I.R.T Session 2003 Prochaine Gnration Internet IPv6
Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
session 2003
Stage fin d`tude Ingnierie Rseau et Tlcoms
Mise en place de services IPv6 l`Unit Rseau du CNRS
Description : Ce rapport decrit la mise en place d`un reseau IPv6 et des services associes. Version actuelle :1.2 Date :7/1/2004
Auteur : Amaury Denoo amaury.denooorange.Ir Resp. Stage : Jean Paul Gautier jean-paul.gautierurec.cnrs.Ir Resp. Session : Vassiliki Spathis vassiliki.spathislip6.Ir
Page : 2 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
1. INTRODUCTION : ................................................................................................................ 5 2. POURQUOI UNE NOUVELLE GENERATION DE L'INTERNET ? ..................................... 5 3. PRESENTATION DES OBJECTIFS ET DE L'ENVIRONNEMENT ..................................... 7 4. CONTRIBUTIONS ET REALISATION DU PROJET IPV6 UREC........................................ 8 5. CONCLUSION ET SYNTHESE DE LA SOLUTION............................................................. 8 6. PROPOSITION D'UNE TOPOLOGIE RESEAU IPV6 (1ERE PARTIE) ............................... 9 6.1. Raccordement de l'UREC au rseaux Renater 3 IPv6 (Module 1a) ..........................................................................9 6.1.1. Etude du raccordement a Renater................................................................................................................................9 6.1.2. Realisation.................................................................................................................................................................10 6.1.3. Schema du Lien 802.1Q Renater3.............................................................................................................................10 6.2. Proposition d'une topologie IPv6 autonome (Module1b ) ........................................................................................11 6.2.1. Etude des topologies possibles..................................................................................................................................11 6.2.2. Schema du plan d'adressage .....................................................................................................................................12 6.2.3. Realisation de la topologie separant IPv6 et Ipv4 (cblage)......................................................................................13 6.3. Prparation du CISCO 4700 pour IPv6 (Module 1c )..............................................................................................13 6.3.1. Etude .........................................................................................................................................................................13 6.3.2. Realisation.................................................................................................................................................................13 6.4. Configuration du CISCO 4700 pour Ipv6 (Module 1e ) ...........................................................................................14 6.4.1. Etude .........................................................................................................................................................................14 6.4.2. Realisation.................................................................................................................................................................14 6.5. Choix d'une distribution Linux IPv6 (Module 1d )...................................................................................................15 6.5.1. Etude .........................................................................................................................................................................15 6.5.2. Realisation.................................................................................................................................................................15 6.6. Installation de la distribution Linux (Module 1f ).....................................................................................................16 6.6.1. Etude .........................................................................................................................................................................16 6.6.2. Realisation.................................................................................................................................................................16 6.7. Intgration et tests d`interconnexions unitaires (Module 1g)...................................................................................17 6.7.1. DeIinition du plan de test ..........................................................................................................................................17 6.7.2. Execution du plan de test ..........................................................................................................................................17 7. AJOUT DU SERVICE DNS IPV6 (2EME PARTIE) ............................................................ 18 7.1. Installation et paramtrage du service DNS IPv6 (Module 2a )...............................................................................18 7.1.1. Etude .........................................................................................................................................................................18 7.1.2. Realisation avec Bind 9.2.1.......................................................................................................................................19 7.2. Procdure de test du service DNS Ipv6 (Module 2b ) ...............................................................................................19 7.2.1. Plan de test DNSv6 ...................................................................................................................................................19 7.2.2. Execution du plan de test ..........................................................................................................................................20 8. MISE EN PLACE D'UN RELAIS WEB IPV4 VERS IPV6................................................... 20 Page : 3 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 8.1. Choix d'un relais Web IPv4 - IPv6 (Module 2c)........................................................................................................20 8.1.1. Etude .........................................................................................................................................................................20 8.1.2. Schema d`integration d`un relais Web IPv4 vers IPv6..............................................................................................21 8.1.3. Realisation avec Apache 1.3.27 ................................................................................................................................21 8.2. Procdure de test du service Web IPv6 (Module 2d ) ...............................................................................................22 8.2.1. Plan de test acces au Web IPv4 via IPv6...................................................................................................................22 8.2.2. Execution du plan de test ..........................................................................................................................................23 9. DISPONIBILITE ET ADMINISTRATION DU RESEAU IPV6 (3EME PARTIE) .................. 23 9.1. Les outils d'administration du rseau et des services via le Web IPv6 (Module 3b ).............................................24 9.1.1. Etude des outils disponibles ......................................................................................................................................24 9.1.2. Realisation avec webmin 1.090.................................................................................................................................24 9.1.3. InterIace Web Ipv6 d`administration du serveur Quarks de L`UREC ......................................................................25 9.1.4. InterIace web de gestion des interIaces reseau..........................................................................................................25 9.2. Les listes d'accs sur les entits IPv6 (Module 3a ) ...................................................................................................25 9.2.1. Etude .........................................................................................................................................................................25 9.2.2. Realisation.................................................................................................................................................................27 9.2.3. Plan de test administration Serveur et Routeur .........................................................................................................28 9.2.4. Execution du plan de test ..........................................................................................................................................28 10. TRANSLATION DE PROTOCOLE IPV4 VERS IPV6 (4EME PARTIE).......................... 29 10.1.1. Etude de NAT-PT.................................................................................................................................................29 10.1.2. Realisation............................................................................................................................................................29 11. RACCORDEMENT MULTICAST IPV6 A RENATER3 VIA RAP (5EME PARTIE)......... 30 11.1. Schma Multicast avec routeur CISCO.....................................................................................................................30 11.2. Schma Multicast avec routeur Linux .......................................................................................................................31 11.3. Raccordement du routeur CISCO au domaine PIM (Module 5a )..........................................................................31 11.3.1. Etude.....................................................................................................................................................................31 11.4. Configuration d'une entit multicast avec VIC et RAT (Module 5b ).....................................................................32 11.4.1. Etude.....................................................................................................................................................................32 11.4.2. Realisation............................................................................................................................................................32 11.5. Test en rception de canaux multicast (Module 5c ) .................................................................................................32 11.6. Prsentation d`un routeur Linux IPv6 avec PIM-SM (Module 5d )........................................................................33 11.6.1. Etude.....................................................................................................................................................................33 11.6.2. Realisation............................................................................................................................................................33 11.7. plan de test multicast ...................................................................................................................................................34 11.7.1. DeIinition..............................................................................................................................................................34 11.7.2. Execution du plan de test......................................................................................................................................34 12. REFERENCES BIBLIOGRAPHIQUES........................................................................... 34 13. ANNEXES....................................................................................................................... 35 13.1. Termes employs, glossaire et abrviations ...............................................................................................................35 13.1.1. Termes relatiIs aux reseaux..................................................................................................................................35 13.1.2. Abreviations .........................................................................................................................................................36 13.2. Qu`est ce qu`IPv6 ?......................................................................................................................................................37 Page : 4 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 13.3. Historique d'IPv6.........................................................................................................................................................37 13.3.1. Introduction ..........................................................................................................................................................37 13.3.2. Points cles.............................................................................................................................................................38 13.3.3. La transition IPv4 vers IPv6.................................................................................................................................39 13.4. Concepts de base IPv6.............................................................................................................................................40 13.5. Un rappel thorique non exhaustif sur IPv6..............................................................................................................41 13.5.1. Besoins .................................................................................................................................................................41 13.5.2. Caracteristiques (Garde l'esprit de IPv4 : UPD,TTL,DGTM) ..............................................................................41 13.5.3. Entte IPv6 ...........................................................................................................................................................41 13.5.4. Format adresse IPv6 ............................................................................................................................................43 13.6. Routage en IPv6 ...........................................................................................................................................................46 13.6.1. Avantages du routages en IPv6 ............................................................................................................................46 13.7. Linux et Ipv6: Rtrospective.......................................................................................................................................49 13.7.1. RedHat..................................................................................................................................................................50 13.7.2. PLD Linux............................................................................................................................................................50 13.8. Analyse des fichiers de configuration du Serveur Quarks ......................................................................................52 13.8.1. Fichier etc/resolv.conI ..........................................................................................................................................52 13.8.2. Fichier /etc/host ....................................................................................................................................................52 13.8.3. Fichier /etc/module.conI.......................................................................................................................................53 13.8.4. Fichier /etc/network.conI......................................................................................................................................53 13.8.5. Fichier /etc/sysconIig/interIaces/iIcIg-eth0 ..........................................................................................................55 13.8.6. Fichier /etc/sysconIig/interIaces/iIcIg-eth1 ..........................................................................................................55 13.8.7. Fichier /etc/poldek.conI........................................................................................................................................56 13.8.8. Fichier /etc/named.conI ........................................................................................................................................58 13.8.9. Fichier /var/named.data/UREC/localhost-v6.rev..................................................................................................62 13.8.10. Fichier /var/named.data/UREC/urec6.cnrs.Ir .......................................................................................................63 13.8.11. Fichier /var/named.data/UREC/urec6.cnrs.Ir .......................................................................................................64 13.8.12. Fichier /etc/httpd/httpd.conI .................................................................................................................................65 Page : 5 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
1. Introduction : L`acces aux telecommunications et a l`Internet est un element essentiel de l`economie mondiale. Les chiIIres concernant l`utilisation d`Internet revelent un desequilibre entre le nord et le sud. Presque toutes les grandes entreprises entrevoient dans la reduction de la Iracture numerique de nouveaux marches : Le protocole Internet de prochaine generation (IPng) Iait partie des moyens utilises pour Iaonner une scene economique mondiale plus equilibree.
IPng est conduit par un ensemble d`organismes internationaux. Ces organismes qui pilotent la standardisation de l'Internet sont : l'Internet Engineering Task Force (IETF), l'Internet engineering Steering Group (IESG), l'Internet Society (ISOC) , l'Internet Architecture Board (IAB) et l'Internet Assigned Numbers Authority (IANA).
De plus en plus de Projets IPng sont realises. Prochainement, la Thalande va deployer 1 million d`ordinateurs IPv6 Linux avec des acces sans Iils metropolitains (IEEE 802.16) pour Iavoriser l`acces aux sciences des communications. Ils choisissent IPv6 et Linux parce que le gouvernement Thalandais preIere garder la matrise de son avancee technologique. Ailleurs en Orient, des Indous corrigent les bogues pendant que les Americains dorment. En occident, la migration IPv6 se Iera en douceur a cause du systeme IPv4 existant. A Paris, le departement de l`UREC du CNRS souhaite disposer d`un reseau IPv6 et ce document developpe l etude de realisation.
2. Pourquoi une nouveIIe gnration de I'Internet ?
Tout simplement, pour restaurer le dialogue de bout en bout et generaliser la diIIusion multicast et les procedes de securite dans le monde des reseaux. IPv6 s`inscrit dans le prolongement de l`Internet actuellement disponible. Pour s`en convaincre, les congres comme l`Interop (mai 2003), la renaissance IPv6 a Caen (juin 2003) et le NI (19-21 Novembre 2003) a Paris Iont partie des reponses.
IPv6, composante de IPng, consiste en une generalisation des concepts deja mis en place et en une adaptation a l`echelle mondiale de la toile. IPv6 est un protocole de la couche 3 (voir le modele OSI) qui supplantera a terme IPv4 (plus connu sous le nom d'IP). IPv4 a ete conu a partir de janvier 1980, et, depuis le commencement, il y a eu de nombreuses demandes pour accrotre la quantite d'adresses disponible et augmenter les capacites. Le RFC Request Ior Comments 2460 (speciIication du protocole Internet version 6) repond a l`ensemble des demandes d`evolutions. La modiIication essentielle dans IPv6 est la nouvelle conception de l'en-tte, incluant une augmentation de la taille de l'adresse, en passant de 32 a 128 bits.
Modle P et entte Pv6
Page : 6 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Une adresse IPv6 de 128bit, cela signiIie qu`elle est 4 Iois plus grande qu`en IPv4. C`est un espace d'adressage immense, qui permet d'envisager un plan d'adressage hierarchique. Selon Christian Huitema, On pourrait disposer dans le cas le plus deIavorable 1564 adresses sans compter les nouds d'acheminement pour chaque metre carre de la surIace du globe . Une adresse IPv6 dispose d`une portee (Globale, Site ou Locale) et d`un nouveau type pour Iacilite leur regroupement. Il a ete deIinie trois types d'adresses IPng: 1. L'adresse Unicast identiIie une interIace unique. 2. L`adresse Anycast identiIie un jeu d'interIaces tel que un et un seul membre de ce jeu recevra un paquet. 3. L'adresse Multicast identiIie un groupe d'interIaces tel que tous les membres de ce groupe reoivent le mme paquet. Il n'y a pas d'adresse de broadcast en IPv6, ce type d'adresse est materialise par une adresse multicast.
La representation textuelle d`une adresse IPv4 se Iait en decoupant le mot de 32 bits de l`adresse en 4 mots de 8 bits separes par le caractere . , chacun d`eux etant represente en decimal. C`est la representation decimale pointee. Par exemple 192.168.0.1
La representation textuelle d`une adresse IPv6 se Iait en decoupant le mot de 128 bits de l`adresse en 8 mots de 16 bits separes par le caractere : , chacun d`eux etant represente en hexadecimal. Par exemple l`adresse : 2001 :0660 :3302 :000F :0000 :0000 :0000 :0011
Dans un champ, il n`est pas necessaire d`ecrire les 0 places en tte et plusieurs champs nuls consecutiIs peuvent tre abreges par :: . Ce symbole ne peut apparatre qu`une seule Iois dans une adresse. L`adresse precedente peut donc s`ecrire : 2001 :0660 :3302 :F ::11
L`objectiI principal d`IPv6 est de hierarchiser les adresses pour permettre de plus grands agregats et une reduction de la taille des tables de routage des routeurs de backbone.
Voici le schema d`une adresse IPv6 : Chaque partie (TLA, sTLA, Res, NLA, SLA, I ID) est reservee a un usage precis qui est explicite dans le RFC 2460.
Voici un exemple d`une adresse IPv4 : 129.168.94.249, encapsulee dans une adresse IPv6 :Ce type d`adresse est utilise pour Iaciliter la transition d`acces reseau Ipv4 vers un reseau Ipv6.Le lien http://www.Iaqs.org/rIcs/rIc3056.html donne les moyens d`analyser en details cette adresse.
2002:81a8:5ef9:31a:9211:4eff:fe61:3a
Note : L`IETF a assigne un espace d`adresse agregeable unicast globale avec la valeur 2 dans le TLA pour reconnatre une adresse IPv4 en capsule dans une adresse IPv6. Ce type d`adresse permet sur des entites IPv4, avec l`aide d`un tunnel de communiquer avec une entite IPv6. 001 3 bits TLA 13 bits sTLA 13 bits Res 6 bits NLA 13 bits SLA 16 bits InterIace ID 64 bits Topologie publique Topologie privee Page : 7 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
3. Prsentation des objectifs et de I'environnement
M.Jean Paul Gautier (Ingenieur UREC) a propose une ouverture de stage IPv6 a l`Universite Pierre & Marie Curie et a l`ecole nationale superieur des telecoms pour laquelle j'ai maniIeste mon intert dans le cadre de la promotion Ingenierie .Reseaux.Telecommunication 2003.
Le sujet: Mise en place d`un rseau IPv6 et des services associs.
L'unite de Reseau du CNRS (UREC) est composee de trois sites geographique Grenoble, Lyon et Paris (site principal). Ces sites sont animes par le Directeur M. Jean Luc Archimbaud. Les travaux menes par les diIIerentes equipes sont centres sur l'administration de reseaux securises, l'expertise reseau et la Iormation sur les technologies reseaux avancees pour le CNRS.
L'environnement de travail dans lequel le stage s'est deroule sur le site de Paris a ete exemplaire. Mes collegues de bureau de l'UREC Paris m'ont apporte les reponses necessaires et suIIisantes pour realiser les travaux.
L`environnement reseau de l`UREC est IPv4. L`UREC est raccorde au backbone de Jussieu qui ne dispose pas de reseau IPv6. Le reseau 6RAP (Reseau academique parisien ) qui est raccorde au backbone de Jussieu dispose d`un acces RENATER3 IPv6 (Reseau National de Telecommunications pour la technologie, l'Enseignement et la Recherche) et des services associes comme le M6bone : service de diIIusion IP multicast.
La mission qui m'a ete conIie au sein de l'equipe de l'UREC a ete de deIinir et de raccorder un ensemble d'entite reseaux permettant de realiser un ensemble de Ionctionnalites IPv6 (IPng : Internet Protocole nouvelle generation - IPv6).
