des objets mtiers comme par exemple des lecteurs code
barre. Une caractristique cl est sans aucun doute le rseau. Non pas
comme aujourd'hui ou chaque mdia (RF, cable, IR), l'utilisateur
active le protocole de transport associ pour vhiculer ces donnes
applicative via IP. Cela se doit tre automatique avec IPv6. Ces
ordinateurs dots d'IPv6 peuvent devenir des outils avec des services
valeur ajout avec une facturation utilisateur et non au
propritaire de l'ordinateur. A cela IPv6 doit tre faiblement
consommateur de bande passante pour les messages de routage, mobilit,
d'auto configuration et de signalisation.
Page : 39 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
La nature de la mobilit impose aussi des mcanismes
d'authentification et de confidentialit intgrs au protocole lui-
mme. Il faut ajouter a cela les contraintes des rseaux sans fils
dictent au protocole des mcanismes trs consommateur en puissance de
calcul pour raliser des transferts fiables et scuris, tout en ne
ngligeant pas la gestion de l'nergie.
Si l'on considre les marchs relatifs aux divertissements, comme la
vido la demande ou les diffusions tlvises. Imaginez que chaque
canal de tlvision en haute rsolution soit une adresse Internet.
Aujourd'hui la diffrence entre la tlvision et l'ordinateur devient
insignifiante. Ces marchs comme les prcdents, ont besoins d'un
protocole Internet supportant un adressage et un routage trs grande
chelle bass sur des mcanismes d'auto configuration pour rduire au
maximum les procdures de service et de maintenance.
D'autres marchs peuvent utiliser IPv6 comme le contrle des appareils
domestiques. Ce contrle consiste superviser les taches
journalires. Ces marchs sont normes et ncessite des solutions
simples pour pouvoir tre exploits.
Le chalenge de IETF est de faire correspondre IPv6 aux besoins
d'aujourd'hui tout en ne ngligeant pas les marchs mergeant de
demain. Ces marchs commenceront avec ou sans l'IETF. Si IPv6
correspond bien ces marchs alors il sera utilis ou ce sera une
autre technologie cre par les constructeurs eux-mmes car les
marchs n'attendent pas. Un monde digital compltement inter oprable
serait pourtant idal.

13.3.3. La transition IPv4 vers IPv6

La transition est programme dans trois sept ans pour le dploiement
d'un nouveau protocole Internet. Deux facteurs vont influencer cela:
le routage et l'adressage. Le routage Internet mondial est base sur
IPv4 (32bits) va devenir inextricable parce qu'il n'est pas
hirarchique et difficilement agrgeable. Le dploiement du routage
sans classe entre les domaines (CIDR) donne un rpit mais l'effort de
gestion des tables de routages augmente. Mme si le routage a ses
palliatifs, le manque d'adresse lui est invitable. La question n'est
pas de savoir si on a besoin d'IPv6 mais quand ?
Le challenge pour un IPng est d'tre oprationnel avant que les
adresses IPv4 ne soient dupliques dans le monde. La flexibilit du
dploiement et l'aptitude aux machines IPv4 de communiquer avec IPv6
sont essentiels pour que l'interoprabilit soit respecte.
La compatibilit ascendante est obligatoire pour que les utilisateurs
dploient IPnv6.

Page : 40 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

Concepts de base IPv6

IPv6 a t conus pour tre une volution d'IPv4. Ce n'est pas un
changement radical. Seul les fonctions stables IPv4 ont t gardes.
Les changements dans IPv6 se retrouvent dans les catgories suivantes:
Routage Intelligent et Capacit d'adressage
IPv6 augmente la capacit d'adressage de 32 bits 128 bits, pour
supporter un adressage hirarchique et un plus grand nombre de
noeuds adressable, et un mode d'auto configuration.
Les possibilits d'adressage multicast sont plus fines grce un
champ permettant de dterminer la porte.
Un nouveau type d'adresse appel "anycast address" t
dfinis pour reprsenter un ensemble d'interfaces. Cela permet de
redimensionner le nombre d'interfaces sans changer d'adresse
anycast. Le trafic peut ainsi tre matris avec des
possibilits de prioritisation grce au "source routing"
Simplification du format de l'entte
Quelques champs de l'entte IPv4 ont t supprims ou rendu
optionnel pour rduire le cot de dcodage du paquet et optimiser
l'utilisation de la bande passante. L'entte IPv6 est deux fois
plus longue qu'en IPv4 avec des adresses 4 fois plus longues.
Amlioration du support des options
Les changements dans l'entte d'IPv6 pour l'encodage des options
permettent de grer plus efficacement les redirections avec des
contraintes de longueur plus souples. L'introduction d'options
supplmentaires a t prvue.
La qualit de service
Une nouvelle fonctionnalit de marquage de paquet a t ajoute
pour identifier les diffrents flux du trafic. Ainsi l'metteur
peut effectuer une requte pour bnficier d'une qualit de
service de type temps rel par exemple.
Authentifications et privilges
IPv6 dispose des extensions ncessaires l'authentification,
intgrit et confidentialit d'IPv4 de manire native.
Le protocole IPv6 dispose d'une entte en deux parties: la partie
fixe et la partie tendue.
Page : 41 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique


13.5. Un rappel thorique non exhaustif sur IPv6

13.5.1. Besoins

Integration des nouvelles technologies de communication.
Resoudre l`epuisement de l'espace d'adressage classe B.
Restaurer les connexions de bout en bout.
Fournir des mecanismes de synchronisation (audio, video).
Fournir des methodes d'authentiIication de l'emetteur.
Avoir a disposition des transIerts Iiable et conIidentiels.
Resoudre les contraintes liees a la mobilite d`une entite Iace au reseau.
Permettre une auto conIiguration d`une nouvelle entite sur le reseau.
.

13.5.2. Caractristiques (Garde I'esprit de IPv4 : UPD,TTL,DGTM)

Choix taille DTGM par l'emetteur : entte variable.
Adresse sur 16 octets : permet de Disposer d'un adressage sur 128 bits.
Types : unicast, anycast, multicast avec une portee globale, site, local.
Le broadcast devient un cas particulier du multicast.
Reserves pour extension du protocole
Support de mecanismes de pre allocation
InIormations de contrle
Fusionner IGMP dans ICMP
Sans DHCP une machine s'auto-genere une adresse d`interIace en Ionction de son adresse MAC

13.5.3. Entte IPv6

Les options dans IPv6 sont dans les enttes tendues qui sont entre
l'entte fixe et l'entte de la couche transport. La majorit des
enttes d'extensions sont examines l'arrive de paquet donc le
routage se trouve grandement simplifi par rapport IPv4.
En IPv6 les options ne subissent pas la limitation des 40 octets
puisque de se sont des extensions d'enttes. La gestion de
l'authentification et de la scurit utilise ce mcanisme d'options
tendues.
Pour simplifier le dcodage, les options ont une taille multiple de
huit octets, ce qui permet de les aligner.

