210 likes | 328 Vues
L’IPv6 chez VIA. er11. Ce qu’on va voir aujourd’hui. IPv6 en quelques mots (!) IPv6 chez VIA aujourd’hui Quelques idées à court terme…. IPv6 en quelques mots. Pourquoi ? Comment ?. IPv6, c’est IP avec 96 bits en plus. IPv6 normalisé en 1998 : RFC 2460
E N D
L’IPv6 chez VIA er11
Ce qu’on va voir aujourd’hui IPv6 en quelques mots (!) IPv6 chez VIA aujourd’hui Quelques idées à court terme…
IPv6 en quelques mots Pourquoi ? Comment ?
IPv6, c’est IP avec 96 bits en plus IPv6 normalisé en 1998 : RFC 2460 But: capitaliser sur les acquis d’IPv4, conçu alors qu’Internet était quasi inexistant… Mais l’essentiel reste, et IPv4 est amélioré progressivement Grandes lignes : Prévenir les problèmes de saturation d’IPv4, anticipés très rapidement… Améliorer les performances de routage, supprimer la fragmentation Intégrer nativement des ajouts postérieurs dans IPv4, notamment multicast Corriger un certain nombre de failles de sécurité : IPSEC natif…
Les en-têtes IPv6 et IPv4 comparées En-tête IPv6 épurée, des options inutiles supprimées (ToS…) Pas de vérification de checksum par le routeur : routage accéléré Taille fixe : 40 octets contre 20 à 60 en IPv4
Des IP en grande quantité 2128 adresses IP, soit environ 1038 IP, ce qui permet… beaucoup d’IP par m² Mais c’est moche une IPv6 sur 128 bits, même réduit/écrit en hexadécimal… Astuce : réduire les IP, en supprimant les 0 inutiles et le premier groupe de 0 inutiles éventuel FD00:0000:0000:0021:0001:0000:0000:5143 devient FD00::21:1:0:0:5143 IPv4 épuisées ? Bien plus d’IPv6, et surtout bien plus d’IPv6 par client pour éviter d’utiliser le NAT Structure générale d’une IPv6 : en général, un client final dispose d’un /48 ou d’un /64 Pourquoi autant d’IP ? Lié aux nouveaux mécanismes d’attribution d’IP Préfixe de 48 bits (FAI) 64 bits : partie spécifique à l’hôte 24 bits : subnetting
Coucou ! Tu veux une IP ? Avec IPv4 : DHCP et la configuration manuelle Avec IPv6 : DHCPv6, mais c’est pourri (sécurités supplémentaires comme en IPv4) Autoconfiguration « stateless » : le routeur donne un préfixe, le client choisit l’IP Soit sur la base de son adresse MAC (48 bits sur les 64 disponibles) Soit une attribution aléatoire ou cryptographique But de cette attribution : ne pas pouvoir mapper MAC et IPv6 (suffixe IPv6 unique pour tous les réseaux !) Mais comment associer IP et MAC ? ARPNeighborDiscovery Protocol
Adieu broadcast, bonjour multicast Broadcast: pas sûr, charge inutilement le réseau, risque lié aux boucles… Multicast est bien plus optimal ! (mais les soucis de sécurité ne sont pas vraiment résolus) Un NDP sécurisé existe mais est assez contraignant et peu utilisé NDP remplit des fonctions bien plus nombreuses qu’ARP, à l’aide d’ICMPv6 • Découverte des voisins (O RLY ?), sollicitation de voisin • Découverte des routeurs voisins, annonce de préfixe IPv6 pour l’autoconfigurationstateless • Découverte de paramètres spécifiques : MTU… • Résolution d’adresse, etc. Des adresses IPv6 (ff00::0/8) et MAC (33:33:33:xx:xx:xx) spécifiques sont dédiées au multicast : all-nodes, all-routers, all-ntp, all-dhcp…
Plusieurs IP par hôte Chaque hôte possède plusieurs IPv6, aux portées (scope) souvent différentes : Une IPv6 ‘link-local’ (réservée aux communications dans le sous-réseau) sur FE80::/64 Existait déjà avant, en IPv4, avec le 169.254.0.0/16 : on parlait d’APIPA Une IPv6 ‘global unicast’ (visible sur Internet, éventuellement associée à un reverse DNS) Une IPv6 ‘temporaire’ éventuelle, permettant d’avoir une IP différente (confidentialité) D’autres scopes moins utilisés, parce qu’une IPv6 publique ne coûte pas cher, citons notamment Site-local : comme link-local mais sur plusieurs LAN, typiquement VIA ou une entreprise
La transition vers IPv6 Trafic IPv6 à fin 2013 : environ 2% du trafic Internet <troll>Abonnés Free : activez votre IPv6, ça marche d’enfer !</troll> Problème d’IPv6 : « Mais pourquoi migrer ? IPv4 ça marche très bien et mon matériel n’est pas compatible ! En plus, 2% de trafic, c’est ridicule, la demande n’existe pas ! » Plusieurs solutions pour migrer en douceur sur des réseaux incompatibles 6to4, 6in4, 6rd (Free), TEREDO (Microsoft), et tant d’autres
Principe général : encapsulation IPv6 dans IPv4 Comment faire transiter des paquets IPv6 sur un réseau IPv4 ? En mettant les paquets IPv6 comme contenu d’un paquet IPv4 On perd certains avantages d’IPv6 ! (fragmentation, sécurité…) Il faut faire cette encapsulation : perte en performances… Reste à définir l’adresse IPv6 de l’hôte et le bout du tunnel Header IPv4 Payload IPv4 Header IPv6 Payload IPv6
Quelques détails sur les principaux mécanismes Tunnel 6in4 : définition statique du relay router Tunnel 6to4 : type IPv4 spécifique (41) + IPv6 spécifiques (2002::/16) Relay router défini par une adresse anycast192.88.99.1 ou explicitement Routage retour vers 2002::/16, préfixe IPv6 issu de l’IPv4 du 6to4 (2002:ipv4:hexa::/48) 6rd : extrapolé du 6to4, avec un préfixe dépendant du FAI au lieu de 2002::/16 TEREDO : sur des réseaux IPv4 NATtés, transport UDP, quand il n’y a pas d’IPv4 publique …Et d’autres (ISATAP, 6over4…), avec des portées différentes
Pour en savoir plus… Vous sortez de CF, je vous épargne les subtilités… Je vous conseille : http://www.youtube.com/watch?v=Od8DDowENMI (c’est Microsoft mais je vous assure c’est pas mal fait ! :-) ) Vous pouvez aussi aller voir • Wikipedia, surtout en anglais, • Le blog de Stéphane Bortzmeyer : www.bortzmeyer.org • Les RFC, c’est pas toujours si horrible que ça ! http://www.ietf.org/rfc/(cf. RFC 6214).
IPv6 à VIA Comment ça marche (pas) ?
Contexte technique CTI/Rubis: voir plus haut, IPv6 c’est un peu trop moderne et ça sert à rien dans l’immédiat VIA : Avant 2013 le cœur de réseau était incompatible (IPv6 n’était pas inclus dans son OS) Depuis 2003, un routeur et passerelle 6to4 sur Palantir VLAN IPv6 : vlip6, vlip6-wifi, vlip6-via, vlip6-perms IPv6 de Palantir : 2002:8ac3:802d::/48
Palantir, c’est Un annonceur de préfixes IPv6 sur les VLANs de la Rez avec radvd Un routeur IPv6 avec ip -6 route Un firewall IPv6 avec ip6tables Un tunnel 6to4 : géré nativement dans Linux (/etc/network/interfaces) Un accounter de trafic IPv6 (le firewall ne voit sortir que du trafic IPv4 !) avec ICUG Et pas mal de choses sans rapport qui ne fonctionnent plus, genre vlip-goret
Pourquoi l’IPv6 c’est pourri sur la Rez ? Le 6to4 c’est vieux : les relayrouters deviennent rares et saturent donc débit pourri Tempest ne voit pas de trafic IPv6, l’ICUG compte indépendamment des quotas Conséquence : l’IPv6 n’est pas décompté des quotas, et un gorêt a toujours IPv6 ! Un routeur possède des puces dédiées au routage ! Palantir pas vraiment… Un VLAN IPv6 rez-wide (vlip6) ! • Risque de boucle, même s’il n’y a plus , normalement, de broadcast… • Windows Vista (surtout) pourrit le réseau en émettant ses propres Router Advertisement • Conséquence : un PC donne des adresses IPv6 à tout le VLAN en plus de Palantir • On a mis une ACL sur les routeurs qui bloque ces annonces foireuses
Une vision au plus loin d’IPv6 Ce que l’on pourrait faire à VIA dès maintenant ou plus tard
Et si on utilisait notre réseau ? En IPv4 on utilise OSPF, qui utilise notamment du multicast IPv4… En IPv6 il y a OSPFv3, adapté à IPv6 Tout ce que l’on fait en IPv4 peut être porté quasiment tel quel en IPv6 ! Pourquoi pas faire de la diffusion TV en IPv6 ? ;-) TOUT le matériel réseau, sauf les 2 48i, est compatible IPv6, à savoir • VLAN adressé en IPv6 • Routage IPv6 sur les routeurs (OSPFv3 avec les mêmes limites de licence qu’OSPF) • RA IPv6 • Table NDP au lieu de la table IP/ARP • ACLs IPv6 (x460 rulez !) Déjà des tests en cours, voir mon CR et me demander pour plus d’infos !
IPv6 et firewall Trafic IPv4 compté par ipt_account, un module kernel inadapté à IPv6… ICUG : bof ! Des solutions ont été développées sur les routeurs : NetFlow (Cisco), IPFIX, sFlow (statistique) Mais comment lier une IPv6 à un membre (MAC…) avec une configuration stateless ? L’autoconfiguration est moins adaptée que DHCPv6 dans ce genre de cas Solution : le cache NDP des routeurs ( ~ la table IPARP), qui a l’information (MAC/IPv6) Tout ça sera inclus dans le nouveau firewall, qui verra passer le trafic IPv6 directement Palantir ne sera plus qu’un tunnel 6to4
Une meilleure connectivité IPv6 ? Convaincre le CTI qu’IPv6 c’est le bien ? Sous réserve de trouver un hébergeur qui l’accepte, on pourrait faire un bon tunnel 6in4 Go secteur entreprise ! Et encore après ? Si VIA devient FAI, il faudra bien sûr penser à avoir des transitaires et peers IPv6 !