Stage Ipv6 Amaury 2

Page : 1 / 66
I.R.T Session 2003 Prochaine Gnration Internet IPv6

Amaurv DENOO UREC/CARS Unite Reseau du Centre National de Recherche Scientifique

session 2003

Stage fin d`tude Ingnierie Rseau et Tlcoms

Mise en place de services IPv6 lÙnit Rseau du CNRS

Description : Ce rapport decrit la mise en place dùn reseau IPv6 et des services associes.
Version actuelle :1.2
Date :7/1/2004

Auteur : Amaury Denoo amaury.denooorange.Ir
Resp. Stage : Jean Paul Gautier jean-paul.gautierurec.cnrs.Ir
Resp. Session : Vassiliki Spathis vassiliki.spathislip6.Ir

Page : 2 / 66

1. INTRODUCTION : ................................................................................................................ 5
2. POURQUOI UNE NOUVELLE GENERATION DE L'INTERNET ? ..................................... 5
3. PRESENTATION DES OBJECTIFS ET DE L'ENVIRONNEMENT ..................................... 7
4. CONTRIBUTIONS ET REALISATION DU PROJET IPV6 UREC........................................ 8
5. CONCLUSION ET SYNTHESE DE LA SOLUTION............................................................. 8
6. PROPOSITION D'UNE TOPOLOGIE RESEAU IPV6 (1ERE PARTIE) ............................... 9
6.1. Raccordement de l'UREC au rseaux Renater 3 IPv6 (Module 1a) ..........................................................................9
6.1.1. Etude du raccordement a Renater................................................................................................................................9
6.1.2. Realisation.................................................................................................................................................................10
6.1.3. Schema du Lien 802.1Q Renater3.............................................................................................................................10
6.2. Proposition d'une topologie IPv6 autonome (Module1b ) ........................................................................................11
6.2.1. Etude des topologies possibles..................................................................................................................................11
6.2.2. Schema du plan d'adressage .....................................................................................................................................12
6.2.3. Realisation de la topologie separant IPv6 et Ipv4 (cblage)......................................................................................13
6.3. Prparation du CISCO 4700 pour IPv6 (Module 1c )..............................................................................................13
6.3.1. Etude .........................................................................................................................................................................13
6.3.2. Realisation.................................................................................................................................................................13
6.4. Configuration du CISCO 4700 pour Ipv6 (Module 1e ) ...........................................................................................14
6.4.1. Etude .........................................................................................................................................................................14
6.4.2. Realisation.................................................................................................................................................................14
6.5. Choix d'une distribution Linux IPv6 (Module 1d )...................................................................................................15
6.5.1. Etude .........................................................................................................................................................................15
6.5.2. Realisation.................................................................................................................................................................15
6.6. Installation de la distribution Linux (Module 1f ).....................................................................................................16
6.6.1. Etude .........................................................................................................................................................................16
6.6.2. Realisation.................................................................................................................................................................16
6.7. Intgration et tests dìnterconnexions unitaires (Module 1g)...................................................................................17
6.7.1. DeIinition du plan de test ..........................................................................................................................................17
6.7.2. Execution du plan de test ..........................................................................................................................................17
7. AJOUT DU SERVICE DNS IPV6 (2EME PARTIE) ............................................................ 18
7.1. Installation et paramtrage du service DNS IPv6 (Module 2a )...............................................................................18
7.1.1. Etude .........................................................................................................................................................................18
7.1.2. Realisation avec Bind 9.2.1.......................................................................................................................................19
7.2. Procdure de test du service DNS Ipv6 (Module 2b ) ...............................................................................................19
7.2.1. Plan de test DNSv6 ...................................................................................................................................................19
8. MISE EN PLACE D'UN RELAIS WEB IPV4 VERS IPV6................................................... 20
Page : 3 / 66
8.1. Choix d'un relais Web IPv4 - IPv6 (Module 2c)........................................................................................................20
8.1.1. Etude .........................................................................................................................................................................20
8.1.2. Schema dìntegration dùn relais Web IPv4 vers IPv6..............................................................................................21
8.1.3. Realisation avec Apache 1.3.27 ................................................................................................................................21
8.2. Procdure de test du service Web IPv6 (Module 2d ) ...............................................................................................22
8.2.1. Plan de test acces au Web IPv4 via IPv6...................................................................................................................22
9. DISPONIBILITE ET ADMINISTRATION DU RESEAU IPV6 (3EME PARTIE) .................. 23
9.1. Les outils d'administration du rseau et des services via le Web IPv6 (Module 3b ).............................................24
9.1.1. Etude des outils disponibles ......................................................................................................................................24
9.1.2. Realisation avec webmin 1.090.................................................................................................................................24
9.1.3. InterIace Web Ipv6 dàdministration du serveur Quarks de LÙREC ......................................................................25
9.1.4. InterIace web de gestion des interIaces reseau..........................................................................................................25
9.2. Les listes d'accs sur les entits IPv6 (Module 3a ) ...................................................................................................25
9.2.1. Etude .........................................................................................................................................................................25
9.2.2. Realisation.................................................................................................................................................................27
9.2.3. Plan de test administration Serveur et Routeur .........................................................................................................28
10. TRANSLATION DE PROTOCOLE IPV4 VERS IPV6 (4EME PARTIE).......................... 29
10.1.1. Etude de NAT-PT.................................................................................................................................................29
10.1.2. Realisation............................................................................................................................................................29
11. RACCORDEMENT MULTICAST IPV6 A RENATER3 VIA RAP (5EME PARTIE)......... 30
11.1. Schma Multicast avec routeur CISCO.....................................................................................................................30
11.2. Schma Multicast avec routeur Linux .......................................................................................................................31
11.3. Raccordement du routeur CISCO au domaine PIM (Module 5a )..........................................................................31
11.3.1. Etude.....................................................................................................................................................................31
11.4. Configuration d'une entit multicast avec VIC et RAT (Module 5b ).....................................................................32
11.4.1. Etude.....................................................................................................................................................................32
11.4.2. Realisation............................................................................................................................................................32
11.5. Test en rception de canaux multicast (Module 5c ) .................................................................................................32
11.6. Prsentation dùn routeur Linux IPv6 avec PIM-SM (Module 5d )........................................................................33
11.6.1. Etude.....................................................................................................................................................................33
11.6.2. Realisation............................................................................................................................................................33
11.7. plan de test multicast ...................................................................................................................................................34
11.7.1. DeIinition..............................................................................................................................................................34
11.7.2. Execution du plan de test......................................................................................................................................34
12. REFERENCES BIBLIOGRAPHIQUES........................................................................... 34
13. ANNEXES....................................................................................................................... 35
13.1. Termes employs, glossaire et abrviations ...............................................................................................................35
13.1.1. Termes relatiIs aux reseaux..................................................................................................................................35
13.1.2. Abreviations .........................................................................................................................................................36
13.2. Quèst ce quÌPv6 ?......................................................................................................................................................37
Page : 4 / 66
13.3. Historique d'IPv6.........................................................................................................................................................37
13.3.1. Introduction ..........................................................................................................................................................37
13.3.2. Points cles.............................................................................................................................................................38
13.3.3. La transition IPv4 vers IPv6.................................................................................................................................39
13.4. Concepts de base IPv6.............................................................................................................................................40
13.5. Un rappel thorique non exhaustif sur IPv6..............................................................................................................41
13.5.1. Besoins .................................................................................................................................................................41
13.5.2. Caracteristiques (Garde l'esprit de IPv4 : UPD,TTL,DGTM) ..............................................................................41
13.5.3. Entte IPv6 ...........................................................................................................................................................41
13.5.4. Format adresse IPv6 ............................................................................................................................................43
13.6. Routage en IPv6 ...........................................................................................................................................................46
13.6.1. Avantages du routages en IPv6 ............................................................................................................................46
13.7. Linux et Ipv6: Rtrospective.......................................................................................................................................49
13.7.1. RedHat..................................................................................................................................................................50
13.7.2. PLD Linux............................................................................................................................................................50
13.8. Analyse des fichiers de configuration du Serveur Quarks ......................................................................................52
13.8.1. Fichier etc/resolv.conI ..........................................................................................................................................52
13.8.2. Fichier /etc/host ....................................................................................................................................................52
13.8.3. Fichier /etc/module.conI.......................................................................................................................................53
13.8.4. Fichier /etc/network.conI......................................................................................................................................53
13.8.5. Fichier /etc/sysconIig/interIaces/iIcIg-eth0 ..........................................................................................................55
13.8.6. Fichier /etc/sysconIig/interIaces/iIcIg-eth1 ..........................................................................................................55
13.8.7. Fichier /etc/poldek.conI........................................................................................................................................56
13.8.8. Fichier /etc/named.conI ........................................................................................................................................58
13.8.9. Fichier /var/named.data/UREC/localhost-v6.rev..................................................................................................62
13.8.10. Fichier /var/named.data/UREC/urec6.cnrs.Ir .......................................................................................................63
13.8.11. Fichier /var/named.data/UREC/urec6.cnrs.Ir .......................................................................................................64
13.8.12. Fichier /etc/httpd/httpd.conI .................................................................................................................................65
Page : 5 / 66

1. Introduction :
Làcces aux telecommunications et a lÌnternet est un element essentiel de lèconomie mondiale. Les
chiIIres concernant lùtilisation dÌnternet revelent un desequilibre entre le nord et le sud.
Presque toutes les grandes entreprises entrevoient dans la reduction de la Iracture numerique de nouveaux
marches : Le protocole Internet de prochaine generation (IPng) Iait partie des moyens utilises pour
Iaonner une scene economique mondiale plus equilibree.

IPng est conduit par un ensemble dòrganismes internationaux. Ces organismes qui pilotent la
standardisation de l'Internet sont : l'Internet Engineering Task Force (IETF), l'Internet engineering
Steering Group (IESG), l'Internet Society (ISOC) , l'Internet Architecture Board (IAB) et l'Internet
Assigned Numbers Authority (IANA).

De plus en plus de Projets IPng sont realises. Prochainement, la Thalande va deployer 1 million
dòrdinateurs IPv6 Linux avec des acces sans Iils metropolitains (IEEE 802.16) pour Iavoriser làcces aux
sciences des communications. Ils choisissent IPv6 et Linux parce que le gouvernement Thalandais
preIere garder la matrise de son avancee technologique. Ailleurs en Orient, des Indous corrigent les
bogues pendant que les Americains dorment. En occident, la migration IPv6 se Iera en douceur a cause du
systeme IPv4 existant. A Paris, le departement de lÙREC du CNRS souhaite disposer dùn reseau IPv6
et ce document developpe l etude de realisation.

2. Pourquoi une nouveIIe gnration de I'Internet ?

Tout simplement, pour restaurer le dialogue de bout en bout et generaliser la diIIusion multicast et les
procedes de securite dans le monde des reseaux. IPv6 sìnscrit dans le prolongement de lÌnternet
actuellement disponible. Pour sèn convaincre, les congres comme lÌnterop (mai 2003), la renaissance
IPv6 a Caen (juin 2003) et le NI (19-21 Novembre 2003) a Paris Iont partie des reponses.

IPv6, composante de IPng, consiste en une generalisation des concepts deja mis en place et en une
adaptation a lèchelle mondiale de la toile.
IPv6 est un protocole de la couche 3 (voir le modele OSI) qui supplantera a terme IPv4 (plus connu sous
le nom d'IP). IPv4 a ete conu a partir de janvier 1980, et, depuis le commencement, il y a eu de
nombreuses demandes pour accrotre la quantite d'adresses disponible et augmenter les capacites. Le RFC
Request Ior Comments 2460 (speciIication du protocole Internet version 6) repond a lènsemble des
demandes dèvolutions. La modiIication essentielle dans IPv6 est la nouvelle conception de l'en-tte,
incluant une augmentation de la taille de l'adresse, en passant de 32 a 128 bits.

Modle P et entte Pv6

Page : 6 / 66
Une adresse IPv6 de 128bit, cela signiIie quèlle est 4 Iois plus grande quèn IPv4. Cèst un espace
d'adressage immense, qui permet d'envisager un plan d'adressage hierarchique. Selon Christian Huitema,
On pourrait disposer dans le cas le plus deIavorable 1564 adresses sans compter les nouds
d'acheminement pour chaque metre carre de la surIace du globe . Une adresse IPv6 dispose dùne portee
(Globale, Site ou Locale) et dùn nouveau type pour Iacilite leur regroupement. Il a ete deIinie trois types
d'adresses IPng:
1. L'adresse Unicast identiIie une interIace unique.
2. Làdresse Anycast identiIie un jeu d'interIaces tel que un et un seul membre de ce jeu recevra un
paquet.
3. L'adresse Multicast identiIie un groupe d'interIaces tel que tous les membres de ce groupe
reoivent le mme paquet. Il n'y a pas d'adresse de broadcast en IPv6, ce type d'adresse est
materialise par une adresse multicast.

La representation textuelle dùne adresse IPv4 se Iait en decoupant le mot de 32 bits de làdresse en 4
mots de 8 bits separes par le caractere . , chacun dèux etant represente en decimal. Cèst la
representation decimale pointee. Par exemple 192.168.0.1

La representation textuelle dùne adresse IPv6 se Iait en decoupant le mot de 128 bits de làdresse en 8
mots de 16 bits separes par le caractere : , chacun dèux etant represente en hexadecimal. Par exemple
làdresse : 2001 :0660 :3302 :000F :0000 :0000 :0000 :0011

Dans un champ, il nèst pas necessaire dècrire les 0 places en tte et plusieurs champs nuls consecutiIs
peuvent tre abreges par :: . Ce symbole ne peut apparatre quùne seule Iois dans une adresse.
Làdresse precedente peut donc sècrire : 2001 :0660 :3302 :F ::11

LòbjectiI principal dÌPv6 est de hierarchiser les adresses pour permettre de plus grands agregats et une
reduction de la taille des tables de routage des routeurs de backbone.

Voici le schema dùne adresse IPv6 : Chaque partie (TLA, sTLA, Res, NLA, SLA, I ID) est reservee a
un usage precis qui est explicite dans le RFC 2460.

Voici un exemple dùne adresse IPv4 : 129.168.94.249, encapsulee dans une adresse IPv6 :Ce type
dàdresse est utilise pour Iaciliter la transition dàcces reseau Ipv4 vers un reseau Ipv6.Le lien
http://www.Iaqs.org/rIcs/rIc3056.html donne les moyens dànalyser en details cette adresse.