Page : 42 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Entte de base dans un DTGM:



|0006||Etiquette de Ilux : QOStype de Ilux: 28bits|
|taille: 16bits||entte suivant ||hop limit (TTL)||
| Adresse source 128 bits |
| Adresse destination 128 bits |

Enttes etendues:

Note: liste des options non exhaustive.

Les enttes etendues permettent de renseigner principalement les actions suivantes :
Options de Routage : 'Routing Extended Routing (like IPv4 loose source route).
Fragmentation: 'Fragmentation and Reassembly.
AuthentiIication: 'Authentication Integrity and Authentication. Security'
'Hop-by-Hop Option Special options which require hop by hop process
ConIidentialite
Option a l`arrivee: Destination Options Optional inIormation to be examined by the destination
node.
.
Page : 43 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

13.5.4. Format adresse IPv6

Note 1. La representation textuelle est expliquee dans le deuxieme paragraphe . 'Pourquoi une nouvelle
generation de lInternet ?

Note 2 . Le svmbole est utilise ici pour svmboliser le mot adresse


IPv6 dispose d'adresses de 128 bits qui identifient une interface
individuelle ou un ensemble d'interface. Tous les types d'adresses
sont assigns des interfaces et non des noeuds. Puisque chaque
interface peut dsigner un noeud, alors chaque adresse unicast est
utilisable pour identifier un noeud. Une interface au sens physique du
terme possde donc plusieurs adresses IPv6 de type diffrent.

IPv6 supporte donc des adresses quatre fois plus grande qu'IPv4.
Cet espace d'adressage permet d'envisager un plan d'adressage
hirarchique qui selon Christian Huitema pourrait disposer dans le cas
le plus dfavorable 1,564 adresses sans compter les noeuds
d'acheminement pour chaque mtre carr de la surface de la terre.
Les plans d'adressages qui dfinissent les espaces rservs (prfix,
NSAP,...) n'occupent que 15%. Ce permet de disposer 85% pour les
usages futurs.

Il y a trois type d'adresses IPng: unicast, anycast, et multicast.
L'adresse Unicast identifie une interface unique. L'adresse Anycast
identifie un jeu d'interfaces tel que un et un seul membre de ce jeu
recevra un paquet. L'adresse Multicast identifie un groupe d'interface
tel que tous les membres de ce groupe recevront le mme paquet. Il n'y
a pas d'adresse de broadcast en IPv6, ce type d'adresse est
matrialis par une adresse multicast.

Les diIIerents types d`adresses :

Adresses reservees
IndeIinie: 0:0:0:0:0:0:0:0 au boot pour decouverte des voisins.
Boucle locale: 0:0:0:0:0:0:0:1 com interprocessus equivalent 127.0.0.1
Machine en IPv6: trame IPv4 en IPv6 : |80 bits a 0||16 0||32bits IPv4|
Machine en IPv4: trame IPv4 en IPv6 : |80 bits a 0||16 1||32bits IPv4|

Adresse unicast:
IdentiIicateur d'une interIace: Un paquet destine a une adresse unicast est remis a l'interIace
identiIiee par cette adresse. L'interIace peut tre virtuelle, c`est a dire qu'elle comporte plusieurs
interIaces physiques.
globale agregables: FAI, passerelles
de lien local: portee locale au lien utilisable pour atteindre ses voisins.
Page : 44 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

Adresse anycast
IdentiIie un ensemble d'interIace appartenant generalement a diIIerents noeuds.
Un paquet envoye a une anycast est remis a une des interIaces identiIiees par cette . La
plus proche au sens des distances des protocoles de routage. Les bits de poids Iaible sont a 0.

Note . Au niveau codage, rien ne differencie une anvcast dun unicast seule un message ICMP
permet de les differencier.

Adresse multicast
Trame: |11111111||000T||scop||groupID 112bits|
Avec :
T: 0 multicast reservee
T1 multicast temporaire
Scop (portee): 1noeud-local, 2lien-local, 5site-local, 8organisation-local, Eglobal
groupID : IdentiIiant du groupe de diIIusion.
Multicast reserve:
tous noeuds: FF01:0:0:0:0:0:0:1, FF02:0:0:0:0:0:0:1
tous routeurs:FF01:0:0:0:0:0:0:2, FF02:0:0:0:0:0:0:2, FF05:0:0:0:0:0:0:2
solicitation de noeuds: FF02:0:0:0:0:0:0:1:FFXX:XXXX
Allocation de nouvelles multicast IPv6
|11111111||Ilgs||scop||80bits a 0||IDgroup de 32bits|
multicast Solicited node: seul les bits de poids Iort change

Adresses requises d'un hte
une locale au lien pour chaque interIace physique
ses unicast (agregation de plusieurs interIace physique)
de boucle locale pour la communication locale inter-processus
multicast tous noeuds ~~
multicast de solicitation pour chacune de ses unicast et anycast
de tous les groupes auxquels appartient cet hte

Adresses requises d'un routeur
adresses anycast de routeur de sous-reseau. Pour lesquelles il se comporte en routeur
Toutes les autres anycast conIigurees sur ce routeur.
L'adresse multicast tous routeurs ~~
Les multicast des groupes auxquels appartient ce routeur.


Resume
L'adressage IPv6 deIinit:
Identifie des interfaces, pas des noeuds.
Une interface peut avoir plusieurs de tous types
Trois types d'adresses code sur 128bits (unicast,anycast,multicast)
Des sont requises sur les htes et les routeurs
Les preIixes d' requis dans une implementation.
Les reservees pour chacune des 3 categories (unicast,anycast,multicast)
Page : 45 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique


13.5.5. Auto conIiguration d'IPv6

ObjectiI :
Pas de conIiguration manuelle de chaque machine avant de les raccorder au reseau.
Permettre la renumerotation en douceur d'un site en aIIectant plusieurs a une mme interIace.
(periode transitoire).
Les htes doivent determiner les preIixes qui identiIient les sous reseaux auxquels ils sont relies aIin
de generer des locales au site ou globales.
Les routeurs emettent periodiquement des messages d'annonce qui incluent un ensemble d'options qui
listent les preIixes utilisables sur un lien.

SANS ETAT: Le processus d'auto conIiguration des interIaces IPv6 d'un hte
Ne requiert aucune conIiguration manuelle des htes.
La conIiguration est annoncee par les routeurs qui contiennent les preIixes associes au lien.
PreIixe identiIicateur d'interIace ~~
Sans routeur la station genere une locale au lien.
Creation d'une adresse locale au lien qui doit tre unique.
Le processus de generation des locales au lien, locales au site et globales est Iourni par le reseau
sans etat si pas de serveur DHCP.

AVEC ETAT: Le processus d'auto conIiguration des interIaces IPv6 d'un hte
Le protocole d'auto conIiguration a etats permet aux htes de demarrer.
Les htes obtiennent les de leurs interIaces et leurs conIigurations du serveur.
Le serveur gere une BDD qui memorise les des htes.
Les baux d' des htes ont un systeme d' preIerees et deprecie.

Adresse d`auto conIiguration a l`initialisation
ID interIace~ |ccccccugcccccccccccccccc| 24bits Mac
c : bits de l'identiIcateur de constructeur
u g signiIication
0 0 locale groupe
0 1 locale globale
1 0 universelle groupe
1 1 universelle globale


Fonctionnement generale de l`auto conIiguration
Phase d'auto conIiguration
Les noeuds (htes et routeurs) emettent un message de sollicitation de voisin vers l' proposee.
ConIigurable par l'administrateur.
Si non unique alors l'auto conIiguration s'arrte et passage en conIig manuel deIini par
l'administrateur.
est aIIectee a l'interIace si elle est unique.
Les routeurs emettent de messages d'annonces comportant les types de conIiguration.
Un hte peut envoyer un message de sollicitation de routeur avec l' de diIIusion tous
routeurs~~ pour obtenir une annonce plus rapidement.
Les annonces contiennent 2 drapeaux |managed conIigurationa etat , other stateIul
conIiguration| qui indiquent le type d'auto-conIiguration. |0,0| sans etat.
Drapeau autonomous adress-conIiguration~~ indique le preIixe de sous reseau.
La location d' Iacilite la renumerotation.
Page : 46 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Les couches hautes ~TCP ne supportent pas le changement d' en cours d'utilisation donc toutes
les sockets sont alors detruites.
Le couche IP est supposee Iournir aux couches superieures un moyen de choisir l' source la plus
appropriee en Ionction d'une destination donnee.
Une application peut decider de choisir l'adresse source avant de commencer ou laisser la couche
IP la determinee.

Type de liens
Multicast: supporte la diIIusion selective
Point a point: lien qui relie exactement 2 interIaces. Dispose d'un local au lien et supporte la
diIIusion selective.
Non-broacast Multi-Access (NBMA) : Liens auxquels sont reliees plus de 2 interIaces mais qui
ne supportent pas nativement la diIIusion selective (X.25,ATM...)
MTU variable token rings IEEE 802.5
Accessibilite asymetrique: liens radio

Resume
La renumerotation d'un site est possible grce aux depreciees et preIerees.
Les deux modes de conIigurations peuvent tre combinees.
Ces deux modes ne Ionctionnent que sur des liens supportant la diIIusion selective.
DeIense par un mecanisme de detection dupliquees. Ne depend pas du mode d'obtention
d'adresse.

13.6. Routage en IPv6
13.6.1. Avantages du routages en IPv6

Le routage IPv6 est presque identique au routage en IPv4 sans la barriere des classes (CIDR) a
l`exception que les adresses sont en 128 bits au lieu de 32 bits. Tous les algorithmes de routage IPv4
OSPF, RIP, IDRP, ISIS, etc. sont portes sur IPv6. A cela s`ajoute des extensions de routage qui
permettent de realiser les Ionctionnalites suivantes:
Provider Selection (contrle d`acces, perIormance, cot )
'Host Mobility (changement de position, mise a jour de localisation)
'Auto-Readdressing (routage vers une nouvelle adresse)

Les nouvelles fonctionnalits sont obtenues avec la cration de
squences d'adresses de routage IPv6 en utilisant les options de
routage. Les options de routages sont utiliss par une adresse IPv6
source pour lister les nuds intermdiaires parcourir sur le chemin
vers la destination du paquet. Il existe une certaine similarit avec
les fonctions Loose Source et Record Route options en IPv4.

Pour que les squences d'adresses de routage soient une fonction
gnrales, l'adresse des htes IPv6 sont ncessaires dans la plupart
des cas pour le routage du paquet de rponse. Cela est une des cls du
routage pour la mobilit par exemple.

Page : 47 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Les trois exemples suivants montre comment les squences d'adresses
peuvent tre utilises. Dans ces exemples, les squences d'adresses
seront reprsentes comme suit : SRC, I1, I2, I3, DST
Ou la premire adresse est l'adresse source et la dernire l'adresse
de destination. Les adresses entre la source et la destination sont
les adresses intermdiaires de routage.

Le schma ci-dessous symbolise une communication entre deux htes H1
et H2. Ces htes sont connects aux deux providers P1 et P2. Entre P1
et P2, un troisime provider sans fils est connect aux providers P1
et P2.

----- P1 ------
/ | \
/ | \
H1 PR H2
\ | /
\ | /
----- P2 ------

Le premier cas d'utilisation sans les squences d'adresses est lorsque
H1 veut envoyer un paquet H2.Quand H2 rpond, il permute les
adresses pour construire le paquet de rponse: H2,H1. Cependant H1 et
H2 ne peuvent slectionner un provider P1 ou P2 pour envoyer un
paquet.

Dans le cas ou H1 dcide d'tablir une rgle de confiance qui consiste
communiquer avec H2 en utilisant le provider P1 uniquement. La
squence de routage sera H1, P1, H2. Cela garantis que la squence de
routage aura comme passage oblige P1.

En troisime et dernier cas H1 devient mobile et se dplace vers le
routeur sans fils PR et maintenant la communication avec H2 ( au
niveau transport). La squence d'adresse devient alors H1, PR, P1, H2
Cette squence garantie que H2 rpondra H1 en passant par P1 et par
PR qui rempli la rgle de confiance tablit prcdemment : H2, P1, PR,
H1.
En rsum, les squences d'adresses de routage en IPv6 peuvent tre
utilises pour la slection de provider, la mobilit et le r
adressage.





Page : 48 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Le protocole ICMPv6

Types de paquets ICMP:
Sollicitation: pour determiner l' physique d'un voisin
Annonce: Reponse a la sollicitation d'un voisin, emission spontanee pour annoncer un changement
d'adresse physique
Redirection: inIormer les htes de l'existence d'un meilleur prochain saut pour atteindre une
destination.

Principe de ICMP
Les routeurs diIIuse les annonces. les htes les reoivent et mettent a jour leur liste de routeur par deIaut.
Une annonce contient une liste de preIixes. Cela indique a l'hte quelle auto conIig choisir.
La decouverte des voisins d'IPv6 correspond a une combinaison des protocoles ARP et de decouverte
ICMP et de redirection ICMP en IPv4.
ICMPv4 n'a pas de mecanisme d'inaccessibilite bien qu'un algorithme soit deIini dans le RFC : Host
Requirements .

Donc ICMPv6 gere:
les echanges d' physiques
l'equilibrage de charge pour le traIic entrant
Adresses Anycast: plusieurs noeud d'un lien donne peuvent tre conIigures pour reconnatre la mme
adresse.
l'annonce de proxy : aucune utilisation de proxy n'est speciIie.

Message de solicitation ICMPv6
Champs ICMP:
Type 133
Checksum celui d'ICMP
Message d'annonce de voisin
Champs ICMP:
Type 134
Cheksum celui d'ICMP
Cur Hop Limit copie dans Hop count dans le paquet IP sortant;
bit M Managed adresse conIiguration; 1conI a etat.

Message de solicitation de voisin
Type 135
Message d'annnce de voisin
Type 136
R Drapeau a 1 routeur
S Drapeau a 1 reponse a un message de sollicitation
Message de redirection
Type 137

Conclusion
Les noeuds utilisent les messages de decouverte ICMP pour se decouvrir mutuellement.
ICMP permet de gerer les inIormations d'accessibilite concernant les chemins.
Determine les physiques des voisins relies aux mmes liens.
Permet de nettoyer les caches des inIormations obsoletes.
Pour gerer activement les voisins accessible ou non.
Detecter les modiIications d' physiques: recherche d'alternatives.

Page : 49 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique


13.7. Linux et Ipv6: Rtrospective

Le premier code IPv6 pour Linux
Le premier code rseau relatif IPv6 a t ajout au noyau Linux
2.1.8 en novembre 1996 par Pedro Roque. Il tait fond sur l'API BSD.

A cause du manque de bras, l'implmentation d'IPv6 dans le noyau tait
incapable de suivre les projets discuts ou les RFC nouvellement mises
jour. En novembre 2000, un projet dbute au Japon, appel USAGI ,
dont le but tait d'implmenter dans Linux tout le support IPv6
manquant ou obsolte. Ce projet suit ainsi la trace de
l'implmentation courante d'IPv6 pour FreeBSD, ralis par le projet
KAME . De temps en temps, ils craient des archives de dveloppement
(snapshots) partir des sources courantes du noyau Linux.

Malheureusement, le patch USAGI est trs volumineux, tel point que
les personnes s'occupant actuellement de maintenir les fonctionnalits
rseau de Linux sont incapables de l'inclure dans les sources, aptes
la production, de la srie des noyaux Linux 2.4.x. En consquence, la
srie 2.4.x manque de certaines (et mme de nombreuses) extensions, et
elle n'applique pas non plus les brouillons et RFC courants (voir le
groupe de travail IP Version 6 (GN6)). Cela peut poser des problmes
d'interoprabilit avec les autres systmes d'exploitation.

USAGI fait maintenant usage de la srie des noyaux de dveloppement
Linux 2.5.x afin d'incorporer toutes les extensions actuelles dans
cette version de dveloppement; dans l'espoir que la srie des noyaux
2.6.x comprendra une vritable implmentation jour d'IPv6.

On peut se demander pourquoi choisir linux alors que la communaut BSD
est la rfrence en matire de rseau et donc d'IPv6 ?

La rponse est simple, IPv6 sera tre rpandu sur l'ensemble des
ordinateurs pour les utilisateurs finaux. En ce sens les produits
Windows sont finalement les plus avancs puisque Windows NT4 disposait
dj d'un patch IPv6 "plug & play". La communaut Linux dispose de la
plus grande diversit applicative aprs Windows. Le domaine Internet
est trs actif et la majorit des exprimentations utilisateurs finaux
sont sur Linux.

Le choix de la distribution Linux IPv6 est grandement facilit lorsque
que l'on sait exactement ce que l'on veut faire. En effet on
n'utilisera pas la mme distribution pour faire du routage PIM-SM, de
la vido confrence ou un serveur Web, ce jour. Il n'existe pas une
distribution qui propose l'ensemble de ces fonctions en juillet 2003.

Page : 50 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Pour guider son choix, le site de Pierre Beringerest incontournable,
il donne un tableau comparatif de toutes les distributions. Ce tableau
montre que PLD et RedHat sont les plus compltes.

Pour connatre l'tat des distributions Linux le site
www.distrowatch.com est un bon point de dpart.
13.7.1. RedHat
RedHat permettra d'exprimenter les fonctions de station de travail
avec rception de canaux multicast IPv6 et de routeur PIM-SM. Ces
fonctions ont t spcifiquement implmenter pour les distributions
RedHat 8.0 et 7.2 respectivement.


Les distributions RedHat sont bien connues dans les rseaux
acadmiques et industriels. L'implmentation IPv6 n'est pas complte
mais beaucoup de services sont prsents depuis la version 7.x.
L'objectif de RedHat est de couvrir un ensemble de fonctionnalit sans
avoir une volont affiche de promouvoir IPv6. La procdure
d'installation, par exemple, n'intgre pas de paramtrage IPv6,
cependant on peut configurer les fichiers comme indiqus dans ces
annexes.

Note : La distribution ASPLinux reprend tous les RPMs de RedHat avec
une procdure dinstallation simple et oriente rseaux.

13.7.2. PLD Linux

Pour la distribution PLD Linux, les principaux objectifs sont la
prochaine gnration Internet (IPv6), la scurit et la localisation.
PLD est destin aux serveurs rseaux et aux administrateurs avertis.

PLD ne signifie pas Distribution Linux Polonaise. Bien au contraire
cela signifie qu'elle ne parlera polonais uniquement si vous lui
demand: www.pld-linux.org . Cependant l'tat de l'Art dans les news
groupe est le plus souvent en Polonais. Cela n'est pas gnant car les
commandes en lignes sont elles, bien en Anglais.

PLD est une distribution Linux qui a vu le jour en 1998 et ces
concepteurs sont principalement situs en Pologne: Soit environ 200
personnes. Les fondateurs ont t trs actifs sur Ipv6 et certains ont
t fortement impliqus dans TCPwrapper. Cela signifie que la scurit
est une priorit forte.
Page : 51 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

En quoi cette distribution est diffrente ?
1. Les paquetages sont dcomposs en petits paquetages fonctionnels.
Cela permet d'installer seulement ce qui est vraiment ncessaire.
2. Les paquetages sont paramtrs avec une configuration raisonnable
(application de patchs orients performance et scurit).
3. PLD aujourd'hui dispose encore le meilleur support du protocole
IPv6 parmi toutes les distributions LINUX.
4. Les serveurs essentiels sont disponibles: FTP, Mail, Web ...
5. Le systme est trs modulaire et supporte la plupart des machines:
Les compilations disponibles sont optimises pour les x386 au
x686, ce qui est peu frquent.
6. PLD utilise l'interface rc-inetd et par extension rc_xinetd qui
permettent de grer les serveurs applicatifs en tant que service
rseau. L'outil iproute2 est l'outil de base pour la manipulation
des interfaces. Les scripts d'initialisation sont plus simple et
plus fonctionnel compars a ceux de RedHat. Les fichiers de
configuration sont gnrs au boot.
7. La scurit n'est pas en reste, le support des mthodes
d'authentification tel que PAM, GASPI, TSL/SSL, SASL. En pratique
ces implmentations sont ralises grce aux services de rc-inetd
qui permettent de remplacer facilement un Daemons en son
quivalent kerberis.
8. Une caractristique similaire est le rc_boot qui permet une
gestion simplifie des diffrents noyaux installs.
9. PLD est aussi trs oriente dveloppeur puisque tous les outils
de dveloppement sont disponibles et mme les compilateur
exprimentaux comme Cyclone ou Ksi.
10. Un support total des RPMs, DEBIAN APTs, et dispose d'un outils de
mise a jour POLDEK permettant de combiner l'ensemble des sources
de paquetages disponible sur le web.


Aujourd'hui PLD propose trois distributions:
1. La premire appel Ra (1.1) qui est ralis autour du noyau
2.2.26 auxquels Ipv6 est compltement intgr avec tous les
services WEB,FTP, MTA . Cela correspond une distribution RedHat
7.0 avec une scurisation trs avance.
2. La seconde est une distribution PLD-RESCUE 1.1 de type survie qui
est base sur un noyau 2.4.20 qui tient sur un minidisc ou une
mmoire USB de 50Mo. Cette distribution bootable permet de monter
la totalit des services IPv6 sans disque dur sur n'importe quel
PC. Il est possible de pr configurer des environnements pour
ouvrir des sessions scurise IPv4 ou IPv6. Les fonctionnalits
de survie sont trs tendues pour rparer un serveur, une station
linux ou windows la suite d'une attaque virale ou d'un
Page : 52 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
dysfonctionnement logiciel ou matriel (dfaillance mmoire par
exemple).

3. La troisime version AC 2.0 est tout juste disponible sur
ftp.pld-linux.org. Elle est architecture autour d'un noyau
2.4.20. Les formats ISO sontdiffuss. Il est possible de mettre
jour une version RA 1.0 avec l'outils POLDEK en modifiant le
fichier poldek.conf et en utilisant la commande poldek -u


Les dveloppements actuels sont autour du noyau 2.5.64 qui donneront
srement une nouvelle distribution.






13.8. Analyse des fichiers de configuration du Serveur Quarks

13.8.1. Fichier etc/resoIv.conf

Ce Iichier permet de speciIier l`ordre des serveurs de noms a interroger pour resoudre le couple (nom ,
adresse). Ici l`instruction 'search permet d`identiIier le domaine Ipv6 de l`UREC. Ensuite les
instructions 'nameserver renseigne les serveurs de noms a interroger dans l`ordre.

#-------------------------------------------------------------------------------| /etc/resolv.conI
search urec6.cnrs.Ir
nameserver 2001:660:3302:I::11
nameserver 2001:660:2401:1001:0203:baII:Ie08:1c4a
nameserver 194.57.137.114

13.8.2. Fichier /etc/host

Ce Iichier permet de renseigner les couples (nom , adresse) de maniere statiques. L`adresse de 'loopback
Ipv6 est ::1. Les adresses FFxx sont destines entre autre au multicast.

#-------------------------------------------------------------------------------| /etc/host
# /etc/hosts
127.0.0.1 localhost

# inet6-apps adds these special IPv6 addresses
::1 ipv6-localhost ipv6-loopback

Ie00::0 ipv6-localnet

II00::0 ipv6-mcastpreIix
II02::1 ipv6-allnodes
II02::2 ipv6-allrouters
Page : 53 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
II02::3 ipv6-allhosts

194.57.138.36 quarks.ipv6.urec.cnrs.Ir
2001:660:3302:I::11 quarks
194.57.137.114 calypso
10.0.100.1 webmin.quarks.ipv6.urec.cnrs.Ir webmin

13.8.3. Fichier /etc/moduIe.conf

Ce Iichier permet d`initialiser les modules rattache au noyau. L`ajout de plusieurs cartes ethernet
s`eIIectue dans ce Iichier avec l`instruction 'alias. Les options de taille de 'buIIer ou d`interuption
'IRQ sont a renseigner avec l`instruction 'option.

#-------------------------------------------------------------------------------| /etc/module.conI
# File created by installer
# Added by installer
alias eth0 8139too
# |DENOO 030523| Add alias Ior the secondary Ethernet card
alias eth1 8139too
alias usb-controller usb-ohci
alias sound-slot-0 i810audio

13.8.4. Fichier /etc/network.conf

Le parametrage reseau general est speciIie dans ce Iichier. Les instructions ici permettent de conIigurer
les reseaux IPv6 et IPv4.

#-------------------------------------------------------------------------------| /etc/sysconIig/network.conI
# $Id: network,v 1.15 2001/11/05 16:58:50 kloczek Exp $
######################################################################
# MAIN PART

# Do you need IPv4 or IPv6 networking ?
NETWORKINGyes

# Do you need IPv4 networking ?
IPV4NETWORKINGyes

# Do you want IPv4 Iorwarding ?
IPV4FORWARDINGno

# Set hostname here (only hostname)
HOSTNAME"quarks"

# Set NIS domain name here
NISDOMAIN"localdomain"

# IPv4 gateway
GATEWAY"194.57.138.62"
GATEWAYDEV"eth0"
Page : 54 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

# Do you want to use IPX networking ?
IPXno
IPXAUTOPRIMARY
IPXAUTOFRAME
IPXINTERNALNETNUM
IPXINTERNALNODENUM

# Do you need IPv6 networking ?
IPV6NETWORKINGyes

# Do you want IPv6 Iorwarding ?
IPV6FORWARDINGno

# Enable tunnel interIaces conIiguration ?
IPV6TUNNELCONFIGno

# IPv6 gateway
GATEWAY6"2001:660:3302:F::1"
GATEWAY6DEV"eth1"

# Global route Ior IPv6 host with IPv6 Iorwarding
IPV6GLOBALROUTEGW
IPV6GLOBALROUTEDEV

# Reading conIiguration Irom LDAP

# Do you want to use LDAP?
USELDAPno

# What base DN use Ior searching Ior interIace conIiguration
LDAPBASEDN

# Other

# Do you want set static ARP table (based on /etc/ethers conIig Iile) ?
STATICARPno

# Do you want set static RARP table (based on /etc/ethers conIig Iile) ?
STATICRARPno

# SpeciIy interIace on which you want to enable tleds soItware
# (also you need tleds package installed) -- deIault set to no
TLEDSDEVno

# This must be last line !
# vi:syntaxsh:tw78:ts8:sw4
Page : 55 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

13.8.5. Fichier /etc/sysconfig/interfaces/ifcfg-eth0

Ce Iichier parametre la premiere carte reseaux trouve sur le Bus PCI (voir commande lspci ). Eth0 est
destine a l`interconnexion IPv4.

#-------------------------------------------------------------------------------| /etc/sysconIig/interIaces/iIcIg-eth0
# example conIig Ior Iirst ethernet card

# name oI the device
DEVICE"eth0"

# IP addresses/address preIix
# where preIix:
# 24 - resembles netmask 255.255.255.0
# 16 - resembles netmask 255.255.0.0
# etc.
# IPADDR may be either IPv4 or IPv6
# you may have up to 256 addresses set up
IPADDR"194.57.138.36/27"
#IPADDR1192.168.0.2/24
#IPADDR2192.168.0.3/24
#IPADDR3192.168.0.4/24

# you may select which oI the above addresses
# is primary Ior this interIace (it'd be IPADDR1 in the example below)
#IP4PRIMIF"1"

# activate on boot? yes,no
# you must set it to 'yes' iI you want to have this up aIter bootup
ONBOOT"yes"

# dhcp,pump,none
BOOTPROTO"none"

13.8.6. Fichier /etc/sysconfig/interfaces/ifcfg-eth1

La conIiguration IPv6 sur la deuxieme interIace realise l`interconnexion IPv6 en speciIiant trois interIaces
unicast qui sont 2001:660:3302:I::11/64, 2001:660:3302:I::12/64, 2001:660:3302:I::13/64.


#-------------------------------------------------------------------------------| /etc/sysconIig/interIaces/iIcIg-eth1

# example conIig Ior second ethernet card

# name oI the device
DEVICE"eth1"

# IP addresses/address preIix
# where preIix:
Page : 56 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
# 24 - resembles netmask 255.255.255.0
# 16 - resembles netmask 255.255.0.0
# etc.
# IPADDR may be either IPv4 or IPv6
# you may have up to 256 addresses set up
IPADDR"2001:660:3302:I::11/64"
# |030521 DENOO| IPADDR1 is needed Ior deIault addresse
IPADDR1"2001:660:3302:I::11/64"
IPADDR2"2001:660:3302:I::12/64"
IPADDR3"2001:660:3302:I::13/64"

# you may select which oI the above addresses
# is primary Ior this interIace (it'd be IPADDR1 in the example below)
# |030521 DENOO| set to deIault IPADDR1
IP4PRIMIF"1"

# activate on boot? yes,no
# you must set it to 'yes' iI you want to have this up aIter bootup
ONBOOT"yes"

# dhcp,pump,none
BOOTPROTO"none"


13.8.7. Fichier /etc/poIdek.conf
Ce Iichier contient le parametrage pour l`outils POLDEK qui sert a recuperer les paquetages en
provenance de plusieurs distributions. POLDEK peut tre utilise sur PLD mais aussi sur les autres
distributions Linux. Les instructions 'sources speciIies les URLs contenant les Iichiers a installer. A
chaque source correspond des Iichiers POLDEK contenant la listes des paquetages. Une Iois conIigure, la
commande 'poldek u permet une mise a jour complete d`un serveur.

#-------------------------------------------------------------------------------| /etc/poldek.conI

# Installer changed Itp://Itp.pld.org.pl/ to http://Ir2.rpmIind.net/linux/PLD/dists/1.0/PLD/i686 in this Iile
# $Id: poldek.conI,v 1.18 2002/11/23 10:15:42 djrzulI Exp $

# main packages repository
source ra http://Ir2.rpmIind.net/linux/PLD/dists/1.0/PLD/i686/PLD/RPMS/

# security updates
source ra-updates-security http://www.pld.kernel.pl/apt/PLD-1.0/i686/RPMS.updates-security/

# non-critical Iixes and updates packages wich will be base ro next version Ra
source ra-nest http://rpmIind.net/linux/PLD/nest/apt/i686/RPMS.base/

source Ra test http://speakeasy.rpmIind.net/linux/PLD/current/dists/ra/test/i686/
source Ra2.4.20 Itp://Itp.venco.com.pl/pub/linux/PLD/RaPlus/i686/

source ra-supported http://www.pld.kernel.pl/apt/PLD-1.0/i686/RPMS.supported/

#source ra-test,noauto http://Ir2.rpmIind.net/linux/PLD/dists/1.0/PLD/i686/dists/ra/test/i686/
Page : 57 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

source nest,noauto Itp://Itp.nest.pld.org.pl/PLD/i686/PLD/RPMS/
source nest-test,noauto Itp://Itp.nest.pld.org.pl/test/i686/

# NOTE: directory *must* exist; deIault is ~/.poldek-cache
#cachedir /var/tmp/poldek-cache

# use root privileges Ior installation only; deIault "no"
#usesudo yes


# Installation options

# install packages in small groups instead oI doing all-or-nothing
# installation; deIault "yes"
#particleinstall no

# remove duplicate packages Irom available package set, i.e. this
# option ensures that only one instance (highest version Irom source
# with highest priority) oI every package will be available
# Ior installation; deIault "no"
#uniquepackagenames yes

# automatically install packages required by installed ones; deIault "yes"
#Iollow no

# greedy upgrades; deIault "no"
#greedy yes

# "mercy" dependency checking; deIault "no"
#mercy yes

# don't remove downloaded packages aIter successIul installation; deIault "no"
#keepdownloads yes

# conIirm each installation; deIault "no"
#conIirminstalls yes

# let the user select package among equivalents; deIault "no"
#chooseequivalentsmanually yes


# prevent kernel* and dev Irom being upgraded iI they are already installed.
#hold kernel* dev

# remove kernel* packages Irom available package set, i.e. make them
# invisible Ior the user
#ignore kernel*



# External downloaders conIiguration
# Available semi-macros (as ws-separate tokens only):
Page : 58 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
# p|n| - package basename
# d - cache dir
# D - cache dir/package basename
# P|n| - package Iull path(URL)
#
# Hint: iI you use several PLD powered machines, you may consider using
# proxy server to speed up download. To make use oI proxy with poldek set
# HTTPPROXY and/or FTPPROXY environment variables or setup transparent
# proxy and uncomment one oI the lines below. For more inIo use man
# poldek,wget,snarI,squid,ipchains or iptables}

#Itpget /usr/bin/snarI P D
#Itpget /usr/bin/wget -N --dot-stylebinary -P d Pn
#httpget /usr/bin/wget -N --dot-stylebinary -P d Pn
#httpsget /usr/bin/curl P -o D
#rsyncget /usr/bin/rsync -v P d
#cdromget /usr/bin/vIjuggle d Pn


# Some rpm macros
#rpmdeI installlangs pl:plPL:lt:ltLT

# don't install any documentation
#rpmdeI netsharedpath /usr/share/inIo:/usr/share/man
#rpmdeI excludedocs 1


13.8.8. Fichier /etc/named.conf

Ce Iichier contient la liste des zones Ipv6 et Ipv4 et le parametrage des Iichiers de traces.

