méthodologie de déploiement ipv6 - aresu · projet ipv6-adire projet initié ... par exemple :...
TRANSCRIPT
MéthodologieMéthodologiede déploiement IPv6de déploiement IPv6
3 juin 20083 juin 2008JTR 2008 – NancyJTR 2008 – Nancy
03/06/2008 Centre Réseau Communication 2
Par où commencer ?Par où commencer ?
►Vous voulez déployer IPv6■ Vous ne savez pas par où commencer
►D'autres se sont déjà posés la question...■ Projet « IPv6-Adire »
►Objectif de cette présentation■ Ce n'est pas si difficile !■ Un peu de méthode ne nuit pas
03/06/2008 Centre Réseau Communication 3
Projet IPv6-AdireProjet IPv6-Adire
►Projet initié par le Ministère (direction de la Recherche)
■ 11 sites universitaires français■ Coordination : Pierre David et Thomas Noël
►Objectifs■ Support d'IPv6 de bout en bout■ Expérimentation de la mobilité IPv6■ Production de documentations pour le déploiement
►Présentation (et démonstration) : JRES 2005■ Axée sur la mobilité
►http://ipv6.u-strasbg.fr/
03/06/2008 Centre Réseau Communication 4
PrérequisPrérequis
►Vous connaissez les bases des protocoles IPv6►Vous avez un fournisseur de connectivité IPv6
■ Votre réseau de collecte▪ Renater, réseau régional, métropolitain, de campus, etc.▪ S'il offre un service IPv6 natif
■ Renater (service « tunnel broker »)▪ http://www.renater.fr/spip.php?article328
►Vous disposez d'un préfixe IPv6■ Vous disposez d'au moins 2^64 adresses IPv6
▪ Voire même 2^80 adresses
03/06/2008 Centre Réseau Communication 5
PrérequisPrérequis
►Vous envisagez un déploiement à « double pile »■ Vous n'envisagez pas un déploiement « IPv6 only »■ Vous êtes courageux, mais pas téméraire
►Vous avez des routeurs et des systèmes « modernes »
■ N'importe quel système libre du moment convient
03/06/2008 Centre Réseau Communication 6
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 7
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 8
Plan d'adressagePlan d'adressage
adresse IPv6
128 bits
??? ???
préfixe réseau identifiant d'hôte
64 bits 64 bits
32 bits 16 bits 16 bits
Renater établiss. s/s réseau
03/06/2008 Centre Réseau Communication 9
Plan d'adressagePlan d'adressage
►Numéro de sous-réseau■ Plusieurs sortes de partitions possibles :
▪ organisationnelle : composantes, laboratoires, services, etc.▪ géographique : campus, site, bâtiment▪ usage : dorsale, serveurs, téléphone, enseignement,
recherche, etc.▪ etc.
■ Tenir compte de la délégation DNS▪ Alignement sur des frontières de quartets (4 bits)
■ Conserver de la marge pour l'imprévu (« future use »)
03/06/2008 Centre Réseau Communication 10
Plan d'adressagePlan d'adressage
►Exemples de plan d'adressage■ Nancy (UHP)
▪ organisation/8 + numéro séquentiel/8■ Université Paris 1
▪ site/8 + tag vlan/8 (= communauté/4 + num séq/4)■ Strasbourg (Osiris)
▪ cf présentation Philippe Pegon
►Liste d'exemples : http://ipv6.u-strasbg.fr
03/06/2008 Centre Réseau Communication 11
Plan d'adressagePlan d'adressage
►Différents types d'identifiants d'hôtes■ Auto-configuré, manuel (*::1, *::2, *::3, etc.), anonyme
(RFC 3041)►Quel type pour quelle catégorie ? Par exemple :
■ Serveurs : identifiants « manuels »■ Stations, imprimantes, etc. : auto-configuration
►Choix d'identifiants « manuels » particuliers ?■ Routeur par défaut, serveur DNS■ Facile à taper, facile à retenir
►Attention aux problèmes de sécurité■ Identifiants non « devinables » (pas ::1, ::2, etc.)
03/06/2008 Centre Réseau Communication 12
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 13
RoutageRoutage
►Amener la connectivité IPv6 à l'entrée du site■ Le routeur IPv6 n'est pas forcément le routeur IPv4■ Un vieux PC avec 2 cartes réseau et un *BSD peut
faire le routage IPv6 pour commencer►Distribuer les routes IPv6 : protocole de routage
intérieur■ Choix possibles : aucun... (routes statiques), RIPng,
OSPFv3, IS-IS, autre ?
03/06/2008 Centre Réseau Communication 14
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 15
FiltrageFiltrage
►Important : avant de laisser rentrer du trafic, il faut se protéger des attaques
■ Sinon, IPv6 est la porte dérobée pour tous les pirates compatibles IPv6 !
►Deux niveaux■ À l'entrée du site■ Sur chaque machine
►Par défaut, tout doit être interdit en entrée■ Levée de l'interdiction au fur et à mesure de la
validation et des points d'expérience
03/06/2008 Centre Réseau Communication 16
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 17
DNSDNS
►Deux problèmes distincts■ Possibilité de mettre des enregistrements AAAA dans
vos zones■ Transport IPv6 pour le protocole DNS
►Enregistrements AAAA■ Nécessite un BIND « moderne » (>= 8)■ Attention aux scripts d'exploitation
▪ Publicité subliminale : WebDNS (http://webdns.u-strasbg.fr)
►Transport IPv6■ Important, mais pas crucial dans le cas général■ Crucial pour les réseaux « IPv6 only » (pas vous...)
03/06/2008 Centre Réseau Communication 18
Publication des adressesPublication des adresses
►Quand tous les services d'un serveur sont v6fiés, l'adresse AAAA peut être publiée sous le même nom que l'adresse A
■ crc.u-strasbg.fr IN A 130.79.202.1IN AAAA 2001:660:2402:1001::1
03/06/2008 Centre Réseau Communication 19
Publication des adressesPublication des adresses
►Attention aux serveurs insuffisamment v6fiés■ Source de dysfonctionnements
►Ex: mon serveur a le service HTTP v6fié, mais pas encore le service IMAP, et je publie son adresse AAAA dans le DNS
■ Les clients IPv4/v6 accèdent à HTTP : parfait !■ Les clients IPv4 accèdent à IMAP : parfait !■ Les clients IPv6 n'accèdent pas à IMAP en IPv6.
Certains ne réessaieront pas en IPv4 : gros problème !
►Phase transitoire : publier un autre nom (serveur6.domaine.fr) avec l'adresse AAAA le temps que tout soit v6fié
03/06/2008 Centre Réseau Communication 20
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 21
Courrier électroniqueCourrier électronique
►Relayage de messagerie (MX/SMTP)■ En entrée et en sortie de site■ Facile à faire■ Pas encore beaucoup de spammeurs en IPv6
▪ Ce qui ne veut pas dire qu'il ne faut rien faire ;-)
►Services associés à l'hébergement des boîtes■ IMAP, POP, Webmail, etc.■ Facile à faire
03/06/2008 Centre Réseau Communication 22
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 23
Web / ProxyWeb / Proxy
►Site Web institutionnel►Web avec une tortue qui bouge
■ Exemples▪ http://www.kame.net▪ http://www-crc.u-strasbg.fr/osiris/ipv6/
■ Gadget, mais utile pour vérifier facilement une connectivité de bout en bout
►Proxy v4/v6■ Si vous souhaitez migrer vers un réseau « IPv6 only »■ Utile pour cet après-midi « IPv6 only »
▪ Nanj'plaisante ;-)
03/06/2008 Centre Réseau Communication 24
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 25
Métrologie et supervisionMétrologie et supervision
►Le déploiement ne s'arrête pas à l'installation de la connectivité et des services IPv6
■ Il faut superviser ce qui a été mis en place■ Il faut éviter qu'IPv6 ne devienne un « citoyen de
seconde zone »►Métrologie et supervision font partie intégrante
du déploiement►http://www.renater.fr/IMG/pdf/recommendations_
supervision_IPv6.pdf
03/06/2008 Centre Réseau Communication 26
Les étapes du déploiementLes étapes du déploiement
Supp
ort u
tilisa
teur
et c
orre
spon
dant
s
Plan
d’a
dres
sage
Rout
age
Prox
y W
eb v
4/v6
Web
(ave
c to
rtue)
MX
/ SM
TP
Filtr
age
DNS
et p
ublic
atio
n de
s ad
ress
esM
boxe
s (I
MAP
/Web
mai
l/…)
Mét
rolo
gie
et s
uper
visio
n
Form
atio
n
Géné
ralis
atio
n
Hom
e Ag
ent
+ n
mob
iles
Prox
y Ra
dius
Mul
ticas
t
Vidé
ocon
f
t
03/06/2008 Centre Réseau Communication 27
Formation ... généralisationFormation ... généralisation
►Une fois les étapes « techniques » effectuées, le reste n'est que du bon sens :
■ Former les techniciens▪ Correspondants réseau, correspondants de sites, reste du
service informatique, etc.■ Offrir le même niveau de support en IPv6 qu'en IPv4
▪ Adapter les procédures de support utilisateur▪ Outils d'exploitation et de diagnostic mixtes
■ Généralisation▪ L'utilisateur ne doit pas savoir qu'il utilise IPv6 !
03/06/2008 Centre Réseau Communication 28
ConclusionConclusion
►Le déploiement d'IPv6 n'est pas un petit projet►À grande échelle, c'est un projet ambitieux►La plupart des outils sont là
■ La phase des pionniers est derrière nous■ Implémentations matures, grande expérience■ Le reste n'est qu'affaire de bon sens et de méthode
►Il ne reste plus qu'à déployer...■ ... et attendre que tout le monde utilise IPv6■ ... sans le savoir !