Ces Ionctions ont pour but dans un premier temps de Iournir les services de serveur de noms IPv6 (DNS), de relais de serveur WEB IPv4 vers IPv6 et de point de raccordement pour la diIIusion Multicast en IPv6. Dans un deuxieme temps, il s'agit de proposer une methodologie pour le deploiement de ces services IPv6 dans les laboratoires du CNRS.
La mise en place de ces services t dfinie dans l'objectif principal de disposer d`un relais du serveur WEB de l'UREC en IPv6 et d`un rseau de diffusion multicast IPv6. Les objectifs secondaires tant de raliser ces services avec une topologie rseau IPv6 venant s`intgrer dans le rseau de production existant sans le perturber.
L'UREC m'a permis d`acceder a l`environnement reseau de recherche et de campus universitaire pour accomplir ma mission. J`ai eu le privilege d'assister a la conIerence "IPv6 : La renaissance" qui s'est deroule du 11 au 13 juin 2003 qui m`a permis de mieux comprendre les enjeux de l`Internet prochaine generation. C'est avec la combinaison de tous ces moyens que la realisation du reseau IPv6 UREC a pu voir le jour. Je tiens a remercier l'ensemble des intervenants qui m'ont aide dans cette experience tres enrichissante.
Un grand merci a toute l`equipe de l`UREC et aux contacts avec les services du CCR ( M. Christian Hascouet et M. Sebastien Vautherot) et de RAP ( M. Lionel David). Ils m'ont permis de realiser avec succes les experimentations decrites ci-dessous. Page : 8 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 4. Contributions et raIisation du projet Ipv6 UREC
Ce rapport de stage analyse les scenarios permettant de mettre place un reseau IPv6 avec des services applications. L`approche retenue ici synthetise les procedures de mise en place du reseau IPv6 de l`UREC pour permettre de les reutiliser ulterieurement.
Les objectiIs etant Iixes, M. Gautier m'a expose le travail pour realiser le reseau IPv6 en cinq parties.
1- Proposition d'une topologie reseau IPv6 2- Ajout des services DNS IPv6 et relais WEB 3- Disponibilite et administration du reseau Ipv6 4- Etude de NAT-PT 5- Raccordement Multicast IPv6 a Renater3 via RAP
La diversite de ces parties a mettre en place m'a conduit dans un premier temps a proposer un plan d'etude pour decomposer ces cinq parties en modules. Ces modules sont reIerences avec un chiIIre et une lettre, ainsi le module "3b" signiIie que c'est le deuxieme module de la troisieme partie. Chaque module comporte un paragraphe portant sur l`etude et un portant sur la realisation. Ce decoupage a permis d'isoler les diIIerents problemes, d`identiIier les interdependances et de relater dans un document d'avancement les diIIicultes. 5. ConcIusion et synthse de Ia soIution
La proposition consistant a mettre en place un reseau IPv6 a l`UREC est viable avec quelques restrictions qui peuvent tre levees dans une prochaine etude. La cohabitation des reseaux est encore une Iois eprouvee et les services s`adaptent plutt bien.
Les systemes WINDOWS et UNIX sont operationnels pour le deploiement des stations de travail IPv6. Ces systemes peuvent servir de routeur et de relais web IPv4- IPv6 avec des restrictions portant sur le contenu et les acces securises. Les logiciels sont dotes d`une plus grande reactivite et dans le contexte d`un Iaible debit sont tres interessants d`un point de vue perIormance/prix. On peut remarquer la Iiabilite des systemes linux PLD (Itp.pld-linux.org) et ASPLINUX (www.asp-linux.com) qui sont une alternative non negligeable.
Dans l`ensemble peu d`equipements deja installes supportent IPv6. Les equipements dedies IPv6 (par exemple 6Wind) sont plus complets d`un point de vue Ionctionnel et plus adaptes si le reseau IPv6 devient le reseau primaire, ce qui n`est pas encore le cas generalement.
La solution IPv6 envisagee au departement de l`UREC du CNRS permet de realiser un service relais de site web IPv4 vers IPv6. La securisation du reseau est a ce jour realisee par des regles de Iiltrage statique mais la conIidentialite des inIormations est assuree par HTTPS et les certiIicats. La separation des Ilux Ipv4 et IPv6 au niveau serveur et routeur permet une non regression des services existants.
La proposition consistant a adjoindre un reseau IPv6 dans les laboratoires du CNRS est viable des aujourd`hui. Cela permet d`oIIrir les services WEB du CNRS en IPv6 d`une part et de diIIuser les medias en IPv6 multicast d`autre part. Les equipements d`ancienne generation CISCO peuvent tre mis a niveau pour realiser les Ionctions de routage et de Iiltrage. Pour les Ionctions avancees, NAT-PT et PIM-SM, il est preIerable de s`orienter vers des solutions recentes dediees comme celles de 6Wind ou d`IP InIusion.
Page : 9 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
6. Proposition d'une topoIogie rseau IPv6 (1ere partie)
Cette partie developpe l`etude et la realisation d`un reseau IPv6 physique et logique. Les choix eIIectues y sont determinants pour les services associes, developpes dans les parties suivantes. La presentation des diIIerentes topologies est abordee ainsi que les aspects relatiIs au deploiement. Les aspects d`integration sont aussi notiIies. La premiere parie a ete subdivisee en sept modules:
Modules de la premiere partie : a- Raccordement de l'UREC aux reseaux Renater 3 IPv6 b- Proposition d'une topologie IPv6 autonome c- Preparation du CISCO 4700 pour IPv6 d- Choix d'une distribution Linux IPv6 e- ConIiguration du CISCO 4700 pour Ipv6 I- Installation de la distribution Linux g- Integration et tests interconnexion unitaires
6.1. Raccordement de l'UREC au rseaux Renater 3 IPv6 (Module 1a) 6.1.1. Etude du raccordement Renater Une problematique majeure dans ce type d'etude est l'analyse des contraintes de tous les intervenants impliques dans l'interconnexion. Cette analyse doit mettre en evidence le type de raccordement entre chaque tronon pour realiser l'interconnexion de bout en bout. Les tronons identiIies peuvent eIIectuer une liaison IPv6 native ou une encapsulation IPv6 dans un VLAN (Virtual Local Area Network) 802.1Q. Les intervenants exterieurs identiIies ici sont le (CCR : Centre de calcul Recherche et Reseau Jussieu) et 6RAP (Reseau Academique Parisien IPv6).
Il existe donc deux scenarios d`interconnexion:
Dans le cas du scenario impliquant des entites supportant IPv6 nativement, on peut envisager un plan de test permettant de veriIier l'acheminement dans chaque tronon. Les causes et les diagnostics sont Iaciles a enumerer avec ping , traceroute ...
Dans le cas du scenario impliquant l'utilisation d'un tunnel ou d'un VLAN 802.1Q qui est un protocole Iiable et bien matrise, il est beaucoup plus diIIicile d`apprehender les causes et les diagnostics sans avoir acces a toutes les entites reseaux de la chane. L'application de ce scenario signiIie que ce module sera dependant du module (1e) pour tre operationnel.
L'etude de la topologie reseau du site de l'UREC Paris correspond bien a une PME actuelle. Les entites reseaux ne disposent pas du protocole IPv6. Le commutateur routeur dispose de 48 ports pour une dizaine d'entites (serveurs compris). Le nombre de prises RJ45 moyen par piece est de six ce qui donne de bonnes perspectives d'evolution. L'UREC dispose d'une salle machine avec une baie 19 pouces pleine hauteur qui peut recevoir un routeur IPv6 et un serveur IPv6 supplementaire.
D'un point de vue technique, le type de commutateur-routeur sortant du site de Paris est determinant. Celui-ci est un Foundry Fastiron 4802 : Il ne supporte pas IPv6 nativement, le choix d'un VLAN 802.1Q entre l`UREC et 6RAP devient alors un axiome.
Ce FastIron est raccorde au backbone de Jussieu qui lui aussi ne dispose pas a ce jour d'entite reseaux supportant Ipv6 nativement. Page : 10 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Ce backbone a neanmoins la possibilite d'acheminer des VLAN 802.1Q vers d'autres sites interconnectes avec lui, dont notamment 6RAP. Le site 6RAP vers lequel le VLAN doit tre achemine par le CCR dispose de trois routeurs IPv6 interconnectes vers Renater3 et d'une interconnexion Ipv4 vers le backbone . 6.1.2. RaIisation Cette realisation comporte quatre etapes : 1. Parametrage du commut-routeur FastIron de L`UREC pour ajouter le VLAN n 920. 2. Parametrage du backbone de Jussieu pour acheminer ce VLAN a 6RAP. 3. Parametrage d`un des routeurs de 6RAP en accord avec le CCR pour recevoir le VLAN. 4. Parametrage du routeur 6RAP pour autoriser les Ilux IPv6 dans ce VLAN
La diIIiculte ici est de ne pas avoir une vue sur les equipements intermediaires pour connatre le cheminement exact de VLAN. Cela permet aux intervenants une certaine souplesse pour leurs evolutions Iutures. 6.1.3. Schma du Lien 802.1Q Renater3
Ethernet +V6 Natif VLAN TAG 802.1Q Ethernet + IPv4 Interconnection 6RAP - UREC Back bone jussieu UREC PAR8 UREC PAR8 UREC PAR8 UREC PAR8 Foundry Ipv4 UREC 6 RAP Jussieu Renater 3 Futur Reseau IPv6 Ce schema presente l`interconnexion entre le reseau Renater 3 IPv6 et le site de L`UREC Paris. Cette interconnexion ne peut tre IPv6 native parce que les entites reseau du backbone et de l`UREC ne le supportent pas encore. La methode consiste donc a creer un tunnel de type 802.1Q (Niveau 2) pour signer le traIic des niveaux superieur sans en analyser le contenu. Cela permet de garantir une independance totale avec les evolutions de IPng.
Cette topologie peut recevoir un reseau IPv6 independant et un reseau d'administration Ipv4 pour le reseau IPv6.
N'ayant pas le contrle de l'ensemble des entites traversees, il est impossible de valider ce lien au niveau 2, cependant le parametrage est simple et bien matrise sur le routeur de sortie de L'UREC (FastIron). Le seul moyen de valider le lien est d'executer les trois phases de test du module (1g) : Tests d`integrations et d`interconnexions unitaires. Page : 11 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
6.2. Proposition d'une topologie IPv6 autonome (Module1b ) 6.2.1. Etude des topoIogies possibIes
Il existe deux propositions de topologie physique, lorsque l'on souhaite disposer d'un service IPv6 dans une entreprise.
1- Mono cblage, une interIace reseau avec une double pile IPv4 et IPv6 par lien. 2- bi-cblage, une interIace reseau Ipv4 une interIace reseau Ipv6 par lien.
Si l'on considere le budget comme un Iacteur plus important que la stabilite de la solution, la topologie n 1 est a retenir. Cette topologie permet de simpliIier l`installation et les cots mais pas la resolution de probleme. Cependant elle permet d'obtenir des resultats rapidement, surtout si l'on utilise des tunnels type GRE (Generique Routing Encapsulation developpe par CISCO) qui permettent de s'interconnecter au reseau IPv6 par exemple, sans modiIier le parametrage des entites reseaux. Bien entendu, les perIormances sont moins bonnes que lorsque l'on transporte IPv6 de maniere native.
Si l'on souhaite dissocier les services IPv4 de ceux d`IPv6, il Iaut alors considerer la topologie n2 qui permet de garantir une stabilite de l'existant et d'ouvrir les services IPv6 de maniere independante. Cette solution plus visuelle, entrane un surcot mais elle permet une matrise totale des deux reseaux IPv4 et IPv6. Elle est adaptee aux conIigurations serveur.
Dans notre cas, l`objectiI etant d`isoler les Ilux IPv6 pour ne pas impacter le reseau IPv4, la topologie N2 est donc plus adaptee. Il y a donc quatre interconnexions et deux sous-reseaux a etudier pour cette topologie adaptee a l`UREC :
1. Interconnexion IPv6 6RAP-UREC : Lien vers Internet IPv6 (FastIron-Cisco 4700) 2. Interconnexion IPv6 UREC : Lien vers sous-reseau IPv6 UREC (FastIron-Cisco 4700) 3. Interconnexion IPv4 UREC : Lien vers sous-reseau IPv4 administration v6 UREC (FastIron- Cisco 4700) 4. Interconnexion SERVEUR UREC IPv6 : Liens vers sous-reseau IPv6.
Le routeur CISCO doit donc disposer de 3 ports Ethernet libre minimum.
Le commut-routeur FastIron doit disposer de 7 ports min (ajout d`un switch possible pour chaque sous- reseau)
Au niveau logique, le reseau IPv6 doit disposer d`un preIixe pour le site IPv6 de l`UREC et d`une adresse IPv6 de lien pour se raccorder au site de 6RAP. Il est judicieux d`attribuer des VLANs a chaque sous- reseau pour isoler et augmenter les perIormances.
Pour continuer, il est necessaire de constituer le plan d'adressage IPv6 et de deIinir le preIixe qui sera utilise par l'UREC. La topologie n2 impose deux interIaces physiques donc il Iaut une adresse IPv4 et une ou n adresses IPv6 par lien reseau.
Les entites reseaux utilisees sont decrites en page suivante :
Page : 12 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Routeur CISCO 4700 : Port N1 : Raccordement IPv6 6RAP-UREC vers VLAN Interco-IPv6 TAG 920 Port N2 : Raccordement IPv4 UREC vers VLAN URECP-IPv6mgt Port N3 : Raccordement IPv6 UREC vers VLAN URECP-IPv6 Serveur UREC IPv6 : Port N1 : Raccordement au VLAN URECP-IPv6mgt (IPv4) Port N2 : Raccordement au VLAN URECP-IPv6
Site IP Adressage description CCR V6 PreIixe 2001 :660 : 3302 :: /48 PreIixe disponible pour Jussieu Paris6 6RAP V6 PreIixe 2001 :660 : 2401 :: /48 PreIixe disponible pour 6 RAP 6RAP V6 2001 :660 : 2401 :2001 ::2 /64 Adresse de lien IPv6 6RAP-UREC UREC V6 PreIixe 2001 :660 : 3302 :F :: /56 PreIixe disponible pour L`UREC UREC V6 2001 :660 : 3302 :F :: 1 /128 Adresse de lien IPv6 UREC UREC V6 2001 :660 : 3302 :F :: 11 /128 Serveur Quarks Linux UREC Web DMZ UREC V6 2001 :660 : 3302 :F :: 12 /128 Serveur Quarks Linux UREC Web DMZ UREC V4 194.57.138.0 /27 Sous Reseau UREC Administration IPv6 UREC V4 194.57.138.36 /32 Serveur Quarks Linux UREC Administration 6.2.2. Schma du pIan d'adressage VLAN TAG 802.1Q Interconnection 6RAP - UREC Back bone jussieu UREC PAR8 UREC PAR8 UREC PAR8 UREC PAR8 Foundry Ipv4 UREC 6 RAP Jussieu Renater 3 Rseau UREC IPv6 (niveau Physique) PreIixe : 2001:660:3302:F::/64 Ce schema presente la topologie IPv6 de UREC PARIS. Le lien s`interconnecte avec Renater en IPv6 via le VLAN 920. Le lien alimente le sous-reseau IPv6 de l`UREC distribue par le FastIron avec le VLAN UREC-IPv6. Le lien permet d`administrer le CISCO 4700. Le lien achemine le traIic IPv6 au serveur QUARKS. Le lien permet au serveur QUARKS d`utiliser les ressources IPv4 de l`UREC. 2001:660:2401:2001::2/128 2001:660:3302:F::1x/64 x1 a F) 2001:660:3302:F::1/64 194.57.138.36/27 194.57.138.37/27 CISCO 4700 IPv6 IOS 12.2.T 1 2 3 5 4 IPv6 Natif IPv4 N du lien Serveur IPv6 1 2 3 4 5 1 2 4 3 5 V4 V6
Page : 13 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
6.2.3. RaIisation de Ia topoIogie sparant IPv6 et Ipv4 (cbIage)
L`interconnexion entre les diIIerentes entites ne presente pas de diIIicultes particulieres. 6.3. Prparation du CISCO 4700 pour IPv6 (Module 1c ) 6.3.1. Etude
Il s'agit ici de recuperer la procedure de chargement du systeme d'exploitation (IOS) du routeur CISCO 4700 et de la bonne version de ce systeme. A ce jour les versions IOS IPv6 evoluent encore rapidement et la compatibilite materielle n'est pas totale. L'obsolescence prematuree de certains equipements n'empche pas d'utiliser des versions de tests ( BETA).
Pour trouver la bonne version, il Iaut avant tout Iaire l'inventaire des Ionctionnalites requises. Puis ensuite veriIier que les caracteristiques de l'equipement sont adequates (memoire, ...). Le CISCO 4700 utilise possede quatre interIaces 10 Mbits ethernet et une interIace ATM.
Les Ionctionnalites IPv6 necessaires sont : 1. IPv6 pour interIaces Ethernet : pour que l'on puisse dialoguer de maniere native en IPv6 2. Routage RIPng : Pour pouvoir recuperer les annonces de route IPv6. 3. ACLs V6: Pour realiser un Iiltrage. 4. NAT-PT: Pour Iaire de la translation de protocole. 5. PIM-SM et MLD: Pour mettre en place le Multicast.
La diIIiculte majeure ici est de disposer de l'IOS permettant d'implementer toutes ces Ionctions sur l'equipement disponible. Apres de longues heures consommees sur le site www.cisco.com pour acquerir la philosophie CISCO et le dit IOS, il a Iallu se rendre a l'evidence qu' il n'existait pas d'IOS de production disposant de toutes ces Ionctionnalites reunies...
L'UREC pouvant disposer des ressources techniques de RAP et du CCR, il a ete possible d'obtenir des versions IOS de tests couvrant partiellement toutes les Ionctionnalites.
Cet IOS est un 12.3 et l`image du Iichier est c4500-is-mz.122-2.T4.bin 6.3.2. RaIisation
La procedure de chargement d`un IOS est dans le document CISCO SoItware Upgrade Procedure Ior 4700 . Il Iaut disposer d`un serveur TFTP sous Windows ou sous UNIX et copier le Iichier binaire sur l`equipement en eIIaant l`IOS precedent avec la commande copy tftp flash .
Note: Attention ! la memoire de l`equipement doit tre suIIisante. Il est judicieux de brancher le Routeur sur un courant secouru pendant l`operation. Page : 14 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 6.4. Configuration du CISCO 4700 pour Ipv6 (Module 1e )
Note . Ce module est dependant des modules 1b et 1c.
6.4.1. Etude
La procedure de conIiguration IPv6 se trouve dans le document Implementing IPv6 Ior CISCO IOS soItware . Les commandes IPv6 sont toutes precedees du mot cleI "ipv6" et sont similaires aux commandes IPv4.
Pour correctement conIigurer le routeur, il Iaut analyser le schema de la topologie du module 1b pour preparer la sequence de commande.
6.4.2. RaIisation
Dans l'ensemble les commandes ne presentent pas de diIIicultes pour la creation d`interIaces IPv6 et de routage RIPng.
Les etapes sont indiquees dans le document de CISCO mentionne ci-dessus 1. Se connecter au routeur en mode conIiguration 2. ConIigurer les interIaces avec la commande ipv6 address 3. Activer le mode IPv6 ipv6 enable et ipv6 rip enable 4. Sortir du mode conIiguration 5. Activer le routage RIPng ipv6 rip enable
Pour se connecter au routeur, il Iaut utiliser le cble de connexion au port console et un logiciel d`emulation de terminal.
L`ajout des adresses s`eIIectue pour chaque interIace avec la commande ipv6 address avec les options de lien local ou non.
Une attention particuliere doit tre apportee aux interIaces qui suivant le type de routeur peuvent comporter plusieurs connectiques ( 10Base2, RJ45, AUI, ...) : il Iaut bien activer la bonne connectique.
VeriIier que les interIaces sont bien actives.
Dans le cas d`un essai en local, l`activation du routage n`est pas necessaire.
Ne pas oublier de sauvegarder la conIiguration.
Il est judicieux de proceder par etape successive, en conIigurant interIaces par interIaces en disposant d'un serveur TFTP pour sauvegarder le Iichier de conIiguration. Cela permet de proceder a un retour arriere en cas de dysIonctionnement. Les commandes ping et traceroute sur les entites sont salvatrices.
Page : 15 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 6.5. Choix d'une distribution Linux IPv6 (Module 1d ) 6.5.1. Etude Le portage sur Linux du premier code relatiI a IPv6 a ete realise en novembre 1996 (Voir Annexe Linux et Ipv6). A ce jour, toutes les distributions disposent d'un noyau systeme superieur a la version 2.2.2 sont capables d'implementer IPv6. Des tests de conIormite sont disponibles sur www.tahi.org .
La premiere question ici est : Quelle est la distribution Linux supportant IPv6 qui permet d`executer correctement les applications necessaire aux services demandes ?
Un site incontournable pour choisir une distribution est http://www.bieringer.de/linux/IPv6/. La consultation des groupes de discussion est un bon moyen pour valider son choix (groups.google.com)
Cependant, la problematique a resoudre ici est : Quelle est la distribution Linux qui Iacilitera le deploiement IPv6 avec une automatisation maximum ?
En eIIet les serveurs aujourd'hui sont conIines dans la plus petite piece de l'entreprise, avec un seul, voir pas d'ecran du tout. Il n'existe pas d'interIace graphique permettant la conIiguration IPv6 et permettant un deploiement automatise : le parametrage de l'installation devrait tre modiIiable a posteriori et sans relancer la procedure d'installation 6.5.2. RaIisation Pour se conIormer aux objectiIs mentionnes dans les modules 1b,1d et 1I, les distributions pretendantes sont RedHat (voir aussi www.ASPLinux.com ) et PLD Linux pour sa speciIicite a IPv6 et sa predisposition au deploiement. Le choix en Iaveur PLD Linux a ete retenue par l'UREC. ConIorte sans doute par les caracteristiques suivantes :
1.PLD-LINUX aujourd'hui dispose encore du meilleur support du protocole IPv6 2.L'installation peut tre automatisee avec un Iichier de conIiguration comprenant IPv6 et contrlee par le port console (installation avec un PDA sans ecran dans la salle machine). 3.La securite n'est pas en reste avec l`interIace rc-xinetd, le support des methodes d'authentiIication tel que PAM, GASPI, TSL/SSL, SASL. 4. Un support total des RPMs, DEBIAN APTs, et dispose d'un outil de mise a jour POLDEK permettant de combiner l'ensemble des sources de paquetages disponible sur le web.
PLD-LINUX, destinee aux administrateurs, demande neanmoins une etude approIondie pour Iaire ressortir tous les avantages. Notamment l'etude des init-scripts qui conditionne tout le parametrage, dont le reseau.
Trois versions sont couramment disponibles sur http://docs.pld-linux.org PLD Ra, Ac et PLD Rescue. 1. PLD Rescue permet de monter des services IPv6 sur n`importe quel PC avec un ensemble d`outils d`administration consequent, le tout sur une cle USB de 64Mo ou un mini-CD. Monter un serveur FTP pointant sur une partition NTFS du disque dur local est possible. 2. PLD Ra 1.0 existe depuis novembre 2002 et se trouve decline en plusieurs version dont Ra 3. PLD Ac 2.0 est sur le site CVS de www.pld-Linux.org .
Le choix se porte sur PLD Ra 1.0 pour sa stabilit.
Note . Pour des installations prevues en 2004 , la version AC 2.0 sera preIerable. Page : 16 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 6.6. Installation de la distribution Linux (Module 1f ) 6.6.1. Etude
L'acces haut debit etant democratise, il est commode d'utiliser les procedures d'installation via le reseau. Cela permet de disposer automatiquement des correctiIs sans modiIier la procedure d'installation.
L`utilisation du port serie relie a un PDA disposant du mode terminal est interessante pour realiser l`installation dans les petites salles machines.
Dans le cas ou l'installation avec CD est de mise, il Iaut recuperer les signatures MD5 avec le Iichier image ISO correspondant et Iaire la comparaison avant de graver le CD ( Itp://Itp.pld.org.pl).
Ce document ne suIIirait pas a decrire l'ensemble des recommandations, cependant de nombreux sites web debattent sur le probleme. Le Iait de posseder de bonnes connaissances en architecture systeme est un atout non negligeable. 6.6.2. RaIisation
Sur le serveur Itp://Itp.pld.org.pl se trouve le necessaire pour l`installation. Le manuel d`installation PLD Linux distribution guide est disponible sur http://docs.pld-linux.org.
L`installation a ete realisee avec une disquette de boot qui permet de sauvegarder le parametrage eIIectue. Le parametrage inclut le partionnement, la conIiguration reseau et les services que l'on souhaite utiliser. Le Iichier de parametrage peut tre modiIie ulterieurement installer.conI dont voici un extrait :
source="net" source_device="http://fr2.rpmfind.net/linux/PDL/dists/1.0/" source_filesystem="net" net_device="eth0" net_ipaddr="194.57.138.36" net_ipaddr1="2001:660:3302:f::11/64" net_prefix="27" net_gateway="194.57.138.62" net_dns="194.57.137.114" net_v6="yes" dest_devices="/dev/hda" dest_devices_actions="make_new" ## attention! cette commande efface le disque.
Le partionnement est tres important. Il est judicieux de prevoir une partition boot de 512Mo et une partition contenant les donnees. Une partition de 5Go est suIIisante pour le systeme et l'utilisation des outils de copie de partition permettent d'eIIectuer des tests en evitant les regressions. Le disque dur du serveur P4 IPv6 est de 80Go, cela permet de Iaire beaucoup de tentatives.
Le serveur dispose de plusieurs interIaces reseau la premiere detectee sera utilisee pour l`installation. Pour connatre celle qui est utilisee il Iaut executer la commande lspci
La mise a jour vers un noyau 2.4.x s'eIIectue sans probleme avec l'outil universel POLDEK. La mise a jour complete du systeme et des services s`execute en une ligne de commande : poldek u.
Note 1 : Pour une premiere installation, la selection de tous les paquetages est recommandee Note 2 : Activez les sites FTP supplementaires de PLD-Linux pour l`outil POLDEK . (/etc/poldek.conI) Note 3 : La procedure permettant de deployer l`installation reste a ecrire en Ionction des besoins.
Page : 17 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 6.7. Intgration et tests d'interconnexions unitaires (Module 1g)
6.7.1. Dfinition du pIan de test
L'integration des modules 1a a 1d ensemble, par etape, pour permettre le diagnostique en cas de probleme.
Les tests peuvent tre decomposes en trois phases: Phase 1: Interconnexion locale UREC: module 1b, 1c, 1d, 1e, 1I Phase 2: Interconnexion RAP : module 1a Phase 3: Interconnexion WWW IPv6 : Partie n1 operationnelle.
La phase 1 est locale a l'UREC 1.1 VeriIication du bien Ionde de la topologie choisie 1.2 Execution de la commande Ping sur chaque interIace IPv6 et Ipv4 1.3 Execution de transIerts de donnees en IPv6 (TFTP, ...)
La phase 2 permet de valider l`interconnexion IPv6 native entre l'UREC et RAP. 2.1 Execution de la commande Ping sur chaque interIace IPv6 et Ipv4 2.2 Test du lien en traant les annonces de route
La phase 3 valide la Partie n1 3.1 Parametrer un navigateur sur le serveur 3.2 Recuperer l'adresse IPv6 d'un site IPv6 3.3 Execution de la commande Ping sur cette adresse 3.4 Execution du navigateur avec l`adresse sous la Iorme |2001 :660 :3302 :F ::11| 3.5 Execution du navigateur avec www.ipv6.org
6.7.2. Excution du pIan de test Phase Test Description DiIIicultes Resultat 1 1 VeriIication Ipv4 non perturbe avec Ipv6 aucune OK 1 2 Execution Ping sur toutes interIaces ajoutees a l` UREC aucune OK 1 3 TFTP sur Quarks, copie IPv6 conIiguration CISCO 4700 Creation serveur TFTP OK 2 1 Execution Ping sur interIaces v6 entre UREC et 6RAP aucune OK 2 2 Execution traceroute entre UREC et 6RAP aucune OK 3 1 Acces www.ipv6.org avec DNS IPv4 aucune OK 3 2 Recuperer avec www.traceroute6.org aucune OK 3 3 Execution Ping avec IPv6 aucune OK 3 4 URL du navigateur avec IPv6 aucune OK 3 5 URL du navigateur avec www.ipv6.org puis site choisi en arrtant l`interIace IPv4 IIconIig eth0 down OK
Page : 18 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
7. Ajout du service DNS IPv6 (2eme Partie)
La deuxieme partie permet de Iournir deux services a l'ensemble des entites ayant un acces sur le serveur IPv6 de l'UREC. Ces services permettent de Iaire une resolution de noms aux entites du reseau IPv6 de l'UREC et de rediriger les requtes HTTP IPv6 vers le serveur HTTP IPv4 de l'UREC.
Modules constituant la deuxieme partie:
a - Installation et parametrage du service DNS IPv6. b- Procedure de test du service DNS IPv6. c- Choix d'un relais Web IPv4 - IPv6 d Procedure de test du service Web IPv6.
7.1. Installation et paramtrage du service DNS IPv6 (Module 2a )
7.1.1. Etude
Le service de resolution de noms (DNS) permet de correler une adresse IP a un nom dans le cadre de reseaux etendus. Ce systeme de nom de domaine consiste en une hierarchie de noms permettant de garantir l'unicite d'un nom dans une structure arborescente. L'application de ce procede est identique en Ipv6 (RFC1886) avec l'ajout d'un nouveau type d'enregistrement "AAAA" dans la classe IN. Une entite aura autant d'enregistrements que d'adresses IPv6 (cardinalite 1-1). Le service DNS IPv6 de l'UREC est de type statique, les possibilites dynamiques liees aux procedes d'auto-conIiguration ne sont pas utilisees.
L'installation ressort de la procedure classique (ConIigure, make, make install) de l`applicatiI Bind 9.2.x pour supporter IPv6 et peut tre etudie avec :
La problematique essentielle reside dans le parametrage et le transIert de zone (RFC 1912). Il existe deux options de parametrage :
soit le serveur de nom est global au site et doit resoudre les requtes IPv6 et IPv4. Dans ce cas, dans la classe IN il y aura deux types d'enregistrements : "A" et "AAAA". Soit le serveur de nom est dedie Ipv6 et ne contient que des enregistrements de type "AAAA".
Dans tous les cas, des noms peuvent tre associes aux interIaces disposant d'une ou de plusieurs adresses IPv6, aux adresses de liens locaux, aux adresses compatibles IPv4 et aux adresses IPv4 mappees.
Les transIerts de zone presentent des diIIicultes en Ionction du niveau de compatibilite IPv6 des serveurs de noms secondaires si ils utilisent un programme Bind inIerieur a 8.2.2-P5.
Pour Iaciliter les tests et la maintenance, les Iichiers de parametrages doivent tre Iacilement identiIiables : named.conI associe les Iichiers zone qui sont /var/named.data/UREC6/. (voir annexes)
Page : 19 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 7.1.2. RaIisation avec Bind 9.2.1
Cela consiste a ecrire le Iichier Named.conI ou il Iaut ajouter listen-on-v ] any; }; dans les options et les Iichiers Zone associes pour permettre la resolution du nouveau reseau IPv6 2001 :660 :3302 :F ::/64. Le Iichier localhost.rev pour la partie reverse en local (127.0.0.1 pour IPv4 et ::1 pour IPv6). Ces Iichiers sont disponibles en annexes.
Les zones sont diIIerentes pour IPv4 et IPv6 pour ne pas impacter le DNS v4 de l`UREC. IPv4 : ipv6.urec.cnrs.Ir IPv6 : urec6.cnrs.Ir
- Les zones directes :
Enregistrement A pour IPv4 et AAAA pour IPv6 Resolution du nom a partir de l`adresse exemple: quarks IN AAAA 2001:0660:3302:F::11 - Les zones inverses:
Resolution du nom a partir de l`adresse IPv6 : deux arborescences ip6.int (administre par l`ITU) ip6.arpa (administree par l`IETF), Iutur remplaant d`ip6.int
Fonctionnement : Renverser les adresses, par demi-octet, separes par des . (notation nibble ) : $ORIGIN 2.0.3.3.0.6.6.0.1.0.0.2.ip6.int. 1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.I.0.0.0 IN PTR quarks.urec6.cnrs.Ir.
Il existe une seconde notation reverse IPv6 se nommant Bitstring , mais celle-ci est pour l`instant abandonnee. (ex : \|200106602001\48|.ip6.arpa)
Pour ameliorer les perIormances, il est souhaitable d`adherer au DNS secondaire IPv4 de l`UREC.
Note : Les possibilites de Iiltrage des nom view et de liste d`acces sont particulierement interessantes en IPv6 (plusieurs adresses pour une interIace) pour isoler et proteger des services.
Note : Le DNS v6 de l`UREC est operationnel en local et devra tre secondaire du DNS de 6RAP pour tre vu d`internet. 7.2. Procdure de test du service DNS Ipv6 (Module 2b )
La procedure de test unitaire consiste a veriIier la correlation entre une adresse et un nom donne. Cette procedure peut tre decomposee en trois phases:
7.2.1. PIan de test DNSv6
La procedure de test global consiste a veriIier les regles etablies dans les RFCs 1886 et 1912. Cette procedure diIIere suivant que le service DNS est visible ou non d' Internet. Lorsque le service est visible, l'utilisation d'un veriIicateur de zone et d'integrite disponible sur Internet permet de valider le service. Dans le cas contraire, il Iaut installer le veriIicateur de zone sur le reseau local. Page : 20 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Phase 1: Service DNS lance et actiI: 1.1 VeriIication de l'etat de l`execution du service. 1.2 Lecture des journaux du systeme et du service.
Phase 2: Test de correlation adresse-nom et nom-adresse: 2.1 Utilisation de l'outil "nslookup" 2.2 Validation avec l'outil "digue"
Phase 3: Test global de conIormite aux RFCs 3.1 Installation de ZoneCheck V2 sur le serveur Quarks 3.2 Test du DNS v6 avec ZoneCheck V2 3.3 Relie le DNS v6 de l`UREC au DNS primaire 3.4 Test du DNS v6 avec ZoneCheck V2 via le web 7.2.2. Excution du pIan de test
Phase Test Description DiIIicultes Resultat 1 1 Test unitaire avec named g SigniIication des messages d`erreurs OK 1 2 Lecture de dmesg, syslog, named.log SigniIication des messages d`erreurs OK 2 1 Test avec nslookup set qany des noms et en s`aidant de man nslookup et de man dig Aucune OK 2 2 Contrle de coherence avec dig Coherence totale OK 3 1 Install a partir de www.zonecheck.Ir (NIC France) Ajout du langage Ruby OK 3 2 Test local sur la zone urec6.cnrs.Ir Les messages d`erreurs Iont reIerence aux RFCs OK 3 3 Relier urec6.cnrs.Ir au DNS de 6RAP Non realise Non realise 3 4 Test a partir de www.zonecheck.Ir Non realise Non realise
8. Mise en pIace d'un reIais web IPv4 vers IPv6 8.1. Choix d'un relais Web IPv4 - IPv6 (Module 2c) 8.1.1. Etude
Le service Web de l`UREC est generalement accessible en IPv4, ajouter un acces IPv6 demande une analyse approIondie tant le probleme est complexe (RFCs 2893, 2185, 2766, 2667). En eIIet, la chane des entites qui vehiculent les requtes HTTP doivent supporter IPv6 (pare-Ieu, AuthentiIication, cryptage, routeurs, Fournisseur d'acces, ...).
Les scenarios sont multiples et beaucoup de tentatives sont presentes sur le Web : Utilisation d'un serveur Ipv4 et d'un serveur IPv6 ou d'une double-piles sur toutes les entites, d'un "reverse proxy", d'un "64bouncer" ... Il existe aussi du code en langage C au niveau socket permettant de remplir la Ionction de translation de protocole sous Unix et Windows (www.hs247.com) qui peuvent tre utilises vu le Iaible traIic engendre en IPv6. Chaque solution pose diIIerents problemes qui peuvent tre regroupes de la Iaon suivante: Page : 21 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Enumeration des problemes : 1. Par-Ieu: Pas ou peu de par-Ieu compatible IPv6 2. Filtrage: Pas de modele de Iiltrage disponible 3. Securite: translation de session SSL IPv6 Ipv4 4. Stabilite: introduction IPv6 avec IPv4 5. Erreur de Liens sur serveur IPv4.
La problematique ici est la suivante: Comment disposer de l'acces IPv6 sur le service Web de l`UREC sans perturber le Ilux Ipv4 existant ?
Pour minimiser l'inIluence sur le service web, la solution la plus Iacile a implementer est l'utilisation d'un "Reverse -Proxy". Premierement, un "reverse-proxy" ne requiert aucune modiIication du service Web IPv4 puisque c'est une redirection. Deuxiemement, la resolution de probleme est Iacilitee puisque c'est un service debraillable. EnIin, il n'y a aucune modiIication des mecanismes de securite IPv4 mise en place. Cela garantit une evolution saine et progressive du service Web vers IPng.
Pour rendre disponible le site www.urec.cnrs.Ir en IPv6 via le serveur quarks.urec6.cnrs.Ir il Iaut considerer les applications Squid et Apache qui disposent d`un reverse proxy. D`autres plus speciIiques comme wwwoIIle, 46Bouncer (http://netgroup.polito.it/46bouncer), Prometeo (http://prometeo- proxy.sourceIorge.net) et le projet Vermicelli (www.vermicelli.pasta.cs ) sont a evaluer.
8.1.2. Schma d'intgration d'un reIais Web IPv4 vers IPv6
8.1.3. RaIisation avec Apache 1.3.27
Le choix pour l`experimentation s`est porte sur Apache 1.3.27 pour son aptitude en gestion de sessions SSL. Apache dispose d`un module proxy qui Ionctionne en Iorward et Reverse . La Ionction Iorward permet d`envoyer les requtes HTTP a leur place pour les proteger. La Ionction Reverse eIIectue le mme traitement au niveau des serveurs : lorsque qu`un serveur reoit une requte il reconnat comme adresse source l`adresse du proxy. Page : 22 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Le parametrage d`apache httpd.conI consiste a realiser les actions suivantes : 1. Ouvrir l`ecoute du port 80 pour IPv6 Listen ::80 2. Ne plus ecouter le port 80 pour IPv4 3. Positionner le nom du serveur ServerName quarks.ipv6.urec.cnrs.fr 4. Activer le module proxy ProxyRequests on 5. Ajouter un serveur virtuel NameVirtualHost 2001:660:3302:F::11 6. Paramtrer le serveur virtuel : <VirtualHost [2001:660:3302:F::11]:80> ProxyPass / http://www.urec.cnrs.fr/ ProxyPassReverse / http://www.urec.cnrs.fr/ </VirtualHost>
Note 1: Le support d'IPv6 dans un service Web pose de nombreux problemes dans une topologie ou les Ilux v4 et v6 sont separes. Il n`y a pas encore de solutions generalisees.
Note 2 : Une solution pour resoudre les erreurs de liens consisterait a toujours retourner une URL Iixe quelque soit la navigation. 8.2. Procdure de test du service Web IPv6 (Module 2d )
8.2.1. PIan de test accs au Web IPv4 via IPv6
La procedure de test unitaire consiste a veriIier sur une entite IPv6 l'acces au service Web via le relais proxy. Pour chaque etape il Iaut consulter les journaux dans Consulter les journaux dans /var/log/httpd/. Cette procedure peut tre decomposee en trois phases:
Phase 1: Acces au service par l'adresse IPv6 du serveur IPv6: 1.1 Ping IPv6 sur le relais. 1.2 Lancement d'un navigateur avec l'adresse du relais. 1.3 VeriIication du contenu de la page principale 1.4 VeriIication de l`acces aux pages sous-jacentes 1.5 VeriIication de l`acces des liens sur les autres sites
Phase 2: Acces au service par le nom du serveur IPv6: 2.1 Le DNS IPv6 doit tre visible 2.2 Lancement d'un navigateur avec le nom de la passerelle. 2.3 Re-derouler les etapes 1.3 a 1.5
Phase 3: Test global d'accessibilite
La procedure de test global consiste a veriIier que l'on peut acceder aux services Web de n'importe ou. Pour cela, plusieurs techniques peuvent tre employees: 3.1 Via des services Web IPv6 www.IPv6.org 3.2 Via un tunnel www.Ireenet6.com Page : 23 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
8.2.2. Excution du pIan de test
Phase Test Description DiIIicultes Resultat 1 1 Ping 2001 :660 :3302 :F::11 aucune OK 1 2 Lancement de Mozilla avec |2001 :660 :3302 :F::11| aucune OK 1 3 Comparaison source page avec celle en IPv4 aucune avec Ic OK 1 4 VeriIication de l`acces aux pages sous jacentes. aucune OK 1 5 VeriIication de l`acces des liens sur les autres sites Liens externes a l`UREC KO 2 1 Le DNS IPv6 doit tre visible aucune OK 2 2 Acces avec URL quarks.urec6.cnrs.Ir aucune OK 2 3 VeriIication de l`acces aux pages sous jacentes. Les URL externes aux sites ne sont pas accessibles. Liens externes a l`UREC OK 3 1 Via des services Web IPv6 www.IPv6.org Non realise Non realise 3 2 Via un tunnel www.Ireenet6.com Non realise Non realise
Notes : L`acces IPv6 via un proxy a un serveur Web est operationnel. Cependant les problemes potentiels enumeres dans l`etude sont reels. Le probleme des erreurs de liens qui surgissent lors de re- direction vers des sites web IPv4 secondaire reste entier. Ces erreurs sont nuisibles et coteuses a corriger surtout sur des sites commerciaux.
La modiIication des liens errones un a un n'est pas envisageable, d'autres solutions sont a envisager comme la reecriture des URLs cte proxy ou serveur web. L`ideal etant de retourner une URL constante www.urec6.cnrs.Ir quelques soient les requtes HTTP du client. Un proxy DNS v4-v6 est peut tre a envisager comme palliatiI.
L`Intranet ici securise, n`a pas ete accessible. Cependant le probleme se trouve au niveau des certiIicats. Dans la 3eme partie, le module SSL IPv4 vers IPv6 est valide. 9. DisponibiIit et administration du rseau Ipv6 (3eme Partie)
Cette partie propose des outils d`administration de reseau, elle decrit une approche possible de l'administration d'un reseau IPv6 avec pour support l`ajout de liste d`acces (ACLs). A ce jour, il n'y a pas d'administration de reseau IPv6 utilisant le reseau IPv6.
L'administration de reseau se traduit souvent par la mise a disponibilite ou non d'une ressource. Les techniques permettant de rendre disponible une ressource se traduisent souvent par un Iiltrage. Le Iiltrage des ressources en IPv6 est un sujet d'actualite et peu de recommandations existent.
Modules constituant la troisieme partie:
a- Les outils d'administration de reseau et de services via le Web IPv6 b Les listes d'acces sur les entites IPv6
Page : 24 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 9.1. Les outils d'administration du rseau et des services via le Web IPv6 (Module 3b ) 9.1.1. Etude des outiIs disponibIes L'administration est une tche ardue sans outils. La consultation de journaux, le parametrage et la gestion des alarmes se trouvent simpliIies lorsque ces travaux sont eIIectues via une interIace adaptee. Avant de Iaire une demande d`achat pour une station HP open view, il est possible d`utiliser MRTG V2, NETCAT6, NETSAINT. sachant que le traIic IPv6 est Iaible et qu`il est diIIicile d`obtenir les MIBs: (Management InIormation Base). Les applications proprietaires disposent de peu de Ionctionnalites IPv6, par contre l`analyse de trame via un port miroir et Ethereal Ionctionne.
L'administration de services DNS, Web, Proxy ... via une interIace Web est plus courante mme en IPv6. Cependant l'acces au mode commande est indispensable et le transport de l'inIormation doit tre securise.
La problematique de ce module est de trouver un produit capable d'administrer des entites reseau IPv6 pour administrer les ACLs via les reseaux IPv6 et Ipv4 avec une interIace conviviale. Le produit retenu doit permettre l`administration du routeur CISCO IPv6 et des services DNS, WEB, de journalisation.
L`acces telnet n`etant pas securise, le mode SSL (Secure socket Layer) doit tre utilise. Cela permettra de mettre en application le passage d`une session SSL entre IPv4 et IPv6.
9.1.2. RaIisation avec webmin 1.090 Un des produits repondant a ces criteres est Webmin (www.webmin.com ). Disponible sur toutes les plates-Iormes UNIX, deploye dans les produits Unix SOLARIS et HP. Il est base sur une architecture modulaire qui est ecrite en Perl. Webmin permet de parametrer tous les services Unix et il dispose des acces Telnet et SSH. Il s`execute : sur un petit serveur web IPv4 miniserv.pl . Pour permettre son acces en IPv6, il Iaut appliquer la mme demarche que pour le relais proxy Web de l`UREC en ajoutant des regles de reecriture d`URL pour Iixer l`arborescence.
L`installation sur Quarks doit tre Iaite avec le RPM Iourni pour PLD : webmin 0.9.x . Il Iaut ensuite utiliser la procedure de mise a jour disponible dans l`interIace de conIiguration de Webmin en modiIiant la signature du systeme d`exploitation en RedHat 7.3.
Pour acceder en IPv6 a Webmin, la creation d`un serveur virtuel est necessaire dans Apache. Il est judicieux d`utiliser une nouvelle adresse pour mieux gerer la disponibilite du service comme cela est indique ici : <VirtualHost [2001:660:3302:F::12]:1028> DocumentRoot /home/httpd/html/test ServerName quarks.urec6.cnrs.fr ErrorLog /var/log/httpd/webmin_1028.ipv6-error_log CustomLog /var/log/httpd/webmin1028.ipv6-accesslog combined RewriteEngine on RewriteLog /var/log/httpeRule ^/(webmin)/(.*)$ http://194.57.138.36:9999/$1/$2 [NC,P] RewriteRule ^/(.*)/(.*)/$ http://194.57.138.36:9999/$1/$2 [NC,P] RewriteRule ^/(.*)$ http://194.57.138.36:9999/$1 [NC,P] </VirtualHost>
Note : Le mecanisme des re-ecriture de regle est diIIicile a apprehender au premier abord.
Page : 25 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 9.1.3. Interface Web Ipv6 d'administration du serveur Quarks de L'UREC
Home Page Feedback.. Version 1.090 on quarks (PLD Linux Ra 1.0 |kern 2.4.20|)
Webmin System Servers Networking Hardware Cluster Others
9.1.4. Interface web de gestion des interfaces rseau
Interfaces Active Now Add a new interIace Name Type IP Address Netmask Status eth0 Ethernet 194.57.138.36 255.255.255.224 Up ipsec0 Unknown 194.57.138.36 255.255.255.224 Up lo Loopback 127.0.0.1 255.0.0.0 Up Add a new interIace
Interfaces Activated at Boot Time Add a new interIace Name Type IP Address Netmask Activate at boot? eth0 Ethernet 194.57.138.36/27 Automatic Yes eth1 Ethernet 2001:660:3302:I::11/64 Automatic Yes Conf ig carte ethernet 1 [Etape 1]
Edition du Iichier de conIiguration de l'interIace reseau eth1: /etc/sysconIig/interIaces/iIcIg-eth1 Edit Iile editor Recherche Conf ig Pv6 sur Serveur Quarks
Edit command Activit rseaux
ConIiguration reseau, Etat du reseau, Liste des ports utilises Edit command Marche-Arrt Lien Pv6
EIIectue un iIconIig down puis up sur la carte Ethernet 1 (eth1) Edit command
Note : PLD-Linux genere au demarrage les Iichiers de conIiguration avec les init scripts : toutes modiIications sur ces Iichiers se trouvent perdues au prochain demarrage.
Note : Ces blocs de commandes etendues ont ete realises speciIiquement pour le reseau IPv6 UREC.
9.2. Les listes d'accs sur les entits IPv6 (Module 3a ) 9.2.1. Etude
Page : 26 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Les listes d'acces sont aujourd'hui sur tous les services applications et sur tous les equipements reseau. Les services DNS, Squid, Apache disposent de mecanisme de Iiltrage diIIerent avec une granularite variable. Les equipements Commutateur, Routeur IPv6 sont dotes de listes d'acces qui permettent d'eIIectuer un Iiltrage analogue a celui pratique en IPv4 si l'on considere une topologie de reseau statique. Le cas d'une topologie dynamique n'est pas etudie ici.
La politique de securite de l'UREC, preconise un contrle d'acces au niveau des equipements et non des services. Cela permet dans le cadre du reseau IPv6 de concentrer le Iiltrage sur le routeur IPv6. Le Iiltrage doit empcher les connections distantes sur le serveur IPv6 de type Telnet, SSH, sachant que les autres services ne sont pas installes.
La problematique ici consiste a etablir les listes d'acces sur les interIaces IPv6 du routeur CISCO 4700 pour rendre disponible l'acces au DNS et au Web et indisponible pour toutes les autres connexions venant .de l`exterieur. Les ACL sont des Ionctions appliquees a chaque paquet IP transitant a travers le routeur et qui ont pour parametres : l'adresse IP de l'emetteur du paquet l'adresse IP du destinataire du paquet le type du paquet (tcp, udp, icmp, ip) le port de destination du paquet Pour un paquet donne, l'ACL prend deux valeurs deny : le paquet est rejete permit : le paquet peut transiter par le routeur Le sens du traIic peut tre precise, c'est a dire en entre ou en sortie : Une ACL de type in associee a une interIace, contrle le traIic qui entre dans le routeur par cette interIace. Une ACL de type out associee a une interIace, contrle le traIic qui quitte le routeur par cette interIace.
Attention : les ACL ne s'appliquent qu'au traIic en transit et pas au traIic genere par le routeur lui-mme. Par exemple, le traIic resultant d'une connexion telnet vers le routeur n'est pas soumis aux ACL. Page : 27 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
9.2.2. RaIisation
La mise en place des ACLs s`eIIectue via le port console du routeur CISCO 4700, a partir d`une session telnet executee dans Webmin.
Les criteres de disponibilite suivants doivent tre veriIies : 1. Autoriser l`acces aux utilisateurs interne a l`UREC 2. Autoriser l`acces au serveur Web de l`UREC a tout le monde dans la DMZ (Zone demilitarisee) du serveur Quarks (2001:660:3302:F::11) 3. Interdire tous les autres acces sur l`adresse 2001:660:3302:F::11 4. Autoriser l`acces au serveur Web d`administration de l`UREC au reseau 2001:660:3302::/64 dans la DMZ (Zone demilitarisee) du serveur Quarks (2001:660:3302:F::12) 5. Interdire les connexions initiees de l`internet vers la zone protegee. 6. Generer un journal des tentatives de connexions interdites.
La diIIiculte ici est le manque de recul Iace aux attaques potentielles en IPv6. L`evaluation des attaques est d`autant plus compliquee avec les mecanismes d`auto-conIiguration.
2001:660:3302:F::/64 Zone protg Ethernet-3 Ethernet-2 IPv6 ACLs UREC DMZ:Serveur QUARKS ::11 Non utiIise ipv6 access-list vty deny ipv6 any any log-input line vty 0 4 ipv6 access-class vty in ipv6 access-list dmz-in6 permit ipv6 host 2001:660:3302:F:11 any ipv6 access-list internal-in6 permit tcp 2001:660::/64 any reflect internal-tcp permit udp 2001:660::/64 any reflect internal-udp permit icmp 2001:660::/64 any permit icmp any any router-solicitation ipv6 access-list internal-out6 evaluate internal-tcp evaluate internal-udp permit icmp any 2001:660::/64 echo-reply ipv6 access-list exterior-in6 evaluate exterior-tcp evaluate exterior-udp remark Allow access to http server on the DMZ permit tcp any host 2001:660:3302:F::11 eq www permit tcp any host 2001:660:3302:F::12 eq www permit tcp any host 2001:660:3302:F::11 range 49152 65535 permit icmp any any echo-reply permit icmp any any unreachable deny ipv6 any any log-input ipv6 access-list exterior-out6 permit tcp 2001:660::/64 any reflect exterior-tcp permit udp 2001:660:;/64 any reflect exterior-udp interface ethernet-0 ipv6 address 2001:660:2401:2001::2/64 ipv6 traffic-filter exterior-in6 in ipv6 traffic-filter exterior-out6 out interface ethernet-2 ipv6 address 2001:660:3302:F:1000::1/80 ipv6 traffic-filter internal-in6 in ipv6 traffic-filter internal-out6 out interface ethernet-3 ipv6 address 2001:660:3302:F::1/64 ipv6 traffic-filter dmz-in6 in Internet Via RAP Eth0 2001:660:2401:2001::2/48
Page : 28 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
9.2.3. PIan de test administration Serveur et Routeur
La procedure de test consiste a veriIier l`acces a l`administration des services du reseau Ipv6 de l`UREC.
Phase 1: Administration Serveur 1.1 Acces Webmin en Ipv4. 1.2 Acces Webmin en Ipv6. 1.3 Administration du DNS Quarks V6 avec le module Webmin Bind. 1.4 Administration du WEB Quarks V6 avec le module Webmin Apache 1.5 Administration des interIaces reseaux
Phase 2: Administration Routeur: 2.1 Le DNS IPv6 doit tre visible 2.2 Lancement d'un navigateur avec le nom de la passerelle. 2.3 Re-derouler les etapes 1.3 a 1.5
Phase 3: Test global d'accessibilite
La procedure de test global consiste a veriIier que l'on puisse acceder aux services Web de n'importe ou. Pour cela, plusieurs techniques peuvent tre employees: 3.1 Via des services Web IPv6 www.IPv6.org 3.2 Via un tunnel www.Ireenet6.com 9.2.4. Excution du pIan de test
Phase Test Description DiIIicultes Resultat 1 1 Ping 2001 :660 :3302 :F::11 aucune OK 1 2 Lancement de Mozilla avec |2001 :660 :3302 :F::11| aucune OK 1 3 Comparaison source page avec celle en IPv4 aucune OK 1 4 VeriIication de l`acces aux pages sous-jacentes. Sans lien externe au site UREC IPv4. Ni Intranet OK 1 5 VeriIication de l`acces des liens sur les autres sites aucune KO 2 1 Le DNS IPv6 doit tre visible aucune OK 2 2 Acces avec URL quarks.urec6.cnrs.Ir aucune OK 2 3 VeriIication de l`acces aux pages sous-jacentes. Les URL externes au site ne sont pas accessibles. Sans lien externe au site UREC IPv4. Ni Intranet OK 3 1 Via des services Web IPv6 www.IPv6.org DNS Primaire Non realise 3 2 Via un tunnel www.Ireenet6.com DNS Primaire Non realise
Page : 29 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 10. TransIation de protocoIe IPv4 vers IPv6 (4eme Partie) 10.1.1. Etude de NAT-PT
IPv6 resout le probleme de l'adressage, cependant une longue periode de transition va s'eIIectuer pendant la transition IPv4 vers IPv6. Pour perenniser la stabilite acquise sur les reseaux Ipv4, le besoin d'un mecanisme de translation s'est renIorce. La solution NAT-PT (RFC 2766 Network Address Translation Protocol translation) est apparue par opposition aux entites utilisant une double-pile.
NAT-PT : la Iusion de deux concepts :
NAT (RFC 1631) est un procede de traduction d'adresse prive IPv4-IPv6 pour tout ou partie d'un site. Les adresses ainsi traduites ne permettent pas de communiquer vers l`exterieur. Un routeur de sortie, disposant d'un pool d'adresses oIIiciel convertit les requtes privees en une requte publique. Le concept de bout en bout est donc brise. De plus, l'acces aux ressources securisees necessite une gestion de cle deux Iois plus importante.
NAT-PT (RFC 2766) realise en plus du procede precedant, une translation de protocole entre IPv4 et IPv6. Cela permet le dialogue entre une entite IPv4 et une entite Ipv6.
La topologie reseau IPv6 de l'UREC conduit inevitablement a positionner le service NAT-PT sur le routeur IPv6. Celui-ci etant un CISCO, les translations sont a ce jour limitees aux services DNS et ICMP par l`IOS utilise. D`autres restrictions comme pour les protocoles de securite de bout en bout ou la Iragmentation de paquet subsistent.
La problematique de cette partie est de disposer de l'IOS incluant la Ionctionnalite NAT-PT pour le routeur IPv6 de l'UREC. 10.1.2. RaIisation
Il n`existe pas de version IOS pour le CISCO 4700 disponible qui implemente la Ionction NAT-PT, mme en version BETA. Page : 30 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 11. Raccordement MuIticast IPv6 Renater3 via RAP (5eme Partie)
Le transIert audio-video numerise sur Internet au niveau applicatiI est assure par RTP (Real time Transport Protocol) qui se materialise par des Ilux de paquets UDP. Le multicast (une entite source, n entite receptrices) par rapport a l'unicast consomme moins de bande passante et diminue la charge des entites emettrices qui n'ont plus qu'un seul Ilux par canal a generer. Pour permettre ces optimisations, les protocoles de diIIusion de groupe et de detection d`abonnes ont ete realises.
Le protocole MLD (RFC 2710: Multicast Listener Discovery) permet de gerer les groupes d`abonnes dans des domaines. C`est sur l`adresse Multicast FF02::1 que la decouverte des abonnes s`eIIectue. Les messages MLD sont vehicules dans des paquets ICMPv6. Le protocole de routage multicast PIM se base sur les tables de routage pour gerer les points de rendez-vous et les abonnes.
Pour recevoir des Ilux multicast a l`UREC, il Iaut que le routeur CISCO 4700 connaisse le point de rendez-vous du reseau de 6RAP pour recevoir les annonces de diIIusion.
Le raccordement peut tre compose en cinq modules: a- Raccordement du routeur CISCO au point de rendez-vous de RENATER via 6RAP. b- ConIiguration d'une station pour les applications multicast. c- Test en reception de canaux multicast. d- Presentation Routeur Linux IPv6 avec PIM-SM. e- Test en reception de canaux multicast.
Deux topologies sont proposees pour realiser la diIIusion multicast : 1. Une premiere phase avec une topologie permettant de valider la Ionctionnalite PIM-SM sur le routeur CISCO avec un abonne sous Linux. 2. Une deuxieme phase en utilisant le CISCO 4700 en simple routeur et en conIigurant Linux en routeur PIM-SM. La validation se Iera avec un abonne sous Windows 2000 11.1. Schma Multicast avec routeur CISCO F o u n d r y I p v 4 U R E C P h a s e 1 : v i a u n r o u t e u r C I S C O U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6 V 6 N a t i f T u n n e I v 6 u n i c a s t V L A N T A G 8 0 2 . 1 Q R e n a t e r 3 C i s c o 4 7 0 0 P I M - S M V 6 S t a t i o n R e d H a t 8 . 0 V i c & R a t 2 0 0 1 : 6 6 0 : 2 4 0 1 : 2 0 0 1 : : / 6 4 2 0 0 1 : 3 3 0 2 : F : : / 6 4 : : 1 : : 1 1 R s e a u c a m p u s J u s s i e u 6 R A P : : 2 R s e a u U R E C I P V 6 M u I t i c a s t ( n i v e a u I o g i q u e ) L e r e s e a u R E N A T E R 3 e s t a c c e s s i b l e v i a u n t u n n e l u n i c a s t I P v 6 . L e r o u t e u r C I S C O a r e j o i n t l e p o i n t d e r e n d e z - v o u s d e 6 R A P . L e I l u x m u l t i c a s t I P v 6 e s t a c h e m i n e j u s q u ` a u r o u t e u r C I S C O . L a s t a t i o n V i c & R a t s ` a b o n n e a u n e d i I I u s i o n a v e c S D R .
Page : 31 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 11.2. Schma Multicast avec routeur Linux Foundry Ipv4 UREC Phase 2: via un routeur ZebOS UREC Multicast pv6 UREC Multicast pv6 UREC Multicast pv6 UREC Multicast pv6 V6 Natif TunneI v6 unicast VLAN TAG 802.1Q Renater 3 Cisco 4700 PIM-SM V6 Linux 2.4.18-3 Router ZebOs PM-SMV2 Station Vic & Rat 2001:660:2401:2001::/64 2001:3302:F:1001::/80 ::1 ::11 ::15 ::130 Rseau campus Jussieu 6RAP ::2 Rseau UREC IPV6 MuIticast (niveau Iogique) Le reseau RENATER3 est accessible via un tunnel unicast IPv6. Le routeur ZebOS a rejoint le point de rendez-vous de 6RAP. Le Ilux multicast IPv6 est achemine jusqu`au routeur ZebOS. La station Vic & Rat s`abonne a une diIIusion avec SDR. 2001:3302:F::/64
11.3. Raccordement du routeur CISCO au domaine PIM (Module 5a ) 11.3.1. Etude
Pour recevoir les annonces de diIIusion, il Iaut se raccorder au point de rendez-vous de RENATER via 6RAP. Celui-ci est 2001:660:3007:300:1:: . 11.3.1.1. Ralisation Le raccordement ne presente aucune diIIicute. Il consiste a ajouter dans la conIiguration du routeur CISCO 4700 le point de rendez-vous avec la commande : ipv6 pim rp-address 2001:660:3007:300:1::
Il Iaut aussi ajouter une liste d`acces pour autoriser les domaines multicast disponibles: ipv6 access-list M6bone permit ipv6 any FF0E::/16 permit ipv6 any FF1E::/16
Page : 32 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 11.4. Configuration d'une entit multicast avec VIC et RAT (Module 5b ) 11.4.1. Etude
Il s`agit d`ajouter les Ionctionnalites de visioconIerence IPv4 & IPv6 Iournis avec les outils du Mbone (http://www-mice.cs.ucl.ac.uk/multimedia/soItware , www.kabassanov.com ) . Ces outils sont disponible pour les plate-Iorme Unix et Windows. Il s`agit de trois applications: 1. VIC: pour recevoir les Ilux video . 2. RAT: pour recevoir les Ilux audio. 3. SDR: pour connatre la liste des sessions actives ou annoncees. 11.4.2. RaIisation
Dans la phase N1, ces outils sont installes sur une station Linux puis dans la phase N2 sous Windows.
L`installation des outils sous PLD-Linux Ra 1.0 Noyau 2.4.20 ne peut se Iaire parce que le compilateur GCC 3.0 n`est pas disponible pour Ra 1.0. Il Iaut donc recourir a une autre distribution qui dispose de ce compilateur. Ici, l`utilisation d`une distribution RedHat 8.0 convient parIaitement pour les trois outils VIC, RAT et SDR.
Note 1: La distribution RedHat est souvent choisie par les developpeurs d`application reseau. Note 2: La version PLD-Linux Ac 2.0 supporte le compilateur GCC 3.0 et sera disponible en version stabilise en 2004. Note 3: L`installation sous windows n`a pas ete eIIectuee, cependant les collegues de 6RAP l`utilisent. 11.5. Test en rception de canaux multicast (Module 5c ) Le test consiste a s`abonner a une diIIusion multicast avec l`outils SDR qui donnent le catalogue des sessions. Plusieurs sessions peuvent tre consultees simultanement sans probleme .
Page : 33 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 11.6. Prsentation d'un routeur Linux IPv6 avec PIM-SM (Module 5d ) 11.6.1. Etude Le routage sous linux est bien adapte aux experimentations de nouveaux protocoles parce qu`il est possible d`agir sur les modules de routage et sur le systeme d`exploitation. En juillet 2003, la Ionction de routage PIM-SM V2 n`est pas disponible sur les distributions Linux. Les paquettages comme ZEBRA ne le propose pas. Le seul module de routage Linux PIM-SM V2 disponible est ZebOS dans sa version 1.5 de IP InIusion.
Il est possible de Iaire une demande d`une version d`evaluation completement operationnelle pour Linux et Ipv6, couvrant Ipv6, PIM-SM V2, IS-IS V6, OSPFv3, BGP4, VRRP, MPLS Layer 3.
ZebOs est architecture autour d`un bus reseau sur lequel sont connecte les diIIerents module permettant de realiser les protocoles. Il dispose d`une interIace de commande 'CISCO Like qui permet de conIigurer l`ensemble des Ionctionnalites dont le point de rendez-vous. La documentation Iournie dans la version d`evaluation est tres complete et detaillee. La duree d`un test de ZebOS peut durer 30 jours.
Note: Ainsi, pour le Multicast Ipv6, on remarque que le Bootstrap (BSR) est conIorme au derniere recommendations et qu`il Iaut donc utiliser une commande speciIique pour dialoguer avec un routeur CISCO: 'ip pimcrpciscopreIix. 11.6.2. RaIisation
Le manuel d`installation donne toutes les etapes pour installer le routeur ZebOS. Cependant, il n`est pas possible avec la version 1.5 de l`installer sur PLD-Linux parce que le routeur necessite un compilateur GCC 2.96. D`autre part IP InIusion garantit uniquement ZebOs sur RedHat.
Il Iaut donc choisir une distribution RedHat 7.3 pour l`installer correctement. Cette installation passe par une phase de recompilation du noyau pour appliquer les correctiIs necessaires a la gestion des caches PIM-SM et du BSR. Tout cela est indique dans le manuel d`installation.
Une Iois installee, la conIiguration du point de rendez-vous est la mme que celle du CISCO 4700 en ajoutant 'ip pimcrpciscopreIix
Note: ZebOs presente un grand nombre de Ionctionnalites Ipv6 qui seraient interessantes a etudier. Page : 34 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 11.7. plan de test multicast 11.7.1. Dfinition
Le test consiste a veriIier dans une premiere phase la reception des annonces multicast un niveau du routeur et dans une deuxieme phase de s`abonner a une session.
Les tests peuvent tre decomposes en deux phases: Phase 1: veriIier la reception des annonces multicast un niveau du routeur CISCO Phase 2: ouvrir une session multicast Ipv6 Phase 3: ReIaire Phase 1 2 avec ZebOS.
La phase 1 est locale a l'UREC 1.1 Avec la commande show ipv6 route 1.2 Avec Ethereal sur le port miroir de sortie du FastIron de l`UREC
La phase 2 Ouverture une session multicast Ipv6. 2.1 Execution de SDR et choisir une session
La phase 3 Phase 1 et 2 avec ZebOS 3.1 Parametrer le routeur Cisco en simple routeur 3.2 Parametrer le routeur ZebOS en routeur PIM 3.3 Execution de la commande show ip mroute 3.4 Execution de SDR sur Windows 2000
11.7.2. Excution du pIan de test
Phase Test Description DiIIicultes Resultat 1 1 Show ipv6 route montre les FF0E ::/16 et FF1E ::/16 aucune OK 1 2 Faire un Iiltrage IPv6 uniquement avec l` MAC de la station recevant le port miroir. Savoir utilise Ethereal OK 2 1 Execution SDR donne la liste des sessions aucune OK 3 1 Parametrage interIace IPv6 de base aucune OK 3 2 ZebOS ip pim rp-address 2001:660:3007:300:1:: Install ZebOS OK 3 3 Execution show ip mroute aucune OK 3 4 Execution de SDR sur Windows 2000 Non realise
12. Rfrences bibIiographiques http.//www.ipv6forum.org/ Howto du routage avance et du controle de trafic sur Linux (philippe.latulinux-France.org ) http.//www.bieringer.de/linux/IPv6/index.html http.//www.faqs.org/faqs/internet/tcp-ip/resource-list/index.html http.//www.cr-basse-normandie.fr/vikman/ipv6.html Memoire sur IPv6 Multicast de Lionel David (6RAP)
Page : 35 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 13. Annexes
13.1. Termes employs, glossaire et abrviations 13.1.1. Termes reIatifs aux rseaux
Base 10 Le systme bien connu des nombres dcimaux, reprsentant n'importe quelle valeur avec les chiffres 0-9. Base 16 Habituellement utilise dans les langages de programmation de bas et haut niveaux, connue encore en tant que systme numrique hexadcimal, reprsentant les valeurs avec les chiffres 0-9 et les caractres A-F (insensible la casse). Bit Unit minimale de stockage, allum (on)/vrai (1) ou teint (oII)/faux (0). Byte Le plus souvent, une collection de 8 (mais ce n'est pas rellement une ncessit - regardez les systmes des anciens ordinateurs) bits. Peripherique ici, matriel de connexion rseau (NIC), Carte ethernet 802.3.
Hte Gnralement, un hte simple rsident, prsent sur un lien. Normalement, il n'a seulement qu'une interface rseau active, par exemple Ethernet.
Hte a double residence Un hte double rsidence est un noeud ayant deux interfaces rseau (physique ou virtuelle) sur deux liens diffrents, mais qui ne ralise pas de renvoi de paquets entre les interfaces. InterIace Quasi-synonyme de "priphrique", au sens physique du terme c'est la carte rseau. Au sens virtuel du terme c'est un ensemble d'adresse IP qui peut se rduire une seule adresse.
En-tte IP En-tte d'un paquet IP (chaque paquet rseau a un en-tte, son type dpendant de la couche rseau). Lien Un lien est un mdium de transport de paquet rseau de la couche 2, des exemples en sont Ethernet, PPP, SLIP, ATM, ISDN, Frame Relay, etc.
Page : 36 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Noeud Un noeud est soit un hte, soit un routeur. Octet Une collection de 8 bits vritables, aujourd'hui synonyme de "byte". Port Information destine au distributeur TCP/UDP (couche 4) afin de transporter l'information la couche suprieure. Protocole Chaque couche rseau contient la plupart du temps un champ protocole facilitant la distribution de l'information transporte la couche suprieure, comme cela peut se voir dans la couche 2 (MAC) et 3 (IP) Routeur Un routeur est un noeud possdant une ou plusieurs interface(s) rseau, capable d'envoyer les paquets entre les interfaces. Socket Une socket IP est dfinie par ses adresses source et destination, ses Ports et (association) Pile Une collection de couches relatives au rseau. Masque de sous-reseau Les rseaux IP utilisent un masque de bits afin de distinguer le rseau local de ceux qui sont distants. Tunnel Un tunnel est typiquement une connexion point--point sur laquelle les paquets changs transportent les donnes d'un autre protocole, un tunnel IPv6-in-IPv4 en est un exemple.
13.1.2. Abrviations
ACL Liste de Contrle d'Accs API Interface de programmation d'application BSD Distribution des logiciels Berkeley KAME Projet - effort conjoint de six entreprises au Japon pour fournir, mondialement et dans le cadre du logiciel libre, une pile IPv6 et IPsec (pour IPv4 et IPv6) pour les variantes de BSD www.kame.net NIC Carte d'interface rseau (Network InterIace Card) Page : 37 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
RFC Requte commentaires - jeu de notes techniques et organisationnelles au sujet de l'Internet. USAGI Projet "UniverSAl playGround for IPv6" - travaille rendre disponible une pile protocolaire IPv6, qui soit d'une qualit apte la production, pour le systme Linux.
13.2. Qu'est ce qu'IPv6 ? IPv6 est un nouveau protocole de la couche 3 (voir le modele OSI) qui supplantera terme IPv4 (plus connu sous le nom d'IP). IPv4 a t conu il y a dj pas mal de temps (RFC 760 / Le protocole Internet) partir de janvier 1980, et, depuis le commencement, il y a eu de nombreuses demandes pour accrotre la quantit d'adresses disponible et augmenter les capacits. La RFC 2460 / speciIication du protocole Internet version 6 est un bon point de dpart pour comprendre se qu'est IPv6. La modification essentielle dans IPv6 est la nouvelle conception de l'en-tte qui se trouve dot d'une capacit extensible. Aussi, une augmentation de la taille de l'adresse, passant de 32 128 bits permet de rpondre au problme d'adressage. Parce que la couche 3 est responsable de bout en bout du transport des paquets dont le routage est bas sur des adresses, elle doit inclure des nouveaux type d'adresses IPv6, comme pour IPv4.
13.3. Historique d'IPv6 13.3.1. Introduction C'est dans les annes 1992, 1993 et 1994 que IPv6 a commenc tre labor. IPv6 signifie "Internet Protocol Version 6". IPv6 ou IPng sont donc la prochaine gnration du protocole, conus par l'IETF (The Internet Engineering Task Force) pour replacer la version IPv4 du protocole IP. La plupart des systmes utilisent aujourd'hui IPv4, qui a dj plus de 20 ans. Ipv4 a remarquablement bien rsist jusqu'a aujourd'hui ou les premiers vrais problmes commencent. Notamment, le manque d'adresses disponibles pour les nouvelles machines qui se connectent Internet. IPv6 fournis en autre, une rponse ce problme d'adressage avec une rflexion plus aboutis qu'en IPv4. La scurit, l'auto configuration, le routage avec un chemin pr-tablis font partis des autres amliorations. IPv6 permet une migration en douceur grce une coexistence des deux versions pendant une priode de transition sur des annes.
Page : 38 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique 13.3.2. Points cIs
Une vue d'ensemble sur la prochaine gnration d'Internet IPv6 a t tablis par l'IETF au congrs de Toronto le 25 juillet 1994 et document dans le RFC 1752 "The Recommandation for the IP Next Generation Protocol". Cette recommandation a t approuve par l'IESG " Internet Engineering Steering Group" le 17 novembre 1994 en tant que proposition de standardisation. IPv6 est avant tout une volution de IPv4 et donc inter oprable. La stratgie de dploiement est progressive, il n'y a pas de date butoir. Il a t conu pour s'intgrer sur des protocoles de transport comme ATM ou 802.11b, tout en enrichissant les fonctionnalits rseaux.
Lorsque l'IETF a crit le RFC 1752, beaucoup de choses ont t considrs pour le protocole Internet nouvelle gnration. Certaines sont videntes, comme par exemple le support du rseau mondial. D'autres sont plus difficiles apprhender comme la transition IPv4 vers IPv6 avec une migration en douceur.
La croissance du rseau Internet est la raison fondamentale pour le besoin d'une nouvelle version du protocole IP. Si une chose est bien connue de IPv4 c'est que l'adressage et le routage doivent tre capable de supporter les besoins futur. C'est important, ici de comprendre comment les besoins ont volus dans le pass et comment ils volueront demain. En ce moment, IPv4 est utilis dans le march de l'informatique. Le but de ce march est d'interconnecter les entreprises, gouvernement, universits. Ce march a permis l'expansion de l'Internet d'une manire exponentielle. Il double approximativement tous les ans depuis 1994. Les ordinateurs qui sont utiliss en fin de chane sont en gnral fixes et de puissances variables interconnectes le plus souvent via un rseau LAN "Local Area Network" La prochaine phase d'expansion ne sera probablement pas en relation direct ave le march de l'informatique. Il est vident que ce march commence a se stabiliser : la vente d'ordinateur n'est plus en progression. D'autre type de march demandeur de fonctionnalit comme la mobilit, les jeux en rseau, le multimdia ... Le challenge pour IPv6 est de fournir une solution qui rpond et rsout les problmes poss par ses marchs mergeant. L'ordinateur nomade (PDA) devient abordable et se spcialise dans des travaux avec des objets mtiers comme par exemple des lecteurs code barre. Une caractristique cl est sans aucun doute le rseau. Non pas comme aujourd'hui ou chaque mdia (RF, cable, IR), l'utilisateur active le protocole de transport associ pour vhiculer ces donnes applicative via IP. Cela se doit tre automatique avec IPv6. Ces ordinateurs dots d'IPv6 peuvent devenir des outils avec des services valeur ajout avec une facturation utilisateur et non au propritaire de l'ordinateur. A cela IPv6 doit tre faiblement consommateur de bande passante pour les messages de routage, mobilit, d'auto configuration et de signalisation. Page : 39 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique La nature de la mobilit impose aussi des mcanismes d'authentification et de confidentialit intgrs au protocole lui- mme. Il faut ajouter a cela les contraintes des rseaux sans fils dictent au protocole des mcanismes trs consommateur en puissance de calcul pour raliser des transferts fiables et scuris, tout en ne ngligeant pas la gestion de l'nergie. Si l'on considre les marchs relatifs aux divertissements, comme la vido la demande ou les diffusions tlvises. Imaginez que chaque canal de tlvision en haute rsolution soit une adresse Internet. Aujourd'hui la diffrence entre la tlvision et l'ordinateur devient insignifiante. Ces marchs comme les prcdents, ont besoins d'un protocole Internet supportant un adressage et un routage trs grande chelle bass sur des mcanismes d'auto configuration pour rduire au maximum les procdures de service et de maintenance. D'autres marchs peuvent utiliser IPv6 comme le contrle des appareils domestiques. Ce contrle consiste superviser les taches journalires. Ces marchs sont normes et ncessite des solutions simples pour pouvoir tre exploits. Le chalenge de IETF est de faire correspondre IPv6 aux besoins d'aujourd'hui tout en ne ngligeant pas les marchs mergeant de demain. Ces marchs commenceront avec ou sans l'IETF. Si IPv6 correspond bien ces marchs alors il sera utilis ou ce sera une autre technologie cre par les constructeurs eux-mmes car les marchs n'attendent pas. Un monde digital compltement inter oprable serait pourtant idal.
13.3.3. La transition IPv4 vers IPv6
La transition est programme dans trois sept ans pour le dploiement d'un nouveau protocole Internet. Deux facteurs vont influencer cela: le routage et l'adressage. Le routage Internet mondial est base sur IPv4 (32bits) va devenir inextricable parce qu'il n'est pas hirarchique et difficilement agrgeable. Le dploiement du routage sans classe entre les domaines (CIDR) donne un rpit mais l'effort de gestion des tables de routages augmente. Mme si le routage a ses palliatifs, le manque d'adresse lui est invitable. La question n'est pas de savoir si on a besoin d'IPv6 mais quand ? Le challenge pour un IPng est d'tre oprationnel avant que les adresses IPv4 ne soient dupliques dans le monde. La flexibilit du dploiement et l'aptitude aux machines IPv4 de communiquer avec IPv6 sont essentiels pour que l'interoprabilit soit respecte. La compatibilit ascendante est obligatoire pour que les utilisateurs dploient IPnv6.
Page : 40 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Concepts de base IPv6
IPv6 a t conus pour tre une volution d'IPv4. Ce n'est pas un changement radical. Seul les fonctions stables IPv4 ont t gardes. Les changements dans IPv6 se retrouvent dans les catgories suivantes: Routage Intelligent et Capacit d'adressage IPv6 augmente la capacit d'adressage de 32 bits 128 bits, pour supporter un adressage hirarchique et un plus grand nombre de noeuds adressable, et un mode d'auto configuration. Les possibilits d'adressage multicast sont plus fines grce un champ permettant de dterminer la porte. Un nouveau type d'adresse appel "anycast address" t dfinis pour reprsenter un ensemble d'interfaces. Cela permet de redimensionner le nombre d'interfaces sans changer d'adresse anycast. Le trafic peut ainsi tre matris avec des possibilits de prioritisation grce au "source routing" Simplification du format de l'entte Quelques champs de l'entte IPv4 ont t supprims ou rendu optionnel pour rduire le cot de dcodage du paquet et optimiser l'utilisation de la bande passante. L'entte IPv6 est deux fois plus longue qu'en IPv4 avec des adresses 4 fois plus longues. Amlioration du support des options Les changements dans l'entte d'IPv6 pour l'encodage des options permettent de grer plus efficacement les redirections avec des contraintes de longueur plus souples. L'introduction d'options supplmentaires a t prvue. La qualit de service Une nouvelle fonctionnalit de marquage de paquet a t ajoute pour identifier les diffrents flux du trafic. Ainsi l'metteur peut effectuer une requte pour bnficier d'une qualit de service de type temps rel par exemple. Authentifications et privilges IPv6 dispose des extensions ncessaires l'authentification, intgrit et confidentialit d'IPv4 de manire native. Le protocole IPv6 dispose d'une entte en deux parties: la partie fixe et la partie tendue. Page : 41 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
13.5. Un rappel thorique non exhaustif sur IPv6
13.5.1. Besoins
Integration des nouvelles technologies de communication. Resoudre l`epuisement de l'espace d'adressage classe B. Restaurer les connexions de bout en bout. Fournir des mecanismes de synchronisation (audio, video). Fournir des methodes d'authentiIication de l'emetteur. Avoir a disposition des transIerts Iiable et conIidentiels. Resoudre les contraintes liees a la mobilite d`une entite Iace au reseau. Permettre une auto conIiguration d`une nouvelle entite sur le reseau. .
13.5.2. Caractristiques (Garde I'esprit de IPv4 : UPD,TTL,DGTM)
Choix taille DTGM par l'emetteur : entte variable. Adresse sur 16 octets : permet de Disposer d'un adressage sur 128 bits. Types : unicast, anycast, multicast avec une portee globale, site, local. Le broadcast devient un cas particulier du multicast. Reserves pour extension du protocole Support de mecanismes de pre allocation InIormations de contrle Fusionner IGMP dans ICMP Sans DHCP une machine s'auto-genere une adresse d`interIace en Ionction de son adresse MAC
13.5.3. Entte IPv6
Les options dans IPv6 sont dans les enttes tendues qui sont entre l'entte fixe et l'entte de la couche transport. La majorit des enttes d'extensions sont examines l'arrive de paquet donc le routage se trouve grandement simplifi par rapport IPv4. En IPv6 les options ne subissent pas la limitation des 40 octets puisque de se sont des extensions d'enttes. La gestion de l'authentification et de la scurit utilise ce mcanisme d'options tendues. Pour simplifier le dcodage, les options ont une taille multiple de huit octets, ce qui permet de les aligner.
Page : 42 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Entte de base dans un DTGM:
Les enttes etendues permettent de renseigner principalement les actions suivantes : Options de Routage : 'Routing Extended Routing (like IPv4 loose source route). Fragmentation: 'Fragmentation and Reassembly. AuthentiIication: 'Authentication Integrity and Authentication. Security' 'Hop-by-Hop Option Special options which require hop by hop process ConIidentialite Option a l`arrivee: Destination Options Optional inIormation to be examined by the destination node. . Page : 43 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
13.5.4. Format adresse IPv6
Note 1. La representation textuelle est expliquee dans le deuxieme paragraphe . 'Pourquoi une nouvelle generation de lInternet ?
Note 2 . Le svmbole est utilise ici pour svmboliser le mot adresse
IPv6 dispose d'adresses de 128 bits qui identifient une interface individuelle ou un ensemble d'interface. Tous les types d'adresses sont assigns des interfaces et non des noeuds. Puisque chaque interface peut dsigner un noeud, alors chaque adresse unicast est utilisable pour identifier un noeud. Une interface au sens physique du terme possde donc plusieurs adresses IPv6 de type diffrent.
IPv6 supporte donc des adresses quatre fois plus grande qu'IPv4. Cet espace d'adressage permet d'envisager un plan d'adressage hirarchique qui selon Christian Huitema pourrait disposer dans le cas le plus dfavorable 1,564 adresses sans compter les noeuds d'acheminement pour chaque mtre carr de la surface de la terre. Les plans d'adressages qui dfinissent les espaces rservs (prfix, NSAP,...) n'occupent que 15%. Ce permet de disposer 85% pour les usages futurs.
Il y a trois type d'adresses IPng: unicast, anycast, et multicast. L'adresse Unicast identifie une interface unique. L'adresse Anycast identifie un jeu d'interfaces tel que un et un seul membre de ce jeu recevra un paquet. L'adresse Multicast identifie un groupe d'interface tel que tous les membres de ce groupe recevront le mme paquet. Il n'y a pas d'adresse de broadcast en IPv6, ce type d'adresse est matrialis par une adresse multicast.
Les diIIerents types d`adresses :
Adresses reservees IndeIinie: 0:0:0:0:0:0:0:0 au boot pour decouverte des voisins. Boucle locale: 0:0:0:0:0:0:0:1 com interprocessus equivalent 127.0.0.1 Machine en IPv6: trame IPv4 en IPv6 : |80 bits a 0||16 0||32bits IPv4| Machine en IPv4: trame IPv4 en IPv6 : |80 bits a 0||16 1||32bits IPv4|
Adresse unicast: IdentiIicateur d'une interIace: Un paquet destine a une adresse unicast est remis a l'interIace identiIiee par cette adresse. L'interIace peut tre virtuelle, c`est a dire qu'elle comporte plusieurs interIaces physiques. globale agregables: FAI, passerelles de lien local: portee locale au lien utilisable pour atteindre ses voisins. Page : 44 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Adresse anycast IdentiIie un ensemble d'interIace appartenant generalement a diIIerents noeuds. Un paquet envoye a une anycast est remis a une des interIaces identiIiees par cette . La plus proche au sens des distances des protocoles de routage. Les bits de poids Iaible sont a 0.
Note . Au niveau codage, rien ne differencie une anvcast dun unicast seule un message ICMP permet de les differencier.
Adresse multicast Trame: |11111111||000T||scop||groupID 112bits| Avec : T: 0 multicast reservee T1 multicast temporaire Scop (portee): 1noeud-local, 2lien-local, 5site-local, 8organisation-local, Eglobal groupID : IdentiIiant du groupe de diIIusion. Multicast reserve: tous noeuds: FF01:0:0:0:0:0:0:1, FF02:0:0:0:0:0:0:1 tous routeurs:FF01:0:0:0:0:0:0:2, FF02:0:0:0:0:0:0:2, FF05:0:0:0:0:0:0:2 solicitation de noeuds: FF02:0:0:0:0:0:0:1:FFXX:XXXX Allocation de nouvelles multicast IPv6 |11111111||Ilgs||scop||80bits a 0||IDgroup de 32bits| multicast Solicited node: seul les bits de poids Iort change
Adresses requises d'un hte une locale au lien pour chaque interIace physique ses unicast (agregation de plusieurs interIace physique) de boucle locale pour la communication locale inter-processus multicast tous noeuds ~~ multicast de solicitation pour chacune de ses unicast et anycast de tous les groupes auxquels appartient cet hte
Adresses requises d'un routeur adresses anycast de routeur de sous-reseau. Pour lesquelles il se comporte en routeur Toutes les autres anycast conIigurees sur ce routeur. L'adresse multicast tous routeurs ~~ Les multicast des groupes auxquels appartient ce routeur.
Resume L'adressage IPv6 deIinit: Identifie des interfaces, pas des noeuds. Une interface peut avoir plusieurs de tous types Trois types d'adresses code sur 128bits (unicast,anycast,multicast) Des sont requises sur les htes et les routeurs Les preIixes d' requis dans une implementation. Les reservees pour chacune des 3 categories (unicast,anycast,multicast) Page : 45 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
13.5.5. Auto conIiguration d'IPv6
ObjectiI : Pas de conIiguration manuelle de chaque machine avant de les raccorder au reseau. Permettre la renumerotation en douceur d'un site en aIIectant plusieurs a une mme interIace. (periode transitoire). Les htes doivent determiner les preIixes qui identiIient les sous reseaux auxquels ils sont relies aIin de generer des locales au site ou globales. Les routeurs emettent periodiquement des messages d'annonce qui incluent un ensemble d'options qui listent les preIixes utilisables sur un lien.
SANS ETAT: Le processus d'auto conIiguration des interIaces IPv6 d'un hte Ne requiert aucune conIiguration manuelle des htes. La conIiguration est annoncee par les routeurs qui contiennent les preIixes associes au lien. PreIixe identiIicateur d'interIace ~~ Sans routeur la station genere une locale au lien. Creation d'une adresse locale au lien qui doit tre unique. Le processus de generation des locales au lien, locales au site et globales est Iourni par le reseau sans etat si pas de serveur DHCP.
AVEC ETAT: Le processus d'auto conIiguration des interIaces IPv6 d'un hte Le protocole d'auto conIiguration a etats permet aux htes de demarrer. Les htes obtiennent les de leurs interIaces et leurs conIigurations du serveur. Le serveur gere une BDD qui memorise les des htes. Les baux d' des htes ont un systeme d' preIerees et deprecie.
Adresse d`auto conIiguration a l`initialisation ID interIace~ |ccccccugcccccccccccccccc| 24bits Mac c : bits de l'identiIcateur de constructeur u g signiIication 0 0 locale groupe 0 1 locale globale 1 0 universelle groupe 1 1 universelle globale
Fonctionnement generale de l`auto conIiguration Phase d'auto conIiguration Les noeuds (htes et routeurs) emettent un message de sollicitation de voisin vers l' proposee. ConIigurable par l'administrateur. Si non unique alors l'auto conIiguration s'arrte et passage en conIig manuel deIini par l'administrateur. est aIIectee a l'interIace si elle est unique. Les routeurs emettent de messages d'annonces comportant les types de conIiguration. Un hte peut envoyer un message de sollicitation de routeur avec l' de diIIusion tous routeurs~~ pour obtenir une annonce plus rapidement. Les annonces contiennent 2 drapeaux |managed conIigurationa etat , other stateIul conIiguration| qui indiquent le type d'auto-conIiguration. |0,0| sans etat. Drapeau autonomous adress-conIiguration~~ indique le preIixe de sous reseau. La location d' Iacilite la renumerotation. Page : 46 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Les couches hautes ~TCP ne supportent pas le changement d' en cours d'utilisation donc toutes les sockets sont alors detruites. Le couche IP est supposee Iournir aux couches superieures un moyen de choisir l' source la plus appropriee en Ionction d'une destination donnee. Une application peut decider de choisir l'adresse source avant de commencer ou laisser la couche IP la determinee.
Type de liens Multicast: supporte la diIIusion selective Point a point: lien qui relie exactement 2 interIaces. Dispose d'un local au lien et supporte la diIIusion selective. Non-broacast Multi-Access (NBMA) : Liens auxquels sont reliees plus de 2 interIaces mais qui ne supportent pas nativement la diIIusion selective (X.25,ATM...) MTU variable token rings IEEE 802.5 Accessibilite asymetrique: liens radio
Resume La renumerotation d'un site est possible grce aux depreciees et preIerees. Les deux modes de conIigurations peuvent tre combinees. Ces deux modes ne Ionctionnent que sur des liens supportant la diIIusion selective. DeIense par un mecanisme de detection dupliquees. Ne depend pas du mode d'obtention d'adresse.
13.6. Routage en IPv6 13.6.1. Avantages du routages en IPv6
Le routage IPv6 est presque identique au routage en IPv4 sans la barriere des classes (CIDR) a l`exception que les adresses sont en 128 bits au lieu de 32 bits. Tous les algorithmes de routage IPv4 OSPF, RIP, IDRP, ISIS, etc. sont portes sur IPv6. A cela s`ajoute des extensions de routage qui permettent de realiser les Ionctionnalites suivantes: Provider Selection (contrle d`acces, perIormance, cot ) 'Host Mobility (changement de position, mise a jour de localisation) 'Auto-Readdressing (routage vers une nouvelle adresse)
Les nouvelles fonctionnalits sont obtenues avec la cration de squences d'adresses de routage IPv6 en utilisant les options de routage. Les options de routages sont utiliss par une adresse IPv6 source pour lister les nuds intermdiaires parcourir sur le chemin vers la destination du paquet. Il existe une certaine similarit avec les fonctions Loose Source et Record Route options en IPv4.
Pour que les squences d'adresses de routage soient une fonction gnrales, l'adresse des htes IPv6 sont ncessaires dans la plupart des cas pour le routage du paquet de rponse. Cela est une des cls du routage pour la mobilit par exemple.
Page : 47 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Les trois exemples suivants montre comment les squences d'adresses peuvent tre utilises. Dans ces exemples, les squences d'adresses seront reprsentes comme suit : SRC, I1, I2, I3, DST Ou la premire adresse est l'adresse source et la dernire l'adresse de destination. Les adresses entre la source et la destination sont les adresses intermdiaires de routage.
Le schma ci-dessous symbolise une communication entre deux htes H1 et H2. Ces htes sont connects aux deux providers P1 et P2. Entre P1 et P2, un troisime provider sans fils est connect aux providers P1 et P2.
Le premier cas d'utilisation sans les squences d'adresses est lorsque H1 veut envoyer un paquet H2.Quand H2 rpond, il permute les adresses pour construire le paquet de rponse: H2,H1. Cependant H1 et H2 ne peuvent slectionner un provider P1 ou P2 pour envoyer un paquet.
Dans le cas ou H1 dcide d'tablir une rgle de confiance qui consiste communiquer avec H2 en utilisant le provider P1 uniquement. La squence de routage sera H1, P1, H2. Cela garantis que la squence de routage aura comme passage oblige P1.
En troisime et dernier cas H1 devient mobile et se dplace vers le routeur sans fils PR et maintenant la communication avec H2 ( au niveau transport). La squence d'adresse devient alors H1, PR, P1, H2 Cette squence garantie que H2 rpondra H1 en passant par P1 et par PR qui rempli la rgle de confiance tablit prcdemment : H2, P1, PR, H1. En rsum, les squences d'adresses de routage en IPv6 peuvent tre utilises pour la slection de provider, la mobilit et le r adressage.
Page : 48 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Le protocole ICMPv6
Types de paquets ICMP: Sollicitation: pour determiner l' physique d'un voisin Annonce: Reponse a la sollicitation d'un voisin, emission spontanee pour annoncer un changement d'adresse physique Redirection: inIormer les htes de l'existence d'un meilleur prochain saut pour atteindre une destination.
Principe de ICMP Les routeurs diIIuse les annonces. les htes les reoivent et mettent a jour leur liste de routeur par deIaut. Une annonce contient une liste de preIixes. Cela indique a l'hte quelle auto conIig choisir. La decouverte des voisins d'IPv6 correspond a une combinaison des protocoles ARP et de decouverte ICMP et de redirection ICMP en IPv4. ICMPv4 n'a pas de mecanisme d'inaccessibilite bien qu'un algorithme soit deIini dans le RFC : Host Requirements .
Donc ICMPv6 gere: les echanges d' physiques l'equilibrage de charge pour le traIic entrant Adresses Anycast: plusieurs noeud d'un lien donne peuvent tre conIigures pour reconnatre la mme adresse. l'annonce de proxy : aucune utilisation de proxy n'est speciIie.
Message de solicitation ICMPv6 Champs ICMP: Type 133 Checksum celui d'ICMP Message d'annonce de voisin Champs ICMP: Type 134 Cheksum celui d'ICMP Cur Hop Limit copie dans Hop count dans le paquet IP sortant; bit M Managed adresse conIiguration; 1conI a etat.
Message de solicitation de voisin Type 135 Message d'annnce de voisin Type 136 R Drapeau a 1 routeur S Drapeau a 1 reponse a un message de sollicitation Message de redirection Type 137
Conclusion Les noeuds utilisent les messages de decouverte ICMP pour se decouvrir mutuellement. ICMP permet de gerer les inIormations d'accessibilite concernant les chemins. Determine les physiques des voisins relies aux mmes liens. Permet de nettoyer les caches des inIormations obsoletes. Pour gerer activement les voisins accessible ou non. Detecter les modiIications d' physiques: recherche d'alternatives.
Page : 49 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
13.7. Linux et Ipv6: Rtrospective
Le premier code IPv6 pour Linux Le premier code rseau relatif IPv6 a t ajout au noyau Linux 2.1.8 en novembre 1996 par Pedro Roque. Il tait fond sur l'API BSD.
A cause du manque de bras, l'implmentation d'IPv6 dans le noyau tait incapable de suivre les projets discuts ou les RFC nouvellement mises jour. En novembre 2000, un projet dbute au Japon, appel USAGI , dont le but tait d'implmenter dans Linux tout le support IPv6 manquant ou obsolte. Ce projet suit ainsi la trace de l'implmentation courante d'IPv6 pour FreeBSD, ralis par le projet KAME . De temps en temps, ils craient des archives de dveloppement (snapshots) partir des sources courantes du noyau Linux.
Malheureusement, le patch USAGI est trs volumineux, tel point que les personnes s'occupant actuellement de maintenir les fonctionnalits rseau de Linux sont incapables de l'inclure dans les sources, aptes la production, de la srie des noyaux Linux 2.4.x. En consquence, la srie 2.4.x manque de certaines (et mme de nombreuses) extensions, et elle n'applique pas non plus les brouillons et RFC courants (voir le groupe de travail IP Version 6 (GN6)). Cela peut poser des problmes d'interoprabilit avec les autres systmes d'exploitation.
USAGI fait maintenant usage de la srie des noyaux de dveloppement Linux 2.5.x afin d'incorporer toutes les extensions actuelles dans cette version de dveloppement; dans l'espoir que la srie des noyaux 2.6.x comprendra une vritable implmentation jour d'IPv6.
On peut se demander pourquoi choisir linux alors que la communaut BSD est la rfrence en matire de rseau et donc d'IPv6 ?
La rponse est simple, IPv6 sera tre rpandu sur l'ensemble des ordinateurs pour les utilisateurs finaux. En ce sens les produits Windows sont finalement les plus avancs puisque Windows NT4 disposait dj d'un patch IPv6 "plug & play". La communaut Linux dispose de la plus grande diversit applicative aprs Windows. Le domaine Internet est trs actif et la majorit des exprimentations utilisateurs finaux sont sur Linux.
Le choix de la distribution Linux IPv6 est grandement facilit lorsque que l'on sait exactement ce que l'on veut faire. En effet on n'utilisera pas la mme distribution pour faire du routage PIM-SM, de la vido confrence ou un serveur Web, ce jour. Il n'existe pas une distribution qui propose l'ensemble de ces fonctions en juillet 2003.
Page : 50 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique Pour guider son choix, le site de Pierre Beringerest incontournable, il donne un tableau comparatif de toutes les distributions. Ce tableau montre que PLD et RedHat sont les plus compltes.
Pour connatre l'tat des distributions Linux le site www.distrowatch.com est un bon point de dpart. 13.7.1. RedHat RedHat permettra d'exprimenter les fonctions de station de travail avec rception de canaux multicast IPv6 et de routeur PIM-SM. Ces fonctions ont t spcifiquement implmenter pour les distributions RedHat 8.0 et 7.2 respectivement.
Les distributions RedHat sont bien connues dans les rseaux acadmiques et industriels. L'implmentation IPv6 n'est pas complte mais beaucoup de services sont prsents depuis la version 7.x. L'objectif de RedHat est de couvrir un ensemble de fonctionnalit sans avoir une volont affiche de promouvoir IPv6. La procdure d'installation, par exemple, n'intgre pas de paramtrage IPv6, cependant on peut configurer les fichiers comme indiqus dans ces annexes.
Note : La distribution ASPLinux reprend tous les RPMs de RedHat avec une procdure dinstallation simple et oriente rseaux.
13.7.2. PLD Linux
Pour la distribution PLD Linux, les principaux objectifs sont la prochaine gnration Internet (IPv6), la scurit et la localisation. PLD est destin aux serveurs rseaux et aux administrateurs avertis.
PLD ne signifie pas Distribution Linux Polonaise. Bien au contraire cela signifie qu'elle ne parlera polonais uniquement si vous lui demand: www.pld-linux.org . Cependant l'tat de l'Art dans les news groupe est le plus souvent en Polonais. Cela n'est pas gnant car les commandes en lignes sont elles, bien en Anglais.
PLD est une distribution Linux qui a vu le jour en 1998 et ces concepteurs sont principalement situs en Pologne: Soit environ 200 personnes. Les fondateurs ont t trs actifs sur Ipv6 et certains ont t fortement impliqus dans TCPwrapper. Cela signifie que la scurit est une priorit forte. Page : 51 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
En quoi cette distribution est diffrente ? 1. Les paquetages sont dcomposs en petits paquetages fonctionnels. Cela permet d'installer seulement ce qui est vraiment ncessaire. 2. Les paquetages sont paramtrs avec une configuration raisonnable (application de patchs orients performance et scurit). 3. PLD aujourd'hui dispose encore le meilleur support du protocole IPv6 parmi toutes les distributions LINUX. 4. Les serveurs essentiels sont disponibles: FTP, Mail, Web ... 5. Le systme est trs modulaire et supporte la plupart des machines: Les compilations disponibles sont optimises pour les x386 au x686, ce qui est peu frquent. 6. PLD utilise l'interface rc-inetd et par extension rc_xinetd qui permettent de grer les serveurs applicatifs en tant que service rseau. L'outil iproute2 est l'outil de base pour la manipulation des interfaces. Les scripts d'initialisation sont plus simple et plus fonctionnel compars a ceux de RedHat. Les fichiers de configuration sont gnrs au boot. 7. La scurit n'est pas en reste, le support des mthodes d'authentification tel que PAM, GASPI, TSL/SSL, SASL. En pratique ces implmentations sont ralises grce aux services de rc-inetd qui permettent de remplacer facilement un Daemons en son quivalent kerberis. 8. Une caractristique similaire est le rc_boot qui permet une gestion simplifie des diffrents noyaux installs. 9. PLD est aussi trs oriente dveloppeur puisque tous les outils de dveloppement sont disponibles et mme les compilateur exprimentaux comme Cyclone ou Ksi. 10. Un support total des RPMs, DEBIAN APTs, et dispose d'un outils de mise a jour POLDEK permettant de combiner l'ensemble des sources de paquetages disponible sur le web.
Aujourd'hui PLD propose trois distributions: 1. La premire appel Ra (1.1) qui est ralis autour du noyau 2.2.26 auxquels Ipv6 est compltement intgr avec tous les services WEB,FTP, MTA . Cela correspond une distribution RedHat 7.0 avec une scurisation trs avance. 2. La seconde est une distribution PLD-RESCUE 1.1 de type survie qui est base sur un noyau 2.4.20 qui tient sur un minidisc ou une mmoire USB de 50Mo. Cette distribution bootable permet de monter la totalit des services IPv6 sans disque dur sur n'importe quel PC. Il est possible de pr configurer des environnements pour ouvrir des sessions scurise IPv4 ou IPv6. Les fonctionnalits de survie sont trs tendues pour rparer un serveur, une station linux ou windows la suite d'une attaque virale ou d'un Page : 52 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique dysfonctionnement logiciel ou matriel (dfaillance mmoire par exemple).
3. La troisime version AC 2.0 est tout juste disponible sur ftp.pld-linux.org. Elle est architecture autour d'un noyau 2.4.20. Les formats ISO sontdiffuss. Il est possible de mettre jour une version RA 1.0 avec l'outils POLDEK en modifiant le fichier poldek.conf et en utilisant la commande poldek -u
Les dveloppements actuels sont autour du noyau 2.5.64 qui donneront srement une nouvelle distribution.
13.8. Analyse des fichiers de configuration du Serveur Quarks
13.8.1. Fichier etc/resoIv.conf
Ce Iichier permet de speciIier l`ordre des serveurs de noms a interroger pour resoudre le couple (nom , adresse). Ici l`instruction 'search permet d`identiIier le domaine Ipv6 de l`UREC. Ensuite les instructions 'nameserver renseigne les serveurs de noms a interroger dans l`ordre.
Ce Iichier permet de renseigner les couples (nom , adresse) de maniere statiques. L`adresse de 'loopback Ipv6 est ::1. Les adresses FFxx sont destines entre autre au multicast.
Ce Iichier permet d`initialiser les modules rattache au noyau. L`ajout de plusieurs cartes ethernet s`eIIectue dans ce Iichier avec l`instruction 'alias. Les options de taille de 'buIIer ou d`interuption 'IRQ sont a renseigner avec l`instruction 'option.
#-------------------------------------------------------------------------------| /etc/module.conI # File created by installer # Added by installer alias eth0 8139too # |DENOO 030523| Add alias Ior the secondary Ethernet card alias eth1 8139too alias usb-controller usb-ohci alias sound-slot-0 i810audio
13.8.4. Fichier /etc/network.conf
Le parametrage reseau general est speciIie dans ce Iichier. Les instructions ici permettent de conIigurer les reseaux IPv6 et IPv4.
#-------------------------------------------------------------------------------| /etc/sysconIig/network.conI # $Id: network,v 1.15 2001/11/05 16:58:50 kloczek Exp $ ###################################################################### # MAIN PART
# Do you need IPv4 or IPv6 networking ? NETWORKINGyes
# Do you need IPv4 networking ? IPV4NETWORKINGyes
# Do you want IPv4 Iorwarding ? IPV4FORWARDINGno
# Set hostname here (only hostname) HOSTNAME"quarks"
# Set NIS domain name here NISDOMAIN"localdomain"
# IPv4 gateway GATEWAY"194.57.138.62" GATEWAYDEV"eth0" Page : 54 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
# Do you want to use IPX networking ? IPXno IPXAUTOPRIMARY IPXAUTOFRAME IPXINTERNALNETNUM IPXINTERNALNODENUM
# Global route Ior IPv6 host with IPv6 Iorwarding IPV6GLOBALROUTEGW IPV6GLOBALROUTEDEV
# Reading conIiguration Irom LDAP
# Do you want to use LDAP? USELDAPno
# What base DN use Ior searching Ior interIace conIiguration LDAPBASEDN
# Other
# Do you want set static ARP table (based on /etc/ethers conIig Iile) ? STATICARPno
# Do you want set static RARP table (based on /etc/ethers conIig Iile) ? STATICRARPno
# SpeciIy interIace on which you want to enable tleds soItware # (also you need tleds package installed) -- deIault set to no TLEDSDEVno
# This must be last line ! # vi:syntaxsh:tw78:ts8:sw4 Page : 55 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
Ce Iichier parametre la premiere carte reseaux trouve sur le Bus PCI (voir commande lspci ). Eth0 est destine a l`interconnexion IPv4.
#-------------------------------------------------------------------------------| /etc/sysconIig/interIaces/iIcIg-eth0 # example conIig Ior Iirst ethernet card
# name oI the device DEVICE"eth0"
# IP addresses/address preIix # where preIix: # 24 - resembles netmask 255.255.255.0 # 16 - resembles netmask 255.255.0.0 # etc. # IPADDR may be either IPv4 or IPv6 # you may have up to 256 addresses set up IPADDR"194.57.138.36/27" #IPADDR1192.168.0.2/24 #IPADDR2192.168.0.3/24 #IPADDR3192.168.0.4/24
# you may select which oI the above addresses # is primary Ior this interIace (it'd be IPADDR1 in the example below) #IP4PRIMIF"1"
# activate on boot? yes,no # you must set it to 'yes' iI you want to have this up aIter bootup ONBOOT"yes"
La conIiguration IPv6 sur la deuxieme interIace realise l`interconnexion IPv6 en speciIiant trois interIaces unicast qui sont 2001:660:3302:I::11/64, 2001:660:3302:I::12/64, 2001:660:3302:I::13/64.
# IP addresses/address preIix # where preIix: Page : 56 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique # 24 - resembles netmask 255.255.255.0 # 16 - resembles netmask 255.255.0.0 # etc. # IPADDR may be either IPv4 or IPv6 # you may have up to 256 addresses set up IPADDR"2001:660:3302:I::11/64" # |030521 DENOO| IPADDR1 is needed Ior deIault addresse IPADDR1"2001:660:3302:I::11/64" IPADDR2"2001:660:3302:I::12/64" IPADDR3"2001:660:3302:I::13/64"
# you may select which oI the above addresses # is primary Ior this interIace (it'd be IPADDR1 in the example below) # |030521 DENOO| set to deIault IPADDR1 IP4PRIMIF"1"
# activate on boot? yes,no # you must set it to 'yes' iI you want to have this up aIter bootup ONBOOT"yes"
# dhcp,pump,none BOOTPROTO"none"
13.8.7. Fichier /etc/poIdek.conf Ce Iichier contient le parametrage pour l`outils POLDEK qui sert a recuperer les paquetages en provenance de plusieurs distributions. POLDEK peut tre utilise sur PLD mais aussi sur les autres distributions Linux. Les instructions 'sources speciIies les URLs contenant les Iichiers a installer. A chaque source correspond des Iichiers POLDEK contenant la listes des paquetages. Une Iois conIigure, la commande 'poldek u permet une mise a jour complete d`un serveur.
#source ra-test,noauto http://Ir2.rpmIind.net/linux/PLD/dists/1.0/PLD/i686/dists/ra/test/i686/ Page : 57 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
# install packages in small groups instead oI doing all-or-nothing # installation; deIault "yes" #particleinstall no
# remove duplicate packages Irom available package set, i.e. this # option ensures that only one instance (highest version Irom source # with highest priority) oI every package will be available # Ior installation; deIault "no" #uniquepackagenames yes
# automatically install packages required by installed ones; deIault "yes" #Iollow no
# conIirm each installation; deIault "no" #conIirminstalls yes
# let the user select package among equivalents; deIault "no" #chooseequivalentsmanually yes
# prevent kernel* and dev Irom being upgraded iI they are already installed. #hold kernel* dev
# remove kernel* packages Irom available package set, i.e. make them # invisible Ior the user #ignore kernel*
# External downloaders conIiguration # Available semi-macros (as ws-separate tokens only): Page : 58 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique # p|n| - package basename # d - cache dir # D - cache dir/package basename # P|n| - package Iull path(URL) # # Hint: iI you use several PLD powered machines, you may consider using # proxy server to speed up download. To make use oI proxy with poldek set # HTTPPROXY and/or FTPPROXY environment variables or setup transparent # proxy and uncomment one oI the lines below. For more inIo use man # poldek,wget,snarI,squid,ipchains or iptables}
#Itpget /usr/bin/snarI P D #Itpget /usr/bin/wget -N --dot-stylebinary -P d Pn #httpget /usr/bin/wget -N --dot-stylebinary -P d Pn #httpsget /usr/bin/curl P -o D #rsyncget /usr/bin/rsync -v P d #cdromget /usr/bin/vIjuggle d Pn
# Some rpm macros #rpmdeI installlangs pl:plPL:lt:ltLT
Ce Iichier contient la liste des zones Ipv6 et Ipv4 et le parametrage des Iichiers de traces.
#-------------------------------------------------------------------------------| /etc/named.conI //----------------------------------------------- // Fichier DNS UREC IPV6 /etc/named.conI //----------------------------------------------- // Revision : 0.0.6 // Date : 030513 //----------------------------------------------- // Logs: // Date Description // 030509. let deIault log Iile instead oI named.log // 030507. ModiIy zone F.0.0.0 ....IP6.INT // 030506: ModiIy zone 1.0.0.0.0...IP6.INT // 030505: Creation //-----------------------------------------------
//----------------------------------------------- // acces list //-----------------------------------------------
// in door protection to allow recursion Page : 59 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique acl protected 2001:660:3302:000I::/64;}; // secondaries dns acl secondaries 194.57.137.114 ; };
//----------------------------------------------- // global settings //----------------------------------------------- options directory "/var/named.data"; // working directory pid-Iile "/var/named.data/named.pid"; //auth-nxdomain no; // no authoring nx domain //allow-recursion protected;}; // only Ior internal users listen-on any; }; // Turn on IPv4 listen-on-v6 any; }; // Turn on IPv6 transIers-in 0; Iorward Iirst; Iorwarders 2001:660:2401:1001:203:baII:Ie08:1c4a; //DNS 6RAP IPv6 194.57.137.114; //DNS UREC IPv4 212.27.32.5; //DNS FREE.Ir }; };
//------------------------------------------------ // local zone //------------------------------------------------ // local IPv6 zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT"
type master; Iile "UREC/localhost-v6.rev"; };
// Urec IPv6 zone : urec6 Ior IPv6 users only zone "urec6.cnrs.Ir" type master; Iile "UREC/urec6.cnrs.Ir"; allow-transIer secondaries ; }; notiIy yes; };
// Urec IPv6 reverse zone "F.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2.IP6.INT" type master; Iile "UREC/urec6.cnrs.Ir.rev"; allow-transIer secondaries ; }; }; Page : 60 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
zone "0.0.127.in-addr.arpa" type master; Iile "UREC/localhost.rev"; allow-update none; }; allow-transIer any; }; };
//------------------------------------------- // secondary zone //------------------------------------------- zone "ipv6.urec.cnrs.Ir" type slave; Iile "UREC/ipv6.zone"; masters 194.57.137.114; }; };
zone "138.57.194.IN-ADDR.ARPA" type slave; Iile "UREC/urec.cnrs.rev"; masters 194.57.137.114; }; };
//------------------------------------------- // Cache Iile //------------------------------------------- zone "." IN type hint; Iile "name.root"; };
//---------------------------------------------------- // log Ilags //---------------------------------------------------- logging channel deIault-log //new trace channel Iile "/var/log/named.log" size 10m; //to Iile named.log 10Mo print-category yes; //printing Iormat print-severity yes; print-time yes; severity inIo; // only send priority inIo }; channel deIault-debug Iile "/var/log/named.run" size 10m; severity dynamic; // current debug level }; channel deIault-syslog syslog daemon; //send to daemon Iacility Page : 61 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique severity inIo; };
// deIault Iiles Ior trace category deIault deIault-syslog; deIault-log; }; // write to deIault channel //////////////////////////// // speciIic trace Iiltering //////////////////////////// // to trace server approuval or denial request category security deIault-syslog;}; // normaly /var/log/syslog
// to trace conIiguration category conIig deIault-debug;}; // normaly named.run
// to trace unmatched resolution category unmatched deIault-debug;};
// to trace query category queries deIault-debug;};
// to trace client request category client deIault-debug;};
// to trace remote zone transIer category xIer-in deIault-log; }; // log
// to trace local zone transIer category xIer-out deIault-log; }; // log
; From: (#)localhost.rev 5.1 (Berkeley) 6/30/90 ; $FreeBSD: src/etc/namedb/PROTO.localhost-v6.rev,v 1.1.2.1 2002/02/04 18:24:21 ume Exp $ ; ; This Iile is automatically edited by the `make-localhost' script in ; the /etc/namedb directory. ;
$TTL 3600
IN SOA quarks.urec6.cnrs.Ir. amaury.denoo.urec.cnrs.Ir. ( 2003090400 3600 900 3600000 3600 ) IN NS quarks.urec6.cnrs.Ir. 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.int. IN PTR localhost. Page : 63 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
--------------------------------------------------------------------- ukLC6 nefWok hosfs --------------------------------------------------------------------- 64 b1fs hosf addess paf ------|-------|-------|------- 2.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k Webm1n. 1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN N5 ns. 1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN N5 quaks. 1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k quaks. 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k c1sco4000. 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k uec6. end of evese zone
Page : 65 / 66 I.R.T Session 2003 Prochaine Gnration Internet IPv6 Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique
13.8.12. Fichier /etc/httpd/httpd.conf Ce Iichier de conIiguration du serveur Apache permet de realiser un relais du serveur www.urec.cnrs.Ir en www.urec6.cnrs.Ir (Ipv6) et de rediriger les requtes d`administration Ipv6 a destination du serveur MiniServ (Ipv6) de Webmin. Ces redirections suportent des sessions SSL.
Note: seule les instructions modiIiees sont presentes ci-dessous.
######################################################### # Webmin conIiguration to allow an IPv6 administration #########################################################