#-------------------------------------------------------------------------------| /etc/named.conI
//-----------------------------------------------
// Fichier DNS UREC IPV6 /etc/named.conI
//-----------------------------------------------
// Revision : 0.0.6
// Date : 030513
//-----------------------------------------------
// Logs:
// Date Description
// 030509. let deIault log Iile instead oI named.log
// 030507. ModiIy zone F.0.0.0 ....IP6.INT
// 030506: ModiIy zone 1.0.0.0.0...IP6.INT
// 030505: Creation
//-----------------------------------------------

//-----------------------------------------------
// acces list
//-----------------------------------------------

// in door protection to allow recursion
Page : 59 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
acl protected 2001:660:3302:000I::/64;};
// secondaries dns
acl secondaries 194.57.137.114 ; };

//-----------------------------------------------
// global settings
//-----------------------------------------------
options
directory "/var/named.data"; // working directory
pid-Iile "/var/named.data/named.pid";
//auth-nxdomain no; // no authoring nx domain
//allow-recursion protected;}; // only Ior internal users
listen-on any; }; // Turn on IPv4
listen-on-v6 any; }; // Turn on IPv6
transIers-in 0;
Iorward Iirst;
Iorwarders
2001:660:2401:1001:203:baII:Ie08:1c4a; //DNS 6RAP IPv6
194.57.137.114; //DNS UREC IPv4
212.27.32.5; //DNS FREE.Ir
};
};

//------------------------------------------------
// local zone
//------------------------------------------------
// local IPv6
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT"

type master;
Iile "UREC/localhost-v6.rev";
};

// Urec IPv6 zone : urec6 Ior IPv6 users only
zone "urec6.cnrs.Ir"
type master;
Iile "UREC/urec6.cnrs.Ir";
allow-transIer secondaries ; };
notiIy yes;
};

// Urec IPv6 reverse
zone "F.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2.IP6.INT"
type master;
Iile "UREC/urec6.cnrs.Ir.rev";
allow-transIer secondaries ; };
};
Page : 60 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

//-------------------------------------------
// adress -~ namehost
//-------------------------------------------

zone "0.0.127.in-addr.arpa"
type master;
Iile "UREC/localhost.rev";
allow-update none; };
allow-transIer any; };
};

//-------------------------------------------
// secondary zone
//-------------------------------------------
zone "ipv6.urec.cnrs.Ir"
type slave;
Iile "UREC/ipv6.zone";
masters 194.57.137.114; };
};

zone "138.57.194.IN-ADDR.ARPA"
type slave;
Iile "UREC/urec.cnrs.rev";
masters 194.57.137.114; };
};


//-------------------------------------------
// Cache Iile
//-------------------------------------------
zone "." IN
type hint;
Iile "name.root";
};

//----------------------------------------------------
// log Ilags
//----------------------------------------------------
logging
channel deIault-log //new trace channel
Iile "/var/log/named.log" size 10m; //to Iile named.log 10Mo
print-category yes; //printing Iormat
print-severity yes;
print-time yes;
severity inIo; // only send priority inIo
};
channel deIault-debug
Iile "/var/log/named.run" size 10m;
severity dynamic; // current debug level
};
channel deIault-syslog
syslog daemon; //send to daemon Iacility
Page : 61 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
severity inIo;
};

// deIault Iiles Ior trace
category deIault deIault-syslog;
deIault-log; }; // write to deIault channel
////////////////////////////
// speciIic trace Iiltering
////////////////////////////
// to trace server approuval or denial request
category security deIault-syslog;}; // normaly /var/log/syslog

// to trace conIiguration
category conIig deIault-debug;}; // normaly named.run

// to trace unmatched resolution
category unmatched deIault-debug;};

// to trace query
category queries deIault-debug;};

// to trace client request
category client deIault-debug;};

// to trace remote zone transIer
category xIer-in deIault-log; }; // log

// to trace local zone transIer
category xIer-out deIault-log; }; // log

// to trace transIer notiIication
category notiIy deIault-log; }; // log
};

//----------------------------------------------------
// remote access via rndc.conI
//----------------------------------------------------
key "rndc-key"
algorithm hmac-md5;
secret "*******************";
};

controls
inet 127.0.0.1 port 953
allow 127.0.0.1; } keys "rndc-key"; };
};

Page : 62 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

13.8.9. Fichier /var/named.data/UREC/IocaIhost-v6.rev

Ce Iichier contient les inIormations du 'localhost en Ipv6.

#--------------------------------------------------------------------| /var/named.data/UREC/localhost-v6.rev

; From: (#)localhost.rev 5.1 (Berkeley) 6/30/90
; $FreeBSD: src/etc/namedb/PROTO.localhost-v6.rev,v 1.1.2.1 2002/02/04 18:24:21 ume Exp $
;
; This Iile is automatically edited by the `make-localhost' script in
; the /etc/namedb directory.
;

$TTL 3600

IN SOA quarks.urec6.cnrs.Ir. amaury.denoo.urec.cnrs.Ir. (
2003090400
3600
900
3600000
3600 )
IN NS quarks.urec6.cnrs.Ir.
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.int. IN PTR localhost.
Page : 63 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

13.8.10. Fichier /var/named.data/UREC/urec6.cnrs.fr

Ce Iichier decrit la zone Ipv6 de l`UREC: urec6.cnrs.Ir

#-----------------------------| /va/named.dafa/ukLC/uec6.cns.f
//-----------------------------------------------
// I1ch1e zone /va/named.dafa/ukLC/uec6.cns.f
//-----------------------------------------------
// kev1s1on : 23
// Dafe : 030904
//-----------------------------------------------
// Logs:
// Dafe Desc1pf1on
// 030512:ADL: add c1sco4000 oufe
// 030509:ADL: emove a11 CNAML
// 030507:ADL: add 1pv6 adess fo quaks
// 030507:ADL: add quaks seve
// 030505:ADL: Ceaf1on
//-----------------------------------------------

$11L 12h
--------------------------------------------------------------------
1ype hosf paamefes
--------------------------------------------------------------------
0 lN 5OA quaks.uec6.cns.f. amauy.denoo0uec.cns.f. {
2003090405
6h
1h
1W
12h }

lN N5 quaks.uec6.cns.f.
lN N5 ns.uec6.cns.f.

--------------------------------------------------------------------
adess-name eso1uf1on
--------------------------------------------------------------------
---------------------------------------
nefWok paf /64 | hosf paf 64 b1fs|
-------------------|------------------|
2001:0660:3302:000f:0000:0000:0000:001x

--------------------------------------------
lPv6 ukLC | CCk | 4 b1fs pef1x P6 |
-------------------|------------------------
I.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2

---------------------------------------------------------------------
ukLC6 nefWok hosfs
---------------------------------------------------------------------

uec6 lN AAAA 2001:0660:3302:f::
c1sco4000 lN AAAA 2001:0660:3302:f::1
quaks lN AAAA 2001:0660:3302:f::11
Webm1n lN AAAA 2001:0660:3302:f::12
ns lN AAAA 2001:0660:3302:f::11

Page : 64 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

13.8.11. Fichier /var/named.data/UREC/urec6.cnrs.fr

Ce fichier est le pendant de la zone IPv6 de l'UREC : urec6.cnrs.fr

#-------------------------------------------------------|
/va/named.dafa/ukLC/uec6.1p6.ev

//-----------------------------------------------
// kevese f11e /va/named.dafa/ukLC/uec6.1p6.ev
//-----------------------------------------------
// kev1s1on : 0.7
// Dafe : 030905
//-----------------------------------------------
// Logs:
// Dafe Desc1pf1on
// 030904.ADL: change N5 ns.uec6.cns.f fo quaks.uec6.cns.f.
// 030507:ADL: add1ng quak hosf 1pv6
// 030505:ADL: Ceaf1on
//-----------------------------------------------

$11L 3D 3 days

--------------------------------------------------------------------
1ype hosf paamefes
--------------------------------------------------------------------
0 lN 5OA quaks.uec6.cns.f. amauy.denoo0uec.cns.f. {
2003090407
3h
30m
2d
3d }

1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.I.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2.lP6.lN1. lN N5
quaks.uec6.cns.f.

----------------------------------------
nefWok paf /64 | hosf paf 64 b1fs|
-------------------|-------------------|
2001:0660:3302:000f:0000:0000:0000:0011

-------------------------------------------
lPv6 ukLC| CCk | 4 b1fs pef1x P6 |
-------------------|-----------------------
$OklGlN I.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2.1p6.1nf.

---------------------------------------------------------------------
ukLC6 nefWok hosfs
---------------------------------------------------------------------
64 b1fs hosf addess paf
------|-------|-------|-------
2.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k Webm1n.
1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN N5 ns.
1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN N5 quaks.
1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k quaks.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k c1sco4000.
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k uec6.
end of evese zone


Page : 65 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique


13.8.12. Fichier /etc/httpd/httpd.conf
Ce Iichier de conIiguration du serveur Apache permet de realiser un relais du serveur www.urec.cnrs.Ir en
www.urec6.cnrs.Ir (Ipv6) et de rediriger les requtes d`administration Ipv6 a destination du serveur
MiniServ (Ipv6) de Webmin. Ces redirections suportent des sessions SSL.

Note: seule les instructions modiIiees sont presentes ci-dessous.

#-------------------------------------------------------------------------------| /etc/httpd/httpd.conI

### Listen
# Allows you to bind Apache to speciIic IP addresses and/or ports, in
# addition to the deIault. See also the VirtualHost~ directive.

#Listen 12.34.56.78:80
#Listen 80
Listen 8080

# Listen can take two arguments.
# (this is an extension Ior supporting IPv6 addresses)
Listen :: 80
Listen :: 1028
Listen :: 1029

### Section 2: Dynamic Shared Object (DSO) Support

ServerAdmin adminyourdomain.org

ServerName quarks.ipv6.urec.cnrs.Ir

NameVirtualHost 194.57.138.36
NameVirtualHost 2001:660:3302:F::11
NameVirtualHost 2001:660:3302:F::12


#########################################################
# Webmin conIiguration to allow an IPv6 administration
#########################################################

# Webmin en HTTPS

VirtualHost |2001:660:3302:F::12|:1028~
DocumentRoot /home/httpd/html/test
ServerName quarks.urec6.cnrs.Ir
ErrorLog /var/log/httpd/webmin1028.ipv6-errorlog
CustomLog /var/log/httpd/webmin1028.ipv6-accesslog combined
RewriteEngine on
RewriteLog /var/log/httpd/unsecuredrewrite.log
RewriteLogLevel 9

SetEnv WEBMINCONFIG /etc/webmin
Page : 66 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
SetEnv WEBMINVAR /var/webmin
SetEnv MINISERVC0NFIG /etc/webmin/miniserv.conI

RewriteRule `/(webmin)/(.*)$ https://194.57.138.36:9999/$1/$2 |NC,P|
RewriteRule `/(.*)/(.*)/$ https://194.57.138.36:9999/$1/$2 |NC,P|
RewriteRule `/(.*)$ https://194.57.138.36:9999/$1 |NC,P|
SSLEngine on
SSLCertiIicateFile /etc/httpd/server.crt
SSLCertiIicateKeyFile /etc/httpd/server.key
/VirtualHost~

# Webmin en HTTP
VirtualHost |2001:660:3302:F::12|:1029~
DocumentRoot /home/httpd/html/test
ServerName quarks.urec6.cnrs.Ir
ErrorLog /var/log/httpd/webmin1029.ipv6-errorlog
CustomLog /var/log/httpd/webmin1029.ipv6-accesslog combined
RewriteEngine on
RewriteLog /var/log/httpd/unsecuredrewrite.log
RewriteLogLevel 9

SetEnv WEBMINCONFIG /etc/webmin
SetEnv WEBMINVAR /var/webmin
SetEnv MINISERVC0NFIG /etc/webmin/miniserv.conI

RewriteRule `/(webmin)/(.*)$ http://194.57.138.36:9999/$1/$2 |NC,P|
RewriteRule `/(.*)/(.*)/$ http://194.57.138.36:9999/$1/$2 |NC,P|
RewriteRule `/(.*)$ http://194.57.138.36:9999/$1 |NC,P|
/VirtualHost~


##########################################################
# Urec Web server redirection
##########################################################

VirtualHost |2001:660:3302:F::11|~
ProxyRequests On
ProxyPass / http://www.urec.cnrs.Ir/
ProxyPassReverse / http://www.urec.cnrs.Ir/
/VirtualHost~