2002:81a8:5ef9:31a:9211:4eff:fe61:3a

Note : LÌETF a assigne un espace dàdresse agregeable unicast globale avec la valeur 2 dans le TLA
pour reconnatre une adresse IPv4 en capsule dans une adresse IPv6. Ce type dàdresse permet sur des
entites IPv4, avec làide dùn tunnel de communiquer avec une entite IPv6.
001
3 bits
TLA
13 bits
sTLA
13 bits
Res
6 bits
NLA
13 bits
SLA
16 bits
InterIace ID
64 bits
Topologie publique Topologie privee
Page : 7 / 66

3. Prsentation des objectifs et de I'environnement

M.Jean Paul Gautier (Ingenieur UREC) a propose une ouverture de stage IPv6 a lÙniversite Pierre &
Marie Curie et a lècole nationale superieur des telecoms pour laquelle j'ai maniIeste mon intert dans
le cadre de la promotion Ingenierie .Reseaux.Telecommunication 2003.

Le sujet: Mise en place dùn rseau IPv6 et des services associs.

L'unite de Reseau du CNRS (UREC) est composee de trois sites geographique Grenoble, Lyon et Paris
(site principal). Ces sites sont animes par le Directeur M. Jean Luc Archimbaud. Les travaux menes par
les diIIerentes equipes sont centres sur l'administration de reseaux securises, l'expertise reseau et la
Iormation sur les technologies reseaux avancees pour le CNRS.

L'environnement de travail dans lequel le stage s'est deroule sur le site de Paris a ete exemplaire. Mes
collegues de bureau de l'UREC Paris m'ont apporte les reponses necessaires et suIIisantes pour realiser les
travaux.

Lènvironnement reseau de lÙREC est IPv4. LÙREC est raccorde au backbone de Jussieu qui ne
dispose pas de reseau IPv6. Le reseau 6RAP (Reseau academique parisien ) qui est raccorde au backbone
de Jussieu dispose dùn acces RENATER3 IPv6 (Reseau National de Telecommunications pour la
technologie, l'Enseignement et la Recherche) et des services associes comme le M6bone : service de
diIIusion IP multicast.

La mission qui m'a ete conIie au sein de l'equipe de l'UREC a ete de deIinir et de raccorder un ensemble
d'entite reseaux permettant de realiser un ensemble de Ionctionnalites IPv6 (IPng : Internet Protocole
nouvelle generation - IPv6).

Ces Ionctions ont pour but dans un premier temps de Iournir les services de serveur de noms IPv6 (DNS),
de relais de serveur WEB IPv4 vers IPv6 et de point de raccordement pour la diIIusion Multicast en IPv6.
Dans un deuxieme temps, il s'agit de proposer une methodologie pour le deploiement de ces services
IPv6 dans les laboratoires du CNRS.

La mise en place de ces services t dfinie dans l'objectif principal de disposer dùn relais du
serveur WEB de l'UREC en IPv6 et dùn rseau de diffusion multicast IPv6. Les objectifs
secondaires tant de raliser ces services avec une topologie rseau IPv6 venant sìntgrer dans le
rseau de production existant sans le perturber.

L'UREC m'a permis dàcceder a lènvironnement reseau de recherche et de campus universitaire pour
accomplir ma mission. Jài eu le privilege d'assister a la conIerence "IPv6 : La renaissance" qui s'est
deroule du 11 au 13 juin 2003 qui mà permis de mieux comprendre les enjeux de lÌnternet prochaine
generation. C'est avec la combinaison de tous ces moyens que la realisation du reseau IPv6 UREC a pu
voir le jour. Je tiens a remercier l'ensemble des intervenants qui m'ont aide dans cette experience tres
enrichissante.

Un grand merci a toute lèquipe de lÙREC et aux contacts avec les services du CCR ( M. Christian
Hascouet et M. Sebastien Vautherot) et de RAP ( M. Lionel David). Ils m'ont permis de realiser avec
succes les experimentations decrites ci-dessous.
Page : 8 / 66
4. Contributions et raIisation du projet Ipv6 UREC

Ce rapport de stage analyse les scenarios permettant de mettre place un reseau IPv6 avec des services
applications. Làpproche retenue ici synthetise les procedures de mise en place du reseau IPv6 de lÙREC
pour permettre de les reutiliser ulterieurement.

Les objectiIs etant Iixes, M. Gautier m'a expose le travail pour realiser le reseau IPv6 en cinq parties.

1- Proposition d'une topologie reseau IPv6
2- Ajout des services DNS IPv6 et relais WEB
3- Disponibilite et administration du reseau Ipv6
4- Etude de NAT-PT
5- Raccordement Multicast IPv6 a Renater3 via RAP

La diversite de ces parties a mettre en place m'a conduit dans un premier temps a proposer un plan
d'etude pour decomposer ces cinq parties en modules. Ces modules sont reIerences avec un chiIIre et une
lettre, ainsi le module "3b" signiIie que c'est le deuxieme module de la troisieme partie. Chaque module
comporte un paragraphe portant sur lètude et un portant sur la realisation. Ce decoupage a permis
d'isoler les diIIerents problemes, dìdentiIier les interdependances et de relater dans un document
d'avancement les diIIicultes.
5. ConcIusion et synthse de Ia soIution

La proposition consistant a mettre en place un reseau IPv6 a lÙREC est viable avec quelques restrictions
qui peuvent tre levees dans une prochaine etude. La cohabitation des reseaux est encore une Iois
eprouvee et les services sàdaptent plutt bien.

Les systemes WINDOWS et UNIX sont operationnels pour le deploiement des stations de travail IPv6.
Ces systemes peuvent servir de routeur et de relais web IPv4- IPv6 avec des restrictions portant sur le
contenu et les acces securises. Les logiciels sont dotes dùne plus grande reactivite et dans le contexte
dùn Iaible debit sont tres interessants dùn point de vue perIormance/prix. On peut remarquer la Iiabilite
des systemes linux PLD (Itp.pld-linux.org) et ASPLINUX (www.asp-linux.com) qui sont une alternative
non negligeable.

Dans lènsemble peu dèquipements deja installes supportent IPv6. Les equipements dedies IPv6 (par
exemple 6Wind) sont plus complets dùn point de vue Ionctionnel et plus adaptes si le reseau IPv6
devient le reseau primaire, ce qui nèst pas encore le cas generalement.

La solution IPv6 envisagee au departement de lÙREC du CNRS permet de realiser un service relais de
site web IPv4 vers IPv6. La securisation du reseau est a ce jour realisee par des regles de Iiltrage statique
mais la conIidentialite des inIormations est assuree par HTTPS et les certiIicats. La separation des Ilux
Ipv4 et IPv6 au niveau serveur et routeur permet une non regression des services existants.

La proposition consistant a adjoindre un reseau IPv6 dans les laboratoires du CNRS est viable des
aujourd`hui. Cela permet dòIIrir les services WEB du CNRS en IPv6 dùne part et de diIIuser les medias
en IPv6 multicast dàutre part. Les equipements dàncienne generation CISCO peuvent tre mis a niveau
pour realiser les Ionctions de routage et de Iiltrage. Pour les Ionctions avancees, NAT-PT et PIM-SM, il
est preIerable de sòrienter vers des solutions recentes dediees comme celles de 6Wind ou dÌP InIusion.

Page : 9 / 66

6. Proposition d'une topoIogie rseau IPv6 (1ere partie)

Cette partie developpe lètude et la realisation dùn reseau IPv6 physique et logique. Les choix eIIectues
y sont determinants pour les services associes, developpes dans les parties suivantes. La presentation des
diIIerentes topologies est abordee ainsi que les aspects relatiIs au deploiement. Les aspects dìntegration
sont aussi notiIies. La premiere parie a ete subdivisee en sept modules:

Modules de la premiere partie :
a- Raccordement de l'UREC aux reseaux Renater 3 IPv6
b- Proposition d'une topologie IPv6 autonome
c- Preparation du CISCO 4700 pour IPv6
d- Choix d'une distribution Linux IPv6
e- ConIiguration du CISCO 4700 pour Ipv6
I- Installation de la distribution Linux
g- Integration et tests interconnexion unitaires

6.1. Raccordement de l'UREC au rseaux Renater 3 IPv6 (Module 1a)
6.1.1. Etude du raccordement Renater
Une problematique majeure dans ce type d'etude est l'analyse des contraintes de tous les intervenants
impliques dans l'interconnexion. Cette analyse doit mettre en evidence le type de raccordement entre
chaque tronon pour realiser l'interconnexion de bout en bout. Les tronons identiIies peuvent eIIectuer
une liaison IPv6 native ou une encapsulation IPv6 dans un VLAN (Virtual Local Area Network) 802.1Q.
Les intervenants exterieurs identiIies ici sont le (CCR : Centre de calcul Recherche et Reseau Jussieu) et
6RAP (Reseau Academique Parisien IPv6).

Il existe donc deux scenarios dìnterconnexion:

Dans le cas du scenario impliquant des entites supportant IPv6 nativement, on peut envisager un plan
de test permettant de veriIier l'acheminement dans chaque tronon. Les causes et les diagnostics sont
Iaciles a enumerer avec ping , traceroute ...

Dans le cas du scenario impliquant l'utilisation d'un tunnel ou d'un VLAN 802.1Q qui est un protocole
Iiable et bien matrise, il est beaucoup plus diIIicile dàpprehender les causes et les diagnostics sans
avoir acces a toutes les entites reseaux de la chane. L'application de ce scenario signiIie que ce module
sera dependant du module (1e) pour tre operationnel.

L'etude de la topologie reseau du site de l'UREC Paris correspond bien a une PME actuelle. Les entites
reseaux ne disposent pas du protocole IPv6. Le commutateur routeur dispose de 48 ports pour une dizaine
d'entites (serveurs compris). Le nombre de prises RJ45 moyen par piece est de six ce qui donne de bonnes
perspectives d'evolution. L'UREC dispose d'une salle machine avec une baie 19 pouces pleine hauteur
qui peut recevoir un routeur IPv6 et un serveur IPv6 supplementaire.

D'un point de vue technique, le type de commutateur-routeur sortant du site de Paris est determinant.
Celui-ci est un Foundry Fastiron 4802 : Il ne supporte pas IPv6 nativement, le choix d'un VLAN
802.1Q entre lÙREC et 6RAP devient alors un axiome.

Ce FastIron est raccorde au backbone de Jussieu qui lui aussi ne dispose pas a ce jour d'entite reseaux
supportant Ipv6 nativement.
Page : 10 / 66
Ce backbone a neanmoins la possibilite d'acheminer des VLAN 802.1Q vers d'autres sites interconnectes
avec lui, dont notamment 6RAP. Le site 6RAP vers lequel le VLAN doit tre achemine par le CCR
dispose de trois routeurs IPv6 interconnectes vers Renater3 et d'une interconnexion Ipv4 vers le backbone
.
6.1.2. RaIisation
Cette realisation comporte quatre etapes :
1. Parametrage du commut-routeur FastIron de LÙREC pour ajouter le VLAN n 920.
2. Parametrage du backbone de Jussieu pour acheminer ce VLAN a 6RAP.
3. Parametrage dùn des routeurs de 6RAP en accord avec le CCR pour recevoir le VLAN.
4. Parametrage du routeur 6RAP pour autoriser les Ilux IPv6 dans ce VLAN

La diIIiculte ici est de ne pas avoir une vue sur les equipements intermediaires pour connatre le
cheminement exact de VLAN. Cela permet aux intervenants une certaine souplesse pour leurs evolutions
Iutures.
6.1.3. Schma du Lien 802.1Q Renater3

Ethernet +V6 Natif
VLAN TAG 802.1Q
Ethernet + IPv4
Interconnection 6RAP - UREC
Back bone jussieu
UREC PAR8 UREC PAR8 UREC PAR8 UREC PAR8
Foundry Ipv4
UREC
6 RAP
Jussieu
Renater
3
Futur Reseau IPv6
Ce schema presente lìnterconnexion entre le reseau Renater 3 IPv6 et le site de LÙREC Paris. Cette
interconnexion ne peut tre IPv6 native parce que les entites reseau du backbone et de lÙREC ne le
supportent pas encore.
La methode consiste donc a creer un tunnel de type 802.1Q (Niveau 2) pour signer le traIic des
niveaux superieur sans en analyser le contenu. Cela permet de garantir une independance totale avec
les evolutions de IPng.

Cette topologie peut recevoir un reseau IPv6 independant et un reseau d'administration Ipv4 pour le
reseau IPv6.

N'ayant pas le contrle de l'ensemble des entites traversees, il est impossible de valider ce lien au niveau
2, cependant le parametrage est simple et bien matrise sur le routeur de sortie de L'UREC (FastIron). Le
seul moyen de valider le lien est d'executer les trois phases de test du module (1g) : Tests dìntegrations et
dìnterconnexions unitaires.
Page : 11 / 66

6.2. Proposition d'une topologie IPv6 autonome (Module1b )
6.2.1. Etude des topoIogies possibIes

Il existe deux propositions de topologie physique, lorsque l'on souhaite disposer d'un service IPv6 dans
une entreprise.

1- Mono cblage, une interIace reseau avec une double pile IPv4 et IPv6 par lien.
2- bi-cblage, une interIace reseau Ipv4 une interIace reseau Ipv6 par lien.

Si l'on considere le budget comme un Iacteur plus important que la stabilite de la solution, la topologie n
1 est a retenir. Cette topologie permet de simpliIier lìnstallation et les cots mais pas la resolution de
probleme. Cependant elle permet d'obtenir des resultats rapidement, surtout si l'on utilise des tunnels type
GRE (Generique Routing Encapsulation developpe par CISCO) qui permettent de s'interconnecter au
reseau IPv6 par exemple, sans modiIier le parametrage des entites reseaux. Bien entendu, les
perIormances sont moins bonnes que lorsque l'on transporte IPv6 de maniere native.

Si l'on souhaite dissocier les services IPv4 de ceux dÌPv6, il Iaut alors considerer la topologie n2 qui
permet de garantir une stabilite de l'existant et d'ouvrir les services IPv6 de maniere independante. Cette
solution plus visuelle, entrane un surcot mais elle permet une matrise totale des deux reseaux IPv4 et
IPv6. Elle est adaptee aux conIigurations serveur.

Dans notre cas, lòbjectiI etant dìsoler les Ilux IPv6 pour ne pas impacter le reseau IPv4, la topologie
N2 est donc plus adaptee. Il y a donc quatre interconnexions et deux sous-reseaux a etudier pour cette
topologie adaptee a lÙREC :

1. Interconnexion IPv6 6RAP-UREC : Lien vers Internet IPv6 (FastIron-Cisco 4700)
2. Interconnexion IPv6 UREC : Lien vers sous-reseau IPv6 UREC (FastIron-Cisco 4700)
3. Interconnexion IPv4 UREC : Lien vers sous-reseau IPv4 administration v6 UREC (FastIron-
Cisco 4700)
4. Interconnexion SERVEUR UREC IPv6 : Liens vers sous-reseau IPv6.

Le routeur CISCO doit donc disposer de 3 ports Ethernet libre minimum.

Le commut-routeur FastIron doit disposer de 7 ports min (ajout dùn switch possible pour chaque sous-
reseau)

Au niveau logique, le reseau IPv6 doit disposer dùn preIixe pour le site IPv6 de lÙREC et dùne adresse
IPv6 de lien pour se raccorder au site de 6RAP. Il est judicieux dàttribuer des VLANs a chaque sous-
reseau pour isoler et augmenter les perIormances.

Pour continuer, il est necessaire de constituer le plan d'adressage IPv6 et de deIinir le preIixe qui sera
utilise par l'UREC. La topologie n2 impose deux interIaces physiques donc il Iaut une adresse IPv4 et
une ou n adresses IPv6 par lien reseau.

Les entites reseaux utilisees sont decrites en page suivante :

Page : 12 / 66

Routeur CISCO 4700 :
Port N1 : Raccordement IPv6 6RAP-UREC vers VLAN Interco-IPv6 TAG 920
Port N2 : Raccordement IPv4 UREC vers VLAN URECP-IPv6mgt
Port N3 : Raccordement IPv6 UREC vers VLAN URECP-IPv6
Serveur UREC IPv6 :
Port N1 : Raccordement au VLAN URECP-IPv6mgt (IPv4)
Port N2 : Raccordement au VLAN URECP-IPv6

Site IP Adressage description
CCR V6 PreIixe 2001 :660 : 3302 :: /48 PreIixe disponible pour Jussieu Paris6
6RAP V6 PreIixe 2001 :660 : 2401 :: /48 PreIixe disponible pour 6 RAP
6RAP V6 2001 :660 : 2401 :2001 ::2 /64 Adresse de lien IPv6 6RAP-UREC
UREC V6 PreIixe 2001 :660 : 3302 :F :: /56 PreIixe disponible pour LÙREC
UREC V6 2001 :660 : 3302 :F :: 1 /128 Adresse de lien IPv6 UREC
UREC V6 2001 :660 : 3302 :F :: 11 /128 Serveur Quarks Linux UREC Web DMZ
UREC V6 2001 :660 : 3302 :F :: 12 /128 Serveur Quarks Linux UREC Web DMZ
UREC V4 194.57.138.0 /27 Sous Reseau UREC Administration IPv6
UREC V4 194.57.138.36 /32 Serveur Quarks Linux UREC Administration
6.2.2. Schma du pIan d'adressage
VLAN TAG 802.1Q
Interconnection 6RAP - UREC
Back bone jussieu
UREC PAR8 UREC PAR8 UREC PAR8 UREC PAR8
Foundry Ipv4
UREC
6 RAP
Jussieu
Renater
3
Rseau UREC IPv6 (niveau Physique)
PreIixe : 2001:660:3302:F::/64
Ce schema presente la topologie IPv6 de UREC PARIS. Le lien sìnterconnecte avec Renater
en IPv6 via le VLAN 920. Le lien alimente le sous-reseau IPv6 de lÙREC distribue par le
FastIron avec le VLAN UREC-IPv6. Le lien permet dàdministrer le CISCO 4700. Le lien
achemine le traIic IPv6 au serveur QUARKS. Le lien permet au serveur QUARKS dùtiliser les
ressources IPv4 de lÙREC.
2001:660:2401:2001::2/128 2001:660:3302:F::1x/64 x1 a F)
2001:660:3302:F::1/64 194.57.138.36/27
194.57.138.37/27
CISCO 4700
IPv6 IOS 12.2.T
1
2
3
5
4
IPv6 Natif
IPv4
N du lien
Serveur IPv6
1
2
3 4
5
1
2
4
3
5
V4
V6

Page : 13 / 66

6.2.3. RaIisation de Ia topoIogie sparant IPv6 et Ipv4 (cbIage)

Lìnterconnexion entre les diIIerentes entites ne presente pas de diIIicultes particulieres.
6.3. Prparation du CISCO 4700 pour IPv6 (Module 1c )
6.3.1. Etude

Il s'agit ici de recuperer la procedure de chargement du systeme d'exploitation (IOS) du routeur CISCO
4700 et de la bonne version de ce systeme. A ce jour les versions IOS IPv6 evoluent encore rapidement et
la compatibilite materielle n'est pas totale. L'obsolescence prematuree de certains equipements n'empche
pas d'utiliser des versions de tests ( BETA).

Pour trouver la bonne version, il Iaut avant tout Iaire l'inventaire des Ionctionnalites requises. Puis ensuite
veriIier que les caracteristiques de l'equipement sont adequates (memoire, ...).
Le CISCO 4700 utilise possede quatre interIaces 10 Mbits ethernet et une interIace ATM.

Les Ionctionnalites IPv6 necessaires sont :
1. IPv6 pour interIaces Ethernet : pour que l'on puisse dialoguer de maniere native en IPv6
2. Routage RIPng : Pour pouvoir recuperer les annonces de route IPv6.
3. ACLs V6: Pour realiser un Iiltrage.
4. NAT-PT: Pour Iaire de la translation de protocole.
5. PIM-SM et MLD: Pour mettre en place le Multicast.

La diIIiculte majeure ici est de disposer de l'IOS permettant d'implementer toutes ces Ionctions sur
l'equipement disponible. Apres de longues heures consommees sur le site www.cisco.com pour acquerir
la philosophie CISCO et le dit IOS, il a Iallu se rendre a l'evidence qu' il n'existait pas d'IOS de
production disposant de toutes ces Ionctionnalites reunies...

L'UREC pouvant disposer des ressources techniques de RAP et du CCR, il a ete possible d'obtenir des
versions IOS de tests couvrant partiellement toutes les Ionctionnalites.

Cet IOS est un 12.3 et lìmage du Iichier est c4500-is-mz.122-2.T4.bin
6.3.2. RaIisation

La procedure de chargement dùn IOS est dans le document CISCO SoItware Upgrade Procedure Ior
4700 . Il Iaut disposer dùn serveur TFTP sous Windows ou sous UNIX et copier le Iichier binaire sur
lèquipement en eIIaant lÌOS precedent avec la commande copy tftp flash .

Note: Attention ! la memoire de lèquipement doit tre suIIisante. Il est judicieux de brancher le Routeur
sur un courant secouru pendant lòperation.
Page : 14 / 66
6.4. Configuration du CISCO 4700 pour Ipv6 (Module 1e )

Note . Ce module est dependant des modules 1b et 1c.

6.4.1. Etude

La procedure de conIiguration IPv6 se trouve dans le document Implementing IPv6 Ior CISCO IOS
soItware . Les commandes IPv6 sont toutes precedees du mot cleI "ipv6" et sont similaires aux
commandes IPv4.

Pour correctement conIigurer le routeur, il Iaut analyser le schema de la topologie du module 1b pour
preparer la sequence de commande.

6.4.2. RaIisation

Dans l'ensemble les commandes ne presentent pas de diIIicultes pour la creation dìnterIaces IPv6 et de
routage RIPng.

Les etapes sont indiquees dans le document de CISCO mentionne ci-dessus
1. Se connecter au routeur en mode conIiguration
2. ConIigurer les interIaces avec la commande ipv6 address
3. Activer le mode IPv6 ipv6 enable et ipv6 rip enable
4. Sortir du mode conIiguration
5. Activer le routage RIPng ipv6 rip enable

Pour se connecter au routeur, il Iaut utiliser le cble de connexion au port console et un logiciel
dèmulation de terminal.

Làjout des adresses sèIIectue pour chaque interIace avec la commande ipv6 address avec les options de
lien local ou non.

Une attention particuliere doit tre apportee aux interIaces qui suivant le type de routeur peuvent
comporter plusieurs connectiques ( 10Base2, RJ45, AUI, ...) : il Iaut bien activer la bonne connectique.

VeriIier que les interIaces sont bien actives.

Dans le cas dùn essai en local, làctivation du routage nèst pas necessaire.

Ne pas oublier de sauvegarder la conIiguration.

Il est judicieux de proceder par etape successive, en conIigurant interIaces par interIaces en disposant d'un
serveur TFTP pour sauvegarder le Iichier de conIiguration. Cela permet de proceder a un retour arriere en
cas de dysIonctionnement. Les commandes ping et traceroute sur les entites sont salvatrices.

Page : 15 / 66
6.5. Choix d'une distribution Linux IPv6 (Module 1d )
6.5.1. Etude
Le portage sur Linux du premier code relatiI a IPv6 a ete realise en novembre 1996 (Voir Annexe Linux
et Ipv6). A ce jour, toutes les distributions disposent d'un noyau systeme superieur a la version 2.2.2 sont
capables d'implementer IPv6. Des tests de conIormite sont disponibles sur www.tahi.org .

La premiere question ici est : Quelle est la distribution Linux supportant IPv6 qui permet dèxecuter
correctement les applications necessaire aux services demandes ?

Un site incontournable pour choisir une distribution est http://www.bieringer.de/linux/IPv6/. La
consultation des groupes de discussion est un bon moyen pour valider son choix (groups.google.com)

Cependant, la problematique a resoudre ici est : Quelle est la distribution Linux qui Iacilitera le
deploiement IPv6 avec une automatisation maximum ?

En eIIet les serveurs aujourd'hui sont conIines dans la plus petite piece de l'entreprise, avec un seul, voir
pas d'ecran du tout. Il n'existe pas d'interIace graphique permettant la conIiguration IPv6 et permettant un
deploiement automatise : le parametrage de l'installation devrait tre modiIiable a posteriori et sans
relancer la procedure d'installation
6.5.2. RaIisation
Pour se conIormer aux objectiIs mentionnes dans les modules 1b,1d et 1I, les distributions pretendantes
sont RedHat (voir aussi www.ASPLinux.com ) et PLD Linux pour sa speciIicite a IPv6 et sa
predisposition au deploiement. Le choix en Iaveur PLD Linux a ete retenue par l'UREC. ConIorte sans
doute par les caracteristiques suivantes :

1.PLD-LINUX aujourd'hui dispose encore du meilleur support du protocole IPv6
2.L'installation peut tre automatisee avec un Iichier de conIiguration comprenant IPv6 et contrlee par le
port console (installation avec un PDA sans ecran dans la salle machine).
3.La securite n'est pas en reste avec lìnterIace rc-xinetd, le support des methodes d'authentiIication tel
que PAM, GASPI, TSL/SSL, SASL.
4. Un support total des RPMs, DEBIAN APTs, et dispose d'un outil de mise a jour POLDEK permettant
de combiner l'ensemble des sources de paquetages disponible sur le web.

PLD-LINUX, destinee aux administrateurs, demande neanmoins une etude approIondie pour Iaire
ressortir tous les avantages. Notamment l'etude des init-scripts qui conditionne tout le parametrage,
dont le reseau.

Trois versions sont couramment disponibles sur http://docs.pld-linux.org PLD Ra, Ac et PLD Rescue.
1. PLD Rescue permet de monter des services IPv6 sur nìmporte quel PC avec un ensemble dòutils
dàdministration consequent, le tout sur une cle USB de 64Mo ou un mini-CD. Monter un serveur
FTP pointant sur une partition NTFS du disque dur local est possible.
2. PLD Ra 1.0 existe depuis novembre 2002 et se trouve decline en plusieurs version dont Ra
3. PLD Ac 2.0 est sur le site CVS de www.pld-Linux.org .

Le choix se porte sur PLD Ra 1.0 pour sa stabilit.

Note . Pour des installations prevues en 2004 , la version AC 2.0 sera preIerable.
Page : 16 / 66
6.6. Installation de la distribution Linux (Module 1f )
6.6.1. Etude

L'acces haut debit etant democratise, il est commode d'utiliser les procedures d'installation via le reseau.
Cela permet de disposer automatiquement des correctiIs sans modiIier la procedure d'installation.

Lùtilisation du port serie relie a un PDA disposant du mode terminal est interessante pour realiser
lìnstallation dans les petites salles machines.

Dans le cas ou l'installation avec CD est de mise, il Iaut recuperer les signatures MD5 avec le Iichier
image ISO correspondant et Iaire la comparaison avant de graver le CD ( Itp://Itp.pld.org.pl).

Ce document ne suIIirait pas a decrire l'ensemble des recommandations, cependant de nombreux sites
web debattent sur le probleme. Le Iait de posseder de bonnes connaissances en architecture systeme est
un atout non negligeable.
6.6.2. RaIisation

Sur le serveur Itp://Itp.pld.org.pl se trouve le necessaire pour lìnstallation. Le manuel dìnstallation
PLD Linux distribution guide est disponible sur http://docs.pld-linux.org.

Lìnstallation a ete realisee avec une disquette de boot qui permet de sauvegarder le parametrage eIIectue.
Le parametrage inclut le partionnement, la conIiguration reseau et les services que l'on souhaite utiliser.
Le Iichier de parametrage peut tre modiIie ulterieurement installer.conI dont voici un extrait :

source="net"
source_device="http://fr2.rpmfind.net/linux/PDL/dists/1.0/"
source_filesystem="net"
net_device="eth0"
net_ipaddr="194.57.138.36"
net_ipaddr1="2001:660:3302:f::11/64"
net_prefix="27"
net_gateway="194.57.138.62"
net_dns="194.57.137.114"
net_v6="yes"
dest_devices="/dev/hda"
dest_devices_actions="make_new" ## attention! cette commande efface le disque.

Le partionnement est tres important. Il est judicieux de prevoir une partition boot de 512Mo et une
partition contenant les donnees. Une partition de 5Go est suIIisante pour le systeme et l'utilisation des
outils de copie de partition permettent d'eIIectuer des tests en evitant les regressions. Le disque dur du
serveur P4 IPv6 est de 80Go, cela permet de Iaire beaucoup de tentatives.

Le serveur dispose de plusieurs interIaces reseau la premiere detectee sera utilisee pour lìnstallation.
Pour connatre celle qui est utilisee il Iaut executer la commande lspci

La mise a jour vers un noyau 2.4.x s'eIIectue sans probleme avec l'outil universel POLDEK. La mise a
jour complete du systeme et des services sèxecute en une ligne de commande : poldek u.

Note 1 : Pour une premiere installation, la selection de tous les paquetages est recommandee
Note 2 : Activez les sites FTP supplementaires de PLD-Linux pour lòutil POLDEK . (/etc/poldek.conI)
Note 3 : La procedure permettant de deployer lìnstallation reste a ecrire en Ionction des besoins.

Page : 17 / 66
6.7. Intgration et tests d'interconnexions unitaires (Module 1g)

6.7.1. Dfinition du pIan de test

L'integration des modules 1a a 1d ensemble, par etape, pour permettre le diagnostique en cas de
probleme.

Les tests peuvent tre decomposes en trois phases:
Phase 1: Interconnexion locale UREC: module 1b, 1c, 1d, 1e, 1I
Phase 2: Interconnexion RAP : module 1a
Phase 3: Interconnexion WWW IPv6 : Partie n1 operationnelle.

La phase 1 est locale a l'UREC
1.1 VeriIication du bien Ionde de la topologie choisie
1.2 Execution de la commande Ping sur chaque interIace IPv6 et Ipv4
1.3 Execution de transIerts de donnees en IPv6 (TFTP, ...)

La phase 2 permet de valider lìnterconnexion IPv6 native entre l'UREC et RAP.
2.1 Execution de la commande Ping sur chaque interIace IPv6 et Ipv4
2.2 Test du lien en traant les annonces de route

La phase 3 valide la Partie n1
3.1 Parametrer un navigateur sur le serveur
3.2 Recuperer l'adresse IPv6 d'un site IPv6
3.3 Execution de la commande Ping sur cette adresse
3.4 Execution du navigateur avec làdresse sous la Iorme |2001 :660 :3302 :F ::11|
3.5 Execution du navigateur avec www.ipv6.org

6.7.2. Excution du pIan de test
Phase Test Description DiIIicultes Resultat
1 1 VeriIication Ipv4 non perturbe avec Ipv6 aucune OK
1 2 Execution Ping sur toutes interIaces ajoutees a l` UREC aucune OK
1 3 TFTP sur Quarks, copie IPv6 conIiguration CISCO 4700 Creation serveur TFTP OK
2 1 Execution Ping sur interIaces v6 entre UREC et 6RAP aucune OK
2 2 Execution traceroute entre UREC et 6RAP aucune OK
3 1 Acces www.ipv6.org avec DNS IPv4 aucune OK
3 2 Recuperer avec www.traceroute6.org aucune OK
3 3 Execution Ping avec IPv6 aucune OK
3 4 URL du navigateur avec IPv6 aucune OK
3 5 URL du navigateur avec www.ipv6.org puis site choisi
en arrtant lìnterIace IPv4
IIconIig eth0 down OK

Page : 18 / 66

7. Ajout du service DNS IPv6 (2eme Partie)

La deuxieme partie permet de Iournir deux services a l'ensemble des entites ayant un acces sur le serveur
IPv6 de l'UREC. Ces services permettent de Iaire une resolution de noms aux entites du reseau IPv6 de
l'UREC et de rediriger les requtes HTTP IPv6 vers le serveur HTTP IPv4 de l'UREC.

Modules constituant la deuxieme partie:

a - Installation et parametrage du service DNS IPv6.
b- Procedure de test du service DNS IPv6.
c- Choix d'un relais Web IPv4 - IPv6
d Procedure de test du service Web IPv6.

7.1. Installation et paramtrage du service DNS IPv6 (Module 2a )

7.1.1. Etude

Le service de resolution de noms (DNS) permet de correler une adresse IP a un nom dans le cadre de
reseaux etendus. Ce systeme de nom de domaine consiste en une hierarchie de noms permettant de
garantir l'unicite d'un nom dans une structure arborescente. L'application de ce procede est identique en
Ipv6 (RFC1886) avec l'ajout d'un nouveau type d'enregistrement "AAAA" dans la classe IN. Une entite
aura autant d'enregistrements que d'adresses IPv6 (cardinalite 1-1). Le service DNS IPv6 de l'UREC est
de type statique, les possibilites dynamiques liees aux procedes d'auto-conIiguration ne sont pas utilisees.

L'installation ressort de la procedure classique (ConIigure, make, make install) de làpplicatiI Bind 9.2.x
pour supporter IPv6 et peut tre etudie avec :

http://www.ipv6.asti.dost.gov.ph/repository/DNSbyDenis.ppt

La problematique essentielle reside dans le parametrage et le transIert de zone (RFC 1912). Il existe deux
options de parametrage :

soit le serveur de nom est global au site et doit resoudre les requtes IPv6 et IPv4. Dans ce cas, dans la
classe IN il y aura deux types d'enregistrements : "A" et "AAAA".
Soit le serveur de nom est dedie Ipv6 et ne contient que des enregistrements de type "AAAA".

Dans tous les cas, des noms peuvent tre associes aux interIaces disposant d'une ou de plusieurs adresses
IPv6, aux adresses de liens locaux, aux adresses compatibles IPv4 et aux adresses IPv4 mappees.

Les transIerts de zone presentent des diIIicultes en Ionction du niveau de compatibilite IPv6 des serveurs
de noms secondaires si ils utilisent un programme Bind inIerieur a 8.2.2-P5.

Pour Iaciliter les tests et la maintenance, les Iichiers de parametrages doivent tre Iacilement
identiIiables :
named.conI associe les Iichiers zone qui sont /var/named.data/UREC6/. (voir annexes)

Page : 19 / 66
7.1.2. RaIisation avec Bind 9.2.1

Cela consiste a ecrire le Iichier Named.conI ou il Iaut ajouter listen-on-v ] any; }; dans les
options et les Iichiers Zone associes pour permettre la resolution du nouveau reseau IPv6
2001 :660 :3302 :F ::/64. Le Iichier localhost.rev pour la partie reverse en local (127.0.0.1 pour IPv4
et ::1 pour IPv6). Ces Iichiers sont disponibles en annexes.

Les zones sont diIIerentes pour IPv4 et IPv6 pour ne pas impacter le DNS v4 de lÙREC.
IPv4 : ipv6.urec.cnrs.Ir
IPv6 : urec6.cnrs.Ir

- Les zones directes :

Enregistrement A pour IPv4 et AAAA pour IPv6
Resolution du nom a partir de làdresse
exemple: quarks IN AAAA 2001:0660:3302:F::11
- Les zones inverses:

Resolution du nom a partir de làdresse
IPv6 : deux arborescences
ip6.int (administre par lÌTU)
ip6.arpa (administree par lÌETF), Iutur remplaant dìp6.int

Fonctionnement :
Renverser les adresses, par demi-octet, separes par des . (notation nibble ) :
$ORIGIN 2.0.3.3.0.6.6.0.1.0.0.2.ip6.int.
1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.I.0.0.0 IN PTR quarks.urec6.cnrs.Ir.

Il existe une seconde notation reverse IPv6 se nommant Bitstring , mais celle-ci est pour
lìnstant abandonnee. (ex : \|200106602001\48|.ip6.arpa)

Pour ameliorer les perIormances, il est souhaitable dàdherer au DNS secondaire IPv4 de lÙREC.

Note : Les possibilites de Iiltrage des nom view et de liste dàcces sont particulierement interessantes
en IPv6 (plusieurs adresses pour une interIace) pour isoler et proteger des services.

Note : Le DNS v6 de lÙREC est operationnel en local et devra tre secondaire du DNS de 6RAP pour
tre vu dìnternet.
7.2. Procdure de test du service DNS Ipv6 (Module 2b )

La procedure de test unitaire consiste a veriIier la correlation entre une adresse et un nom donne. Cette
procedure peut tre decomposee en trois phases:

7.2.1. PIan de test DNSv6

La procedure de test global consiste a veriIier les regles etablies dans les RFCs 1886 et 1912. Cette
procedure diIIere suivant que le service DNS est visible ou non d' Internet. Lorsque le service est visible,
l'utilisation d'un veriIicateur de zone et d'integrite disponible sur Internet permet de valider le service.
Dans le cas contraire, il Iaut installer le veriIicateur de zone sur le reseau local.
Page : 20 / 66

Phase 1: Service DNS lance et actiI:
1.1 VeriIication de l'etat de lèxecution du service.
1.2 Lecture des journaux du systeme et du service.

Phase 2: Test de correlation adresse-nom et nom-adresse:
2.1 Utilisation de l'outil "nslookup"
2.2 Validation avec l'outil "digue"

Phase 3: Test global de conIormite aux RFCs
3.1 Installation de ZoneCheck V2 sur le serveur Quarks
3.2 Test du DNS v6 avec ZoneCheck V2
3.3 Relie le DNS v6 de lÙREC au DNS primaire
3.4 Test du DNS v6 avec ZoneCheck V2 via le web

1 1 Test unitaire avec named g SigniIication des
messages dèrreurs
OK
1 2 Lecture de dmesg, syslog, named.log SigniIication des
messages dèrreurs
OK
2 1 Test avec nslookup set qany des noms et en
sàidant de man nslookup et de man dig
Aucune OK
2 2 Contrle de coherence avec dig Coherence totale OK
3 1 Install a partir de www.zonecheck.Ir (NIC France) Ajout du langage Ruby OK
3 2 Test local sur la zone urec6.cnrs.Ir Les messages dèrreurs
Iont reIerence aux RFCs
OK
3 3 Relier urec6.cnrs.Ir au DNS de 6RAP Non realise Non realise
3 4 Test a partir de www.zonecheck.Ir Non realise Non realise

8. Mise en pIace d'un reIais web IPv4 vers IPv6
8.1. Choix d'un relais Web IPv4 - IPv6 (Module 2c)
8.1.1. Etude

Le service Web de lÙREC est generalement accessible en IPv4, ajouter un acces IPv6 demande une
analyse approIondie tant le probleme est complexe (RFCs 2893, 2185, 2766, 2667). En eIIet, la chane
des entites qui vehiculent les requtes HTTP doivent supporter IPv6 (pare-Ieu, AuthentiIication, cryptage,
routeurs, Fournisseur d'acces, ...).

Les scenarios sont multiples et beaucoup de tentatives sont presentes sur le Web : Utilisation d'un serveur
Ipv4 et d'un serveur IPv6 ou d'une double-piles sur toutes les entites, d'un "reverse proxy", d'un
"64bouncer" ... Il existe aussi du code en langage C au niveau socket permettant de remplir la Ionction de
translation de protocole sous Unix et Windows (www.hs247.com) qui peuvent tre utilises vu le Iaible
traIic engendre en IPv6. Chaque solution pose diIIerents problemes qui peuvent tre regroupes de la Iaon
suivante:
Page : 21 / 66

Enumeration des problemes :
1. Par-Ieu: Pas ou peu de par-Ieu compatible IPv6
2. Filtrage: Pas de modele de Iiltrage disponible
3. Securite: translation de session SSL IPv6 Ipv4
4. Stabilite: introduction IPv6 avec IPv4
5. Erreur de Liens sur serveur IPv4.

La problematique ici est la suivante: Comment disposer de l'acces IPv6 sur le service Web de lÙREC
sans perturber le Ilux Ipv4 existant ?

Pour minimiser l'inIluence sur le service web, la solution la plus Iacile a implementer est l'utilisation d'un
"Reverse -Proxy". Premierement, un "reverse-proxy" ne requiert aucune modiIication du service Web
IPv4 puisque c'est une redirection. Deuxiemement, la resolution de probleme est Iacilitee puisque c'est un
service debraillable. EnIin, il n'y a aucune modiIication des mecanismes de securite IPv4 mise en place.
Cela garantit une evolution saine et progressive du service Web vers IPng.

Pour rendre disponible le site www.urec.cnrs.Ir en IPv6 via le serveur quarks.urec6.cnrs.Ir il Iaut
considerer les applications Squid et Apache qui disposent dùn reverse proxy. Dàutres plus speciIiques
comme wwwoIIle, 46Bouncer (http://netgroup.polito.it/46bouncer), Prometeo (http://prometeo-
proxy.sourceIorge.net) et le projet Vermicelli (www.vermicelli.pasta.cs ) sont a evaluer.

8.1.2. Schma d'intgration d'un reIais Web IPv4 vers IPv6

8.1.3. RaIisation avec Apache 1.3.27

Le choix pour lèxperimentation sèst porte sur Apache 1.3.27 pour son aptitude en gestion de sessions
SSL. Apache dispose dùn module proxy qui Ionctionne en Iorward et Reverse . La Ionction
Iorward permet dènvoyer les requtes HTTP a leur place pour les proteger. La Ionction Reverse
eIIectue le mme traitement au niveau des serveurs : lorsque quùn serveur reoit une requte il reconnat
comme adresse source làdresse du proxy.
Page : 22 / 66

Le parametrage dàpache httpd.conI consiste a realiser les actions suivantes :
1. Ouvrir lècoute du port 80 pour IPv6 Listen ::80
2. Ne plus ecouter le port 80 pour IPv4
3. Positionner le nom du serveur ServerName quarks.ipv6.urec.cnrs.fr
4. Activer le module proxy ProxyRequests on
5. Ajouter un serveur virtuel NameVirtualHost 2001:660:3302:F::11
6. Paramtrer le serveur virtuel :
<VirtualHost [2001:660:3302:F::11]:80>
ProxyPass / http://www.urec.cnrs.fr/
ProxyPassReverse / http://www.urec.cnrs.fr/
</VirtualHost>

Note 1: Le support d'IPv6 dans un service Web pose de nombreux problemes dans une topologie ou les
Ilux v4 et v6 sont separes. Il n`y a pas encore de solutions generalisees.

Note 2 : Une solution pour resoudre les erreurs de liens consisterait a toujours retourner une URL Iixe
quelque soit la navigation.
8.2. Procdure de test du service Web IPv6 (Module 2d )

8.2.1. PIan de test accs au Web IPv4 via IPv6

La procedure de test unitaire consiste a veriIier sur une entite IPv6 l'acces au service Web via le relais
proxy. Pour chaque etape il Iaut consulter les journaux dans Consulter les journaux dans /var/log/httpd/.
Cette procedure peut tre decomposee en trois phases:

Phase 1: Acces au service par l'adresse IPv6 du serveur IPv6:
1.1 Ping IPv6 sur le relais.
1.2 Lancement d'un navigateur avec l'adresse du relais.
1.3 VeriIication du contenu de la page principale
1.4 VeriIication de làcces aux pages sous-jacentes
1.5 VeriIication de làcces des liens sur les autres sites

Phase 2: Acces au service par le nom du serveur IPv6:
2.1 Le DNS IPv6 doit tre visible
2.2 Lancement d'un navigateur avec le nom de la passerelle.
2.3 Re-derouler les etapes 1.3 a 1.5

Phase 3: Test global d'accessibilite

La procedure de test global consiste a veriIier que l'on peut acceder aux services Web de n'importe ou.
Pour cela, plusieurs techniques peuvent tre employees:
3.1 Via des services Web IPv6 www.IPv6.org
3.2 Via un tunnel www.Ireenet6.com
Page : 23 / 66


1 1 Ping 2001 :660 :3302 :F::11 aucune OK
1 2 Lancement de Mozilla avec |2001 :660 :3302 :F::11| aucune OK
1 3 Comparaison source page avec celle en IPv4 aucune avec Ic OK
1 4 VeriIication de làcces aux pages sous jacentes. aucune OK
1 5 VeriIication de làcces des liens sur les autres sites Liens externes a lÙREC KO
2 1 Le DNS IPv6 doit tre visible aucune OK
2 2 Acces avec URL quarks.urec6.cnrs.Ir aucune OK
2 3 VeriIication de làcces aux pages sous jacentes. Les
URL externes aux sites ne sont pas accessibles.
Liens externes a lÙREC OK
3 1 Via des services Web IPv6 www.IPv6.org Non realise Non realise
3 2 Via un tunnel www.Ireenet6.com Non realise Non realise

Notes :
Làcces IPv6 via un proxy a un serveur Web est operationnel. Cependant les problemes potentiels
enumeres dans lètude sont reels. Le probleme des erreurs de liens qui surgissent lors de re-
direction vers des sites web IPv4 secondaire reste entier. Ces erreurs sont nuisibles et coteuses a
corriger surtout sur des sites commerciaux.

La modiIication des liens errones un a un n'est pas envisageable, d'autres solutions sont a
envisager comme la reecriture des URLs cte proxy ou serveur web. Lìdeal etant de retourner
une URL constante www.urec6.cnrs.Ir quelques soient les requtes HTTP du client. Un proxy
DNS v4-v6 est peut tre a envisager comme palliatiI.

LÌntranet ici securise, nà pas ete accessible. Cependant le probleme se trouve au niveau des
certiIicats. Dans la 3eme partie, le module SSL IPv4 vers IPv6 est valide.
9. DisponibiIit et administration du rseau Ipv6 (3eme Partie)

Cette partie propose des outils dàdministration de reseau, elle decrit une approche possible de
l'administration d'un reseau IPv6 avec pour support làjout de liste dàcces (ACLs). A ce jour, il n'y a pas
d'administration de reseau IPv6 utilisant le reseau IPv6.

L'administration de reseau se traduit souvent par la mise a disponibilite ou non d'une ressource. Les
techniques permettant de rendre disponible une ressource se traduisent souvent par un Iiltrage. Le Iiltrage
des ressources en IPv6 est un sujet d'actualite et peu de recommandations existent.

Modules constituant la troisieme partie:

a- Les outils d'administration de reseau et de services via le Web IPv6
b Les listes d'acces sur les entites IPv6

Page : 24 / 66
9.1. Les outils d'administration du rseau et des services via le Web
IPv6 (Module 3b )
9.1.1. Etude des outiIs disponibIes
L'administration est une tche ardue sans outils. La consultation de journaux, le parametrage et la gestion
des alarmes se trouvent simpliIies lorsque ces travaux sont eIIectues via une interIace adaptee.
Avant de Iaire une demande dàchat pour une station HP open view, il est possible dùtiliser MRTG V2,
NETCAT6, NETSAINT. sachant que le traIic IPv6 est Iaible et quìl est diIIicile dòbtenir les MIBs:
(Management InIormation Base). Les applications proprietaires disposent de peu de Ionctionnalites IPv6,
par contre lànalyse de trame via un port miroir et Ethereal Ionctionne.

L'administration de services DNS, Web, Proxy ... via une interIace Web est plus courante mme en IPv6.
Cependant l'acces au mode commande est indispensable et le transport de l'inIormation doit tre securise.

La problematique de ce module est de trouver un produit capable d'administrer des entites reseau IPv6
pour administrer les ACLs via les reseaux IPv6 et Ipv4 avec une interIace conviviale. Le produit retenu
doit permettre làdministration du routeur CISCO IPv6 et des services DNS, WEB, de journalisation.

Làcces telnet nètant pas securise, le mode SSL (Secure socket Layer) doit tre utilise. Cela permettra
de mettre en application le passage dùne session SSL entre IPv4 et IPv6.

9.1.2. RaIisation avec webmin 1.090
Un des produits repondant a ces criteres est Webmin (www.webmin.com ). Disponible sur toutes les
plates-Iormes UNIX, deploye dans les produits Unix SOLARIS et HP. Il est base sur une architecture
modulaire qui est ecrite en Perl.
Webmin permet de parametrer tous les services Unix et il dispose des acces Telnet et SSH. Il sèxecute :
sur un petit serveur web IPv4 miniserv.pl . Pour permettre son acces en IPv6, il Iaut appliquer la mme
demarche que pour le relais proxy Web de lÙREC en ajoutant des regles de reecriture dÙRL pour Iixer
làrborescence.

Lìnstallation sur Quarks doit tre Iaite avec le RPM Iourni pour PLD : webmin 0.9.x . Il Iaut ensuite
utiliser la procedure de mise a jour disponible dans lìnterIace de conIiguration de Webmin en modiIiant
la signature du systeme dèxploitation en RedHat 7.3.

Pour acceder en IPv6 a Webmin, la creation dùn serveur virtuel est necessaire dans Apache. Il est
judicieux dùtiliser une nouvelle adresse pour mieux gerer la disponibilite du service comme cela est
indique ici :
<VirtualHost [2001:660:3302:F::12]:1028>
DocumentRoot /home/httpd/html/test
ServerName quarks.urec6.cnrs.fr
ErrorLog /var/log/httpd/webmin_1028.ipv6-error_log
CustomLog /var/log/httpd/webmin1028.ipv6-accesslog combined
RewriteEngine on
RewriteLog /var/log/httpeRule ^/(webmin)/(.*)$ http://194.57.138.36:9999/$1/$2 [NC,P]
RewriteRule ^/(.*)/(.*)/$ http://194.57.138.36:9999/$1/$2 [NC,P]
RewriteRule ^/(.*)$ http://194.57.138.36:9999/$1 [NC,P]
</VirtualHost>

Note : Le mecanisme des re-ecriture de regle est diIIicile a apprehender au premier abord.

Page : 25 / 66
9.1.3. Interface Web Ipv6 d'administration du serveur Quarks de L'UREC

Home Page
Feedback..
Version 1.090 on quarks (PLD Linux Ra 1.0 |kern 2.4.20|)

Webmin System Servers Networking Hardware Cluster Others

9.1.4. Interface web de gestion des interfaces rseau

Interfaces Active Now
Add a new interIace
Name Type IP Address Netmask Status
eth0 Ethernet 194.57.138.36 255.255.255.224 Up
ipsec0 Unknown 194.57.138.36 255.255.255.224 Up
lo Loopback 127.0.0.1 255.0.0.0 Up
Add a new interIace

Interfaces Activated at Boot Time
Add a new interIace
Name Type IP Address Netmask Activate at boot?
eth0 Ethernet 194.57.138.36/27 Automatic Yes
eth1 Ethernet 2001:660:3302:I::11/64 Automatic Yes
Conf ig carte ethernet 1 [Etape 1]

Edition du Iichier de conIiguration de l'interIace reseau
eth1: /etc/sysconIig/interIaces/iIcIg-eth1
Edit Iile editor
Recherche Conf ig Pv6 sur Serveur Quarks

Edit command
Activit rseaux

ConIiguration reseau, Etat du reseau,
Liste des ports utilises
Edit command
Marche-Arrt Lien Pv6

EIIectue un iIconIig down puis up sur la
carte Ethernet 1 (eth1)
Edit command

Note : PLD-Linux genere au demarrage les Iichiers de conIiguration avec les init scripts : toutes
modiIications sur ces Iichiers se trouvent perdues au prochain demarrage.

Note : Ces blocs de commandes etendues ont ete realises speciIiquement pour le reseau IPv6 UREC.

9.2. Les listes d'accs sur les entits IPv6 (Module 3a )
9.2.1. Etude

Page : 26 / 66
Les listes d'acces sont aujourd'hui sur tous les services applications et sur tous les equipements reseau.
Les services DNS, Squid, Apache disposent de mecanisme de Iiltrage diIIerent avec une granularite
variable. Les equipements Commutateur, Routeur IPv6 sont dotes de listes d'acces qui permettent
d'eIIectuer un Iiltrage analogue a celui pratique en IPv4 si l'on considere une topologie de reseau statique.
Le cas d'une topologie dynamique n'est pas etudie ici.

La politique de securite de l'UREC, preconise un contrle d'acces au niveau des equipements et non des
services. Cela permet dans le cadre du reseau IPv6 de concentrer le Iiltrage sur le routeur IPv6. Le Iiltrage
doit empcher les connections distantes sur le serveur IPv6 de type Telnet, SSH, sachant que les autres
services ne sont pas installes.

La problematique ici consiste a etablir les listes d'acces sur les interIaces IPv6 du routeur CISCO 4700
pour rendre disponible l'acces au DNS et au Web et indisponible pour toutes les autres connexions venant
.de lèxterieur.
Les ACL sont des Ionctions appliquees a chaque paquet IP transitant a travers le routeur et qui ont pour
parametres :
l'adresse IP de l'emetteur du paquet
l'adresse IP du destinataire du paquet
le type du paquet (tcp, udp, icmp, ip)
le port de destination du paquet
Pour un paquet donne, l'ACL prend deux valeurs
deny : le paquet est rejete
permit : le paquet peut transiter par le routeur
Le sens du traIic peut tre precise, c'est a dire en entre ou en sortie :
Une ACL de type in associee a une interIace, contrle le traIic qui entre dans le routeur par cette
interIace.
Une ACL de type out associee a une interIace, contrle le traIic qui quitte le routeur par cette interIace.

Attention : les ACL ne s'appliquent qu'au traIic en transit et pas au traIic genere par le routeur lui-mme.
Par exemple, le traIic resultant d'une connexion telnet vers le routeur n'est pas soumis aux ACL.
Page : 27 / 66

9.2.2. RaIisation

La mise en place des ACLs sèIIectue via le port console du routeur CISCO 4700, a partir dùne session
telnet executee dans Webmin.

Les criteres de disponibilite suivants doivent tre veriIies :
1. Autoriser làcces aux utilisateurs interne a lÙREC
2. Autoriser làcces au serveur Web de lÙREC a tout le monde dans la DMZ (Zone demilitarisee)
du serveur Quarks (2001:660:3302:F::11)
3. Interdire tous les autres acces sur làdresse 2001:660:3302:F::11
4. Autoriser làcces au serveur Web dàdministration de lÙREC au reseau 2001:660:3302::/64
dans la DMZ (Zone demilitarisee) du serveur Quarks (2001:660:3302:F::12)
5. Interdire les connexions initiees de lìnternet vers la zone protegee.
6. Generer un journal des tentatives de connexions interdites.

La diIIiculte ici est le manque de recul Iace aux attaques potentielles en IPv6. Lèvaluation des attaques
est dàutant plus compliquee avec les mecanismes dàuto-conIiguration.

2001:660:3302:F::/64
Zone protg
Ethernet-3
Ethernet-2
IPv6 ACLs UREC
DMZ:Serveur QUARKS ::11
Non utiIise
ipv6 access-list vty
deny ipv6 any any log-input
line vty 0 4
ipv6 access-class vty in
ipv6 access-list dmz-in6
permit ipv6 host 2001:660:3302:F:11 any
ipv6 access-list internal-in6
permit tcp 2001:660::/64 any reflect internal-tcp
permit udp 2001:660::/64 any reflect internal-udp
permit icmp 2001:660::/64 any
permit icmp any any router-solicitation
ipv6 access-list internal-out6
evaluate internal-tcp
evaluate internal-udp
permit icmp any 2001:660::/64 echo-reply
ipv6 access-list exterior-in6
evaluate exterior-tcp
evaluate exterior-udp
remark Allow access to http server on the DMZ
permit tcp any host 2001:660:3302:F::11 eq www
permit tcp any host 2001:660:3302:F::12 eq www
permit tcp any host 2001:660:3302:F::11
range 49152 65535
permit icmp any any echo-reply
permit icmp any any unreachable
deny ipv6 any any log-input
ipv6 access-list exterior-out6
permit tcp 2001:660::/64 any reflect exterior-tcp
permit udp 2001:660:;/64 any reflect exterior-udp
interface ethernet-0
ipv6 address 2001:660:2401:2001::2/64
ipv6 traffic-filter exterior-in6 in
ipv6 traffic-filter exterior-out6 out
ipv6 address 2001:660:3302:F:1000::1/80
ipv6 traffic-filter internal-in6 in
ipv6 traffic-filter internal-out6 out
ipv6 address 2001:660:3302:F::1/64
ipv6 traffic-filter dmz-in6 in
Internet Via RAP Eth0
2001:660:2401:2001::2/48

Page : 28 / 66

9.2.3. PIan de test administration Serveur et Routeur

La procedure de test consiste a veriIier làcces a làdministration des services du reseau Ipv6 de lÙREC.

Phase 1: Administration Serveur
1.1 Acces Webmin en Ipv4.
1.2 Acces Webmin en Ipv6.
1.3 Administration du DNS Quarks V6 avec le module Webmin Bind.
1.4 Administration du WEB Quarks V6 avec le module Webmin Apache
1.5 Administration des interIaces reseaux

Phase 2: Administration Routeur:
2.1 Le DNS IPv6 doit tre visible
2.2 Lancement d'un navigateur avec le nom de la passerelle.
2.3 Re-derouler les etapes 1.3 a 1.5

Phase 3: Test global d'accessibilite

La procedure de test global consiste a veriIier que l'on puisse acceder aux services Web de n'importe ou.
Pour cela, plusieurs techniques peuvent tre employees:
3.1 Via des services Web IPv6 www.IPv6.org
3.2 Via un tunnel www.Ireenet6.com

1 1 Ping 2001 :660 :3302 :F::11 aucune OK
1 2 Lancement de Mozilla avec |2001 :660 :3302 :F::11| aucune OK
1 3 Comparaison source page avec celle en IPv4 aucune OK
1 4 VeriIication de làcces aux pages sous-jacentes. Sans lien externe
au site UREC
IPv4. Ni Intranet
OK
1 5 VeriIication de làcces des liens sur les autres sites aucune KO
2 1 Le DNS IPv6 doit tre visible aucune OK
2 2 Acces avec URL quarks.urec6.cnrs.Ir aucune OK
2 3 VeriIication de làcces aux pages sous-jacentes. Les
URL externes au site ne sont pas accessibles.
Sans lien externe
au site UREC
IPv4. Ni Intranet
OK
3 1 Via des services Web IPv6 www.IPv6.org DNS Primaire Non realise
3 2 Via un tunnel www.Ireenet6.com DNS Primaire Non realise

Page : 29 / 66
10. TransIation de protocoIe IPv4 vers IPv6 (4eme Partie)
10.1.1. Etude de NAT-PT

IPv6 resout le probleme de l'adressage, cependant une longue periode de transition va s'eIIectuer pendant
la transition IPv4 vers IPv6. Pour perenniser la stabilite acquise sur les reseaux Ipv4, le besoin d'un
mecanisme de translation s'est renIorce. La solution NAT-PT (RFC 2766 Network Address Translation
Protocol translation) est apparue par opposition aux entites utilisant une double-pile.

NAT-PT : la Iusion de deux concepts :

NAT (RFC 1631) est un procede de traduction d'adresse prive IPv4-IPv6 pour tout ou partie d'un site.
Les adresses ainsi traduites ne permettent pas de communiquer vers lèxterieur. Un routeur de sortie,
disposant d'un pool d'adresses oIIiciel convertit les requtes privees en une requte publique. Le
concept de bout en bout est donc brise. De plus, l'acces aux ressources securisees necessite une gestion
de cle deux Iois plus importante.

NAT-PT (RFC 2766) realise en plus du procede precedant, une translation de protocole entre IPv4 et
IPv6. Cela permet le dialogue entre une entite IPv4 et une entite Ipv6.

La topologie reseau IPv6 de l'UREC conduit inevitablement a positionner le service NAT-PT sur le
routeur IPv6. Celui-ci etant un CISCO, les translations sont a ce jour limitees aux services DNS et ICMP
par lÌOS utilise. Dàutres restrictions comme pour les protocoles de securite de bout en bout ou la
Iragmentation de paquet subsistent.

La problematique de cette partie est de disposer de l'IOS incluant la Ionctionnalite NAT-PT pour le
routeur IPv6 de l'UREC.
10.1.2. RaIisation

Il nèxiste pas de version IOS pour le CISCO 4700 disponible qui implemente la Ionction NAT-PT,
mme en version BETA.
Page : 30 / 66
11. Raccordement MuIticast IPv6 Renater3 via RAP (5eme
Partie)

Le transIert audio-video numerise sur Internet au niveau applicatiI est assure par RTP (Real time
Transport Protocol) qui se materialise par des Ilux de paquets UDP. Le multicast (une entite source, n
entite receptrices) par rapport a l'unicast consomme moins de bande passante et diminue la charge des
entites emettrices qui n'ont plus qu'un seul Ilux par canal a generer. Pour permettre ces optimisations, les
protocoles de diIIusion de groupe et de detection dàbonnes ont ete realises.

Le protocole MLD (RFC 2710: Multicast Listener Discovery) permet de gerer les groupes dàbonnes
dans des domaines. Cèst sur làdresse Multicast FF02::1 que la decouverte des abonnes sèIIectue. Les
messages MLD sont vehicules dans des paquets ICMPv6. Le protocole de routage multicast PIM se base
sur les tables de routage pour gerer les points de rendez-vous et les abonnes.

Pour recevoir des Ilux multicast a lÙREC, il Iaut que le routeur CISCO 4700 connaisse le point de
rendez-vous du reseau de 6RAP pour recevoir les annonces de diIIusion.

Le raccordement peut tre compose en cinq modules:
a- Raccordement du routeur CISCO au point de rendez-vous de RENATER via 6RAP.
b- ConIiguration d'une station pour les applications multicast.
c- Test en reception de canaux multicast.
d- Presentation Routeur Linux IPv6 avec PIM-SM.
e- Test en reception de canaux multicast.

Deux topologies sont proposees pour realiser la diIIusion multicast :
1. Une premiere phase avec une topologie permettant de valider la Ionctionnalite PIM-SM sur le
routeur CISCO avec un abonne sous Linux.
2. Une deuxieme phase en utilisant le CISCO 4700 en simple routeur et en conIigurant Linux en
routeur PIM-SM. La validation se Iera avec un abonne sous Windows 2000
11.1. Schma Multicast avec routeur CISCO
F o u n d r y I p v 4
U R E C
P h a s e 1 : v i a u n r o u t e u r C I S C O
U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6 U R E C M u l t i c a s t p v 6
V 6 N a t i f
T u n n e I v 6 u n i c a s t
V L A N T A G 8 0 2 . 1 Q
R e n a t e r
3
C i s c o 4 7 0 0
P I M - S M V 6
S t a t i o n
R e d H a t 8 . 0
V i c & R a t
2 0 0 1 : 6 6 0 : 2 4 0 1 : 2 0 0 1 : : / 6 4
2 0 0 1 : 3 3 0 2 : F : : / 6 4
: : 1
: : 1 1
R s e a u
c a m p u s
J u s s i e u
6 R A P
: : 2
R s e a u U R E C I P V 6 M u I t i c a s t ( n i v e a u I o g i q u e )
L e r e s e a u R E N A T E R 3 e s t a c c e s s i b l e v i a u n t u n n e l u n i c a s t I P v 6 .
L e r o u t e u r C I S C O a r e j o i n t l e p o i n t d e r e n d e z - v o u s d e 6 R A P .
L e I l u x m u l t i c a s t I P v 6 e s t a c h e m i n e j u s q u ` a u r o u t e u r C I S C O .
L a s t a t i o n V i c & R a t s ` a b o n n e a u n e d i I I u s i o n a v e c S D R .

Page : 31 / 66
11.2. Schma Multicast avec routeur Linux
Foundry Ipv4
UREC
Phase 2: via un routeur ZebOS
UREC Multicast pv6 UREC Multicast pv6 UREC Multicast pv6 UREC Multicast pv6
V6 Natif
TunneI v6 unicast
VLAN TAG 802.1Q
Renater
3
Cisco 4700
PIM-SM V6
Linux 2.4.18-3 Router
ZebOs PM-SMV2
Station Vic
& Rat
2001:660:2401:2001::/64
2001:3302:F:1001::/80
::1
::11
::15 ::130
Rseau
campus
Jussieu
6RAP
::2
Rseau UREC IPV6 MuIticast (niveau Iogique)
Le reseau RENATER3 est accessible via un tunnel unicast IPv6.
Le routeur ZebOS a rejoint le point de rendez-vous de 6RAP.
Le Ilux multicast IPv6 est achemine jusquàu routeur ZebOS.
La station Vic & Rat sàbonne a une diIIusion avec SDR.
2001:3302:F::/64

11.3. Raccordement du routeur CISCO au domaine PIM (Module 5a )
11.3.1. Etude

Pour recevoir les annonces de diIIusion, il Iaut se raccorder au point de rendez-vous de RENATER via
6RAP. Celui-ci est 2001:660:3007:300:1:: .
11.3.1.1. Ralisation
Le raccordement ne presente aucune diIIicute. Il consiste a ajouter dans la conIiguration du routeur
CISCO 4700 le point de rendez-vous avec la commande :
ipv6 pim rp-address 2001:660:3007:300:1::

Il Iaut aussi ajouter une liste dàcces pour autoriser les domaines multicast disponibles:
ipv6 access-list M6bone
permit ipv6 any FF0E::/16
permit ipv6 any FF1E::/16

Page : 32 / 66
11.4. Configuration d'une entit multicast avec VIC et RAT (Module 5b )
11.4.1. Etude

Il sàgit dàjouter les Ionctionnalites de visioconIerence IPv4 & IPv6 Iournis avec les outils du Mbone
(http://www-mice.cs.ucl.ac.uk/multimedia/soItware , www.kabassanov.com ) . Ces outils sont disponible
pour les plate-Iorme Unix et Windows.
Il sàgit de trois applications:
1. VIC: pour recevoir les Ilux video .
2. RAT: pour recevoir les Ilux audio.
3. SDR: pour connatre la liste des sessions actives ou annoncees.
11.4.2. RaIisation

Dans la phase N1, ces outils sont installes sur une station Linux puis dans la phase N2 sous Windows.

Lìnstallation des outils sous PLD-Linux Ra 1.0 Noyau 2.4.20 ne peut se Iaire parce que le compilateur
GCC 3.0 nèst pas disponible pour Ra 1.0. Il Iaut donc recourir a une autre distribution qui dispose de ce
compilateur. Ici, lùtilisation dùne distribution RedHat 8.0 convient parIaitement pour les trois outils
VIC, RAT et SDR.

Note 1: La distribution RedHat est souvent choisie par les developpeurs dàpplication reseau.
Note 2: La version PLD-Linux Ac 2.0 supporte le compilateur GCC 3.0 et sera disponible en version
stabilise en 2004.
Note 3: Lìnstallation sous windows nà pas ete eIIectuee, cependant les collegues de 6RAP lùtilisent.
11.5. Test en rception de canaux multicast (Module 5c )
Le test consiste a sàbonner a une diIIusion multicast avec lòutils SDR qui donnent le catalogue des
sessions. Plusieurs sessions peuvent tre consultees simultanement sans probleme .

Page : 33 / 66
11.6. Prsentation d'un routeur Linux IPv6 avec PIM-SM (Module 5d )
11.6.1. Etude
Le routage sous linux est bien adapte aux experimentations de nouveaux protocoles parce quìl est
possible dàgir sur les modules de routage et sur le systeme dèxploitation. En juillet 2003, la Ionction de
routage PIM-SM V2 nèst pas disponible sur les distributions Linux. Les paquettages comme ZEBRA ne
le propose pas. Le seul module de routage Linux PIM-SM V2 disponible est ZebOS dans sa version 1.5
de IP InIusion.

Il est possible de Iaire une demande dùne version dèvaluation completement operationnelle pour Linux
et Ipv6, couvrant Ipv6, PIM-SM V2, IS-IS V6, OSPFv3, BGP4, VRRP, MPLS Layer 3.

ZebOs est architecture autour dùn bus reseau sur lequel sont connecte les diIIerents module permettant
de realiser les protocoles. Il dispose dùne interIace de commande 'CISCO Like qui permet de
conIigurer lènsemble des Ionctionnalites dont le point de rendez-vous. La documentation Iournie dans la
version dèvaluation est tres complete et detaillee. La duree dùn test de ZebOS peut durer 30 jours.

Note: Ainsi, pour le Multicast Ipv6, on remarque que le Bootstrap (BSR) est conIorme au derniere recommendations et quìl
Iaut donc utiliser une commande speciIique pour dialoguer avec un routeur CISCO: 'ip pimcrpciscopreIix.
11.6.2. RaIisation

Le manuel dìnstallation donne toutes les etapes pour installer le routeur ZebOS. Cependant, il nèst pas
possible avec la version 1.5 de lìnstaller sur PLD-Linux parce que le routeur necessite un compilateur
GCC 2.96. Dàutre part IP InIusion garantit uniquement ZebOs sur RedHat.

Il Iaut donc choisir une distribution RedHat 7.3 pour lìnstaller correctement. Cette installation passe par
une phase de recompilation du noyau pour appliquer les correctiIs necessaires a la gestion des caches
PIM-SM et du BSR. Tout cela est indique dans le manuel dìnstallation.

Une Iois installee, la conIiguration du point de rendez-vous est la mme que celle du CISCO 4700 en
ajoutant 'ip pimcrpciscopreIix

Note: ZebOs presente un grand nombre de Ionctionnalites Ipv6 qui seraient interessantes a etudier.
Page : 34 / 66
11.7. plan de test multicast
11.7.1. Dfinition

Le test consiste a veriIier dans une premiere phase la reception des annonces multicast un niveau du
routeur et dans une deuxieme phase de sàbonner a une session.

Les tests peuvent tre decomposes en deux phases:
Phase 1: veriIier la reception des annonces multicast un niveau du routeur CISCO
Phase 2: ouvrir une session multicast Ipv6
Phase 3: ReIaire Phase 1 2 avec ZebOS.

La phase 1 est locale a l'UREC
1.1 Avec la commande show ipv6 route
1.2 Avec Ethereal sur le port miroir de sortie du FastIron de lÙREC

La phase 2 Ouverture une session multicast Ipv6.
2.1 Execution de SDR et choisir une session

La phase 3 Phase 1 et 2 avec ZebOS
3.1 Parametrer le routeur Cisco en simple routeur
3.2 Parametrer le routeur ZebOS en routeur PIM
3.3 Execution de la commande show ip mroute
3.4 Execution de SDR sur Windows 2000


1 1 Show ipv6 route montre les FF0E ::/16 et FF1E ::/16 aucune OK
1 2 Faire un Iiltrage IPv6 uniquement avec l` MAC de la
station recevant le port miroir.
Savoir utilise Ethereal OK
2 1 Execution SDR donne la liste des sessions aucune OK
3 1 Parametrage interIace IPv6 de base aucune OK
3 2 ZebOS ip pim rp-address 2001:660:3007:300:1:: Install ZebOS OK
3 3 Execution show ip mroute aucune OK
3 4 Execution de SDR sur Windows 2000 Non
realise

12. Rfrences bibIiographiques
http.//www.ipv6forum.org/
Howto du routage avance et du controle de trafic sur Linux (philippe.latulinux-France.org )
http.//www.bieringer.de/linux/IPv6/index.html
http.//www.faqs.org/faqs/internet/tcp-ip/resource-list/index.html
http.//www.cr-basse-normandie.fr/vikman/ipv6.html
Memoire sur IPv6 Multicast de Lionel David (6RAP)

Page : 35 / 66
13. Annexes

13.1. Termes employs, glossaire et abrviations
13.1.1. Termes reIatifs aux rseaux

Base 10
Le systme bien connu des nombres dcimaux, reprsentant
n'importe quelle valeur avec les chiffres 0-9.
Base 16
Habituellement utilise dans les langages de programmation de bas
et haut niveaux, connue encore en tant que systme numrique
hexadcimal, reprsentant les valeurs avec les chiffres 0-9 et
les caractres A-F (insensible la casse).
Bit
Unit minimale de stockage, allum (on)/vrai (1) ou teint
(oII)/faux (0).
Byte
Le plus souvent, une collection de 8 (mais ce n'est pas
rellement une ncessit - regardez les systmes des anciens
ordinateurs) bits.
Peripherique
ici, matriel de connexion rseau (NIC), Carte ethernet 802.3.

Hte
Gnralement, un hte simple rsident, prsent sur un lien.
Normalement, il n'a seulement qu'une interface rseau active, par
exemple Ethernet.

Hte a double residence
Un hte double rsidence est un noeud ayant deux interfaces
rseau (physique ou virtuelle) sur deux liens diffrents, mais
qui ne ralise pas de renvoi de paquets entre les interfaces.
InterIace
Quasi-synonyme de "priphrique", au sens physique du terme c'est
la carte rseau. Au sens virtuel du terme c'est un ensemble
d'adresse IP qui peut se rduire une seule adresse.

En-tte IP
En-tte d'un paquet IP (chaque paquet rseau a un en-tte, son
type dpendant de la couche rseau).
Lien
Un lien est un mdium de transport de paquet rseau de la couche
2, des exemples en sont Ethernet, PPP, SLIP, ATM, ISDN, Frame
Relay, etc.

Page : 36 / 66
Noeud
Un noeud est soit un hte, soit un routeur.
Octet
Une collection de 8 bits vritables, aujourd'hui synonyme de
"byte".
Port
Information destine au distributeur TCP/UDP (couche 4) afin de
transporter l'information la couche suprieure.
Protocole
Chaque couche rseau contient la plupart du temps un champ
protocole facilitant la distribution de l'information transporte
la couche suprieure, comme cela peut se voir dans la couche 2
(MAC) et 3 (IP)
Routeur
Un routeur est un noeud possdant une ou plusieurs interface(s)
rseau, capable d'envoyer les paquets entre les interfaces.
Socket
Une socket IP est dfinie par ses adresses source et destination,
ses Ports et (association)
Pile
Une collection de couches relatives au rseau.
Masque de sous-reseau
Les rseaux IP utilisent un masque de bits afin de distinguer le
rseau local de ceux qui sont distants.
Tunnel
Un tunnel est typiquement une connexion point--point sur
laquelle les paquets changs transportent les donnes d'un autre
protocole, un tunnel IPv6-in-IPv4 en est un exemple.

13.1.2. Abrviations

ACL
Liste de Contrle d'Accs
API
Interface de programmation d'application
BSD
Distribution des logiciels Berkeley
KAME
Projet - effort conjoint de six entreprises au Japon pour
fournir, mondialement et dans le cadre du logiciel libre, une
pile IPv6 et IPsec (pour IPv4 et IPv6) pour les variantes de BSD
www.kame.net
NIC
Carte d'interface rseau (Network InterIace Card)
Page : 37 / 66

RFC
Requte commentaires - jeu de notes techniques et
organisationnelles au sujet de l'Internet.
USAGI
Projet "UniverSAl playGround for IPv6" - travaille rendre
disponible une pile protocolaire IPv6, qui soit d'une qualit
apte la production, pour le systme Linux.

13.2. Qu'est ce qu'IPv6 ?
IPv6 est un nouveau protocole de la couche 3 (voir le modele OSI) qui
supplantera terme IPv4 (plus connu sous le nom d'IP). IPv4 a t
conu il y a dj pas mal de temps (RFC 760 / Le protocole Internet) partir de
janvier 1980, et, depuis le commencement, il y a eu de nombreuses
demandes pour accrotre la quantit d'adresses disponible et augmenter
les capacits. La RFC 2460 / speciIication du protocole Internet version 6 est un bon
point de dpart pour comprendre se qu'est IPv6. La modification
essentielle dans IPv6 est la nouvelle conception de l'en-tte qui se
trouve dot d'une capacit extensible. Aussi, une augmentation de la
taille de l'adresse, passant de 32 128 bits permet de rpondre au
problme d'adressage. Parce que la couche 3 est responsable de bout en
bout du transport des paquets dont le routage est bas sur des
adresses, elle doit inclure des nouveaux type d'adresses IPv6, comme
pour IPv4.

13.3. Historique d'IPv6
13.3.1. Introduction
C'est dans les annes 1992, 1993 et 1994 que IPv6 a commenc tre
labor.
IPv6 signifie "Internet Protocol Version 6". IPv6 ou IPng sont donc
la prochaine gnration du protocole, conus par l'IETF (The Internet
Engineering Task Force) pour replacer la version IPv4 du protocole IP.
La plupart des systmes utilisent aujourd'hui IPv4, qui a dj plus de
20 ans. Ipv4 a remarquablement bien rsist jusqu'a aujourd'hui ou les
premiers vrais problmes commencent. Notamment, le manque d'adresses
disponibles pour les nouvelles machines qui se connectent Internet.
IPv6 fournis en autre, une rponse ce problme d'adressage avec une
rflexion plus aboutis qu'en IPv4. La scurit, l'auto configuration,
le routage avec un chemin pr-tablis font partis des autres
amliorations.
IPv6 permet une migration en douceur grce une coexistence des deux
versions pendant une priode de transition sur des annes.

Page : 38 / 66
13.3.2. Points cIs

Une vue d'ensemble sur la prochaine gnration d'Internet IPv6 a t
tablis par l'IETF au congrs de Toronto le 25 juillet 1994 et
document dans le RFC 1752 "The Recommandation for the IP Next
Generation Protocol". Cette recommandation a t approuve par l'IESG
" Internet Engineering Steering Group" le 17 novembre 1994 en tant que
proposition de standardisation.
IPv6 est avant tout une volution de IPv4 et donc inter oprable. La
stratgie de dploiement est progressive, il n'y a pas de date butoir.
Il a t conu pour s'intgrer sur des protocoles de transport comme
ATM ou 802.11b, tout en enrichissant les fonctionnalits rseaux.

Lorsque l'IETF a crit le RFC 1752, beaucoup de choses ont t
considrs pour le protocole Internet nouvelle gnration. Certaines
sont videntes, comme par exemple le support du rseau mondial.
D'autres sont plus difficiles apprhender comme la transition IPv4
vers IPv6 avec une migration en douceur.

La croissance du rseau Internet est la raison fondamentale pour le
besoin d'une nouvelle version du protocole IP. Si une chose est bien
connue de IPv4 c'est que l'adressage et le routage doivent tre
capable de supporter les besoins futur. C'est important, ici de
comprendre comment les besoins ont volus dans le pass et comment
ils volueront demain.
En ce moment, IPv4 est utilis dans le march de l'informatique. Le
but de ce march est d'interconnecter les entreprises, gouvernement,
universits. Ce march a permis l'expansion de l'Internet d'une
manire exponentielle. Il double approximativement tous les ans depuis
1994. Les ordinateurs qui sont utiliss en fin de chane sont en
gnral fixes et de puissances variables interconnectes le plus
souvent via un rseau LAN "Local Area Network"
La prochaine phase d'expansion ne sera probablement pas en relation
direct ave le march de l'informatique. Il est vident que ce march
commence a se stabiliser : la vente d'ordinateur n'est plus en
progression.
D'autre type de march demandeur de fonctionnalit comme la mobilit,
les jeux en rseau, le multimdia ... Le challenge pour IPv6 est de
fournir une solution qui rpond et rsout les problmes poss par ses
marchs mergeant.
L'ordinateur nomade (PDA) devient abordable et se spcialise dans des
travaux avec des objets mtiers comme par exemple des lecteurs code
barre. Une caractristique cl est sans aucun doute le rseau. Non pas
comme aujourd'hui ou chaque mdia (RF, cable, IR), l'utilisateur
active le protocole de transport associ pour vhiculer ces donnes
applicative via IP. Cela se doit tre automatique avec IPv6. Ces
ordinateurs dots d'IPv6 peuvent devenir des outils avec des services
valeur ajout avec une facturation utilisateur et non au
propritaire de l'ordinateur. A cela IPv6 doit tre faiblement
consommateur de bande passante pour les messages de routage, mobilit,
d'auto configuration et de signalisation.
Page : 39 / 66
La nature de la mobilit impose aussi des mcanismes
d'authentification et de confidentialit intgrs au protocole lui-
mme. Il faut ajouter a cela les contraintes des rseaux sans fils
dictent au protocole des mcanismes trs consommateur en puissance de
calcul pour raliser des transferts fiables et scuris, tout en ne
ngligeant pas la gestion de l'nergie.
Si l'on considre les marchs relatifs aux divertissements, comme la
vido la demande ou les diffusions tlvises. Imaginez que chaque
canal de tlvision en haute rsolution soit une adresse Internet.
Aujourd'hui la diffrence entre la tlvision et l'ordinateur devient
insignifiante. Ces marchs comme les prcdents, ont besoins d'un
protocole Internet supportant un adressage et un routage trs grande
chelle bass sur des mcanismes d'auto configuration pour rduire au
maximum les procdures de service et de maintenance.
D'autres marchs peuvent utiliser IPv6 comme le contrle des appareils
domestiques. Ce contrle consiste superviser les taches
journalires. Ces marchs sont normes et ncessite des solutions
simples pour pouvoir tre exploits.
Le chalenge de IETF est de faire correspondre IPv6 aux besoins
d'aujourd'hui tout en ne ngligeant pas les marchs mergeant de
demain. Ces marchs commenceront avec ou sans l'IETF. Si IPv6
correspond bien ces marchs alors il sera utilis ou ce sera une
autre technologie cre par les constructeurs eux-mmes car les
marchs n'attendent pas. Un monde digital compltement inter oprable
serait pourtant idal.

13.3.3. La transition IPv4 vers IPv6

La transition est programme dans trois sept ans pour le dploiement
d'un nouveau protocole Internet. Deux facteurs vont influencer cela:
le routage et l'adressage. Le routage Internet mondial est base sur
IPv4 (32bits) va devenir inextricable parce qu'il n'est pas
hirarchique et difficilement agrgeable. Le dploiement du routage
sans classe entre les domaines (CIDR) donne un rpit mais l'effort de
gestion des tables de routages augmente. Mme si le routage a ses
palliatifs, le manque d'adresse lui est invitable. La question n'est
pas de savoir si on a besoin d'IPv6 mais quand ?
Le challenge pour un IPng est d'tre oprationnel avant que les
adresses IPv4 ne soient dupliques dans le monde. La flexibilit du
dploiement et l'aptitude aux machines IPv4 de communiquer avec IPv6
sont essentiels pour que l'interoprabilit soit respecte.
La compatibilit ascendante est obligatoire pour que les utilisateurs
dploient IPnv6.

Page : 40 / 66

Concepts de base IPv6

IPv6 a t conus pour tre une volution d'IPv4. Ce n'est pas un
changement radical. Seul les fonctions stables IPv4 ont t gardes.
Les changements dans IPv6 se retrouvent dans les catgories suivantes:
Routage Intelligent et Capacit d'adressage
IPv6 augmente la capacit d'adressage de 32 bits 128 bits, pour
supporter un adressage hirarchique et un plus grand nombre de
noeuds adressable, et un mode d'auto configuration.
Les possibilits d'adressage multicast sont plus fines grce un
champ permettant de dterminer la porte.
Un nouveau type d'adresse appel "anycast address" t
dfinis pour reprsenter un ensemble d'interfaces. Cela permet de
redimensionner le nombre d'interfaces sans changer d'adresse
anycast. Le trafic peut ainsi tre matris avec des
possibilits de prioritisation grce au "source routing"
Simplification du format de l'entte
Quelques champs de l'entte IPv4 ont t supprims ou rendu
optionnel pour rduire le cot de dcodage du paquet et optimiser
l'utilisation de la bande passante. L'entte IPv6 est deux fois
plus longue qu'en IPv4 avec des adresses 4 fois plus longues.
Amlioration du support des options
Les changements dans l'entte d'IPv6 pour l'encodage des options
permettent de grer plus efficacement les redirections avec des
contraintes de longueur plus souples. L'introduction d'options
supplmentaires a t prvue.
La qualit de service
Une nouvelle fonctionnalit de marquage de paquet a t ajoute
pour identifier les diffrents flux du trafic. Ainsi l'metteur
peut effectuer une requte pour bnficier d'une qualit de
service de type temps rel par exemple.
Authentifications et privilges
IPv6 dispose des extensions ncessaires l'authentification,
intgrit et confidentialit d'IPv4 de manire native.
Le protocole IPv6 dispose d'une entte en deux parties: la partie
fixe et la partie tendue.
Page : 41 / 66

13.5. Un rappel thorique non exhaustif sur IPv6

13.5.1. Besoins

Integration des nouvelles technologies de communication.
Resoudre lèpuisement de l'espace d'adressage classe B.
Restaurer les connexions de bout en bout.
Fournir des mecanismes de synchronisation (audio, video).
Fournir des methodes d'authentiIication de l'emetteur.
Avoir a disposition des transIerts Iiable et conIidentiels.
Resoudre les contraintes liees a la mobilite dùne entite Iace au reseau.
Permettre une auto conIiguration dùne nouvelle entite sur le reseau.
.

13.5.2. Caractristiques (Garde I'esprit de IPv4 : UPD,TTL,DGTM)

Choix taille DTGM par l'emetteur : entte variable.
Adresse sur 16 octets : permet de Disposer d'un adressage sur 128 bits.
Types : unicast, anycast, multicast avec une portee globale, site, local.
Le broadcast devient un cas particulier du multicast.
Reserves pour extension du protocole
Support de mecanismes de pre allocation
InIormations de contrle
Fusionner IGMP dans ICMP
Sans DHCP une machine s'auto-genere une adresse dìnterIace en Ionction de son adresse MAC

13.5.3. Entte IPv6

Les options dans IPv6 sont dans les enttes tendues qui sont entre
l'entte fixe et l'entte de la couche transport. La majorit des
enttes d'extensions sont examines l'arrive de paquet donc le
routage se trouve grandement simplifi par rapport IPv4.
En IPv6 les options ne subissent pas la limitation des 40 octets
puisque de se sont des extensions d'enttes. La gestion de
l'authentification et de la scurit utilise ce mcanisme d'options
tendues.
Pour simplifier le dcodage, les options ont une taille multiple de
huit octets, ce qui permet de les aligner.

Page : 42 / 66
Entte de base dans un DTGM:

|0006||Etiquette de Ilux : QOStype de Ilux: 28bits|
|taille: 16bits||entte suivant ||hop limit (TTL)||
| Adresse source 128 bits |
| Adresse destination 128 bits |

Enttes etendues:

Note: liste des options non exhaustive.

Les enttes etendues permettent de renseigner principalement les actions suivantes :
Options de Routage : 'Routing Extended Routing (like IPv4 loose source route).
Fragmentation: 'Fragmentation and Reassembly.
AuthentiIication: 'Authentication Integrity and Authentication. Security'
'Hop-by-Hop Option Special options which require hop by hop process
ConIidentialite
Option a làrrivee: Destination Options Optional inIormation to be examined by the destination
node.
.
Page : 43 / 66

13.5.4. Format adresse IPv6

Note 1. La representation textuelle est expliquee dans le deuxieme paragraphe . 'Pourquoi une nouvelle
generation de lInternet ?

Note 2 . Le svmbole est utilise ici pour svmboliser le mot adresse

IPv6 dispose d'adresses de 128 bits qui identifient une interface
individuelle ou un ensemble d'interface. Tous les types d'adresses
sont assigns des interfaces et non des noeuds. Puisque chaque
interface peut dsigner un noeud, alors chaque adresse unicast est
utilisable pour identifier un noeud. Une interface au sens physique du
terme possde donc plusieurs adresses IPv6 de type diffrent.

IPv6 supporte donc des adresses quatre fois plus grande qu'IPv4.
Cet espace d'adressage permet d'envisager un plan d'adressage
hirarchique qui selon Christian Huitema pourrait disposer dans le cas
le plus dfavorable 1,564 adresses sans compter les noeuds
d'acheminement pour chaque mtre carr de la surface de la terre.
Les plans d'adressages qui dfinissent les espaces rservs (prfix,
NSAP,...) n'occupent que 15%. Ce permet de disposer 85% pour les
usages futurs.

Il y a trois type d'adresses IPng: unicast, anycast, et multicast.
L'adresse Unicast identifie une interface unique. L'adresse Anycast
identifie un jeu d'interfaces tel que un et un seul membre de ce jeu
recevra un paquet. L'adresse Multicast identifie un groupe d'interface
tel que tous les membres de ce groupe recevront le mme paquet. Il n'y
a pas d'adresse de broadcast en IPv6, ce type d'adresse est
matrialis par une adresse multicast.

Les diIIerents types dàdresses :

Adresses reservees
IndeIinie: 0:0:0:0:0:0:0:0 au boot pour decouverte des voisins.
Boucle locale: 0:0:0:0:0:0:0:1 com interprocessus equivalent 127.0.0.1
Machine en IPv6: trame IPv4 en IPv6 : |80 bits a 0||16 0||32bits IPv4|
Machine en IPv4: trame IPv4 en IPv6 : |80 bits a 0||16 1||32bits IPv4|

Adresse unicast:
IdentiIicateur d'une interIace: Un paquet destine a une adresse unicast est remis a l'interIace
identiIiee par cette adresse. L'interIace peut tre virtuelle, cèst a dire qu'elle comporte plusieurs
interIaces physiques.
globale agregables: FAI, passerelles
de lien local: portee locale au lien utilisable pour atteindre ses voisins.
Page : 44 / 66

Adresse anycast
IdentiIie un ensemble d'interIace appartenant generalement a diIIerents noeuds.
Un paquet envoye a une anycast est remis a une des interIaces identiIiees par cette . La
plus proche au sens des distances des protocoles de routage. Les bits de poids Iaible sont a 0.

Note . Au niveau codage, rien ne differencie une anvcast dun unicast seule un message ICMP
permet de les differencier.

Adresse multicast
Trame: |11111111||000T||scop||groupID 112bits|
Avec :
T: 0 multicast reservee
T1 multicast temporaire
Scop (portee): 1noeud-local, 2lien-local, 5site-local, 8organisation-local, Eglobal
groupID : IdentiIiant du groupe de diIIusion.
Multicast reserve:
tous noeuds: FF01:0:0:0:0:0:0:1, FF02:0:0:0:0:0:0:1
tous routeurs:FF01:0:0:0:0:0:0:2, FF02:0:0:0:0:0:0:2, FF05:0:0:0:0:0:0:2
solicitation de noeuds: FF02:0:0:0:0:0:0:1:FFXX:XXXX
Allocation de nouvelles multicast IPv6
|11111111||Ilgs||scop||80bits a 0||IDgroup de 32bits|
multicast Solicited node: seul les bits de poids Iort change

Adresses requises d'un hte
une locale au lien pour chaque interIace physique
ses unicast (agregation de plusieurs interIace physique)
de boucle locale pour la communication locale inter-processus
multicast tous noeuds ~~
multicast de solicitation pour chacune de ses unicast et anycast
de tous les groupes auxquels appartient cet hte

Adresses requises d'un routeur
adresses anycast de routeur de sous-reseau. Pour lesquelles il se comporte en routeur
Toutes les autres anycast conIigurees sur ce routeur.
L'adresse multicast tous routeurs ~~
Les multicast des groupes auxquels appartient ce routeur.

Resume
L'adressage IPv6 deIinit:
Identifie des interfaces, pas des noeuds.
Une interface peut avoir plusieurs de tous types
Trois types d'adresses code sur 128bits (unicast,anycast,multicast)
Des sont requises sur les htes et les routeurs
Les preIixes d' requis dans une implementation.
Les reservees pour chacune des 3 categories (unicast,anycast,multicast)
Page : 45 / 66

13.5.5. Auto conIiguration d'IPv6

ObjectiI :
Pas de conIiguration manuelle de chaque machine avant de les raccorder au reseau.
Permettre la renumerotation en douceur d'un site en aIIectant plusieurs a une mme interIace.
(periode transitoire).
Les htes doivent determiner les preIixes qui identiIient les sous reseaux auxquels ils sont relies aIin
de generer des locales au site ou globales.
Les routeurs emettent periodiquement des messages d'annonce qui incluent un ensemble d'options qui
listent les preIixes utilisables sur un lien.

SANS ETAT: Le processus d'auto conIiguration des interIaces IPv6 d'un hte
Ne requiert aucune conIiguration manuelle des htes.
La conIiguration est annoncee par les routeurs qui contiennent les preIixes associes au lien.
PreIixe identiIicateur d'interIace ~~
Sans routeur la station genere une locale au lien.
Creation d'une adresse locale au lien qui doit tre unique.
Le processus de generation des locales au lien, locales au site et globales est Iourni par le reseau
sans etat si pas de serveur DHCP.

AVEC ETAT: Le processus d'auto conIiguration des interIaces IPv6 d'un hte
Le protocole d'auto conIiguration a etats permet aux htes de demarrer.
Les htes obtiennent les de leurs interIaces et leurs conIigurations du serveur.
Le serveur gere une BDD qui memorise les des htes.
Les baux d' des htes ont un systeme d' preIerees et deprecie.

Adresse dàuto conIiguration a lìnitialisation
ID interIace~ |ccccccugcccccccccccccccc| 24bits Mac
c : bits de l'identiIcateur de constructeur
u g signiIication
0 0 locale groupe
0 1 locale globale
1 0 universelle groupe
1 1 universelle globale

Fonctionnement generale de làuto conIiguration
Phase d'auto conIiguration
Les noeuds (htes et routeurs) emettent un message de sollicitation de voisin vers l' proposee.
ConIigurable par l'administrateur.
Si non unique alors l'auto conIiguration s'arrte et passage en conIig manuel deIini par
l'administrateur.
est aIIectee a l'interIace si elle est unique.
Les routeurs emettent de messages d'annonces comportant les types de conIiguration.
Un hte peut envoyer un message de sollicitation de routeur avec l' de diIIusion tous
routeurs~~ pour obtenir une annonce plus rapidement.
Les annonces contiennent 2 drapeaux |managed conIigurationa etat , other stateIul
conIiguration| qui indiquent le type d'auto-conIiguration. |0,0| sans etat.
Drapeau autonomous adress-conIiguration~~ indique le preIixe de sous reseau.
La location d' Iacilite la renumerotation.
Page : 46 / 66
Les couches hautes ~TCP ne supportent pas le changement d' en cours d'utilisation donc toutes
les sockets sont alors detruites.
Le couche IP est supposee Iournir aux couches superieures un moyen de choisir l' source la plus
appropriee en Ionction d'une destination donnee.
Une application peut decider de choisir l'adresse source avant de commencer ou laisser la couche
IP la determinee.

Type de liens
Multicast: supporte la diIIusion selective
Point a point: lien qui relie exactement 2 interIaces. Dispose d'un local au lien et supporte la
diIIusion selective.
Non-broacast Multi-Access (NBMA) : Liens auxquels sont reliees plus de 2 interIaces mais qui
ne supportent pas nativement la diIIusion selective (X.25,ATM...)
MTU variable token rings IEEE 802.5
Accessibilite asymetrique: liens radio

Resume
La renumerotation d'un site est possible grce aux depreciees et preIerees.
Les deux modes de conIigurations peuvent tre combinees.
Ces deux modes ne Ionctionnent que sur des liens supportant la diIIusion selective.
DeIense par un mecanisme de detection dupliquees. Ne depend pas du mode d'obtention
d'adresse.

13.6. Routage en IPv6
13.6.1. Avantages du routages en IPv6

Le routage IPv6 est presque identique au routage en IPv4 sans la barriere des classes (CIDR) a
lèxception que les adresses sont en 128 bits au lieu de 32 bits. Tous les algorithmes de routage IPv4
OSPF, RIP, IDRP, ISIS, etc. sont portes sur IPv6. A cela sàjoute des extensions de routage qui
permettent de realiser les Ionctionnalites suivantes:
Provider Selection (contrle dàcces, perIormance, cot )
'Host Mobility (changement de position, mise a jour de localisation)
'Auto-Readdressing (routage vers une nouvelle adresse)

Les nouvelles fonctionnalits sont obtenues avec la cration de
squences d'adresses de routage IPv6 en utilisant les options de
routage. Les options de routages sont utiliss par une adresse IPv6
source pour lister les nuds intermdiaires parcourir sur le chemin
vers la destination du paquet. Il existe une certaine similarit avec
les fonctions Loose Source et Record Route options en IPv4.

Pour que les squences d'adresses de routage soient une fonction
gnrales, l'adresse des htes IPv6 sont ncessaires dans la plupart
des cas pour le routage du paquet de rponse. Cela est une des cls du
routage pour la mobilit par exemple.

Page : 47 / 66
Les trois exemples suivants montre comment les squences d'adresses
peuvent tre utilises. Dans ces exemples, les squences d'adresses
seront reprsentes comme suit : SRC, I1, I2, I3, DST
Ou la premire adresse est l'adresse source et la dernire l'adresse
de destination. Les adresses entre la source et la destination sont
les adresses intermdiaires de routage.

Le schma ci-dessous symbolise une communication entre deux htes H1
et H2. Ces htes sont connects aux deux providers P1 et P2. Entre P1
et P2, un troisime provider sans fils est connect aux providers P1
et P2.

----- P1 ------
/ | \
/ | \
H1 PR H2
\ | /
\ | /
----- P2 ------

Le premier cas d'utilisation sans les squences d'adresses est lorsque
H1 veut envoyer un paquet H2.Quand H2 rpond, il permute les
adresses pour construire le paquet de rponse: H2,H1. Cependant H1 et
H2 ne peuvent slectionner un provider P1 ou P2 pour envoyer un
paquet.

Dans le cas ou H1 dcide d'tablir une rgle de confiance qui consiste
communiquer avec H2 en utilisant le provider P1 uniquement. La
squence de routage sera H1, P1, H2. Cela garantis que la squence de
routage aura comme passage oblige P1.

En troisime et dernier cas H1 devient mobile et se dplace vers le
routeur sans fils PR et maintenant la communication avec H2 ( au
niveau transport). La squence d'adresse devient alors H1, PR, P1, H2
Cette squence garantie que H2 rpondra H1 en passant par P1 et par
PR qui rempli la rgle de confiance tablit prcdemment : H2, P1, PR,
H1.
En rsum, les squences d'adresses de routage en IPv6 peuvent tre
utilises pour la slection de provider, la mobilit et le r
adressage.

Page : 48 / 66
Le protocole ICMPv6

Types de paquets ICMP:
Sollicitation: pour determiner l' physique d'un voisin
Annonce: Reponse a la sollicitation d'un voisin, emission spontanee pour annoncer un changement
d'adresse physique
Redirection: inIormer les htes de l'existence d'un meilleur prochain saut pour atteindre une
destination.

Principe de ICMP
Les routeurs diIIuse les annonces. les htes les reoivent et mettent a jour leur liste de routeur par deIaut.
Une annonce contient une liste de preIixes. Cela indique a l'hte quelle auto conIig choisir.
La decouverte des voisins d'IPv6 correspond a une combinaison des protocoles ARP et de decouverte
ICMP et de redirection ICMP en IPv4.
ICMPv4 n'a pas de mecanisme d'inaccessibilite bien qu'un algorithme soit deIini dans le RFC : Host
Requirements .

Donc ICMPv6 gere:
les echanges d' physiques
l'equilibrage de charge pour le traIic entrant
Adresses Anycast: plusieurs noeud d'un lien donne peuvent tre conIigures pour reconnatre la mme
adresse.
l'annonce de proxy : aucune utilisation de proxy n'est speciIie.

Message de solicitation ICMPv6
Champs ICMP:
Type 133
Checksum celui d'ICMP
Message d'annonce de voisin
Champs ICMP:
Type 134
Cheksum celui d'ICMP
Cur Hop Limit copie dans Hop count dans le paquet IP sortant;
bit M Managed adresse conIiguration; 1conI a etat.

Message de solicitation de voisin
Type 135
Message d'annnce de voisin
Type 136
R Drapeau a 1 routeur
S Drapeau a 1 reponse a un message de sollicitation
Message de redirection
Type 137

Conclusion
Les noeuds utilisent les messages de decouverte ICMP pour se decouvrir mutuellement.
ICMP permet de gerer les inIormations d'accessibilite concernant les chemins.
Determine les physiques des voisins relies aux mmes liens.
Permet de nettoyer les caches des inIormations obsoletes.
Pour gerer activement les voisins accessible ou non.
Detecter les modiIications d' physiques: recherche d'alternatives.

Page : 49 / 66

13.7. Linux et Ipv6: Rtrospective

Le premier code IPv6 pour Linux
Le premier code rseau relatif IPv6 a t ajout au noyau Linux
2.1.8 en novembre 1996 par Pedro Roque. Il tait fond sur l'API BSD.

A cause du manque de bras, l'implmentation d'IPv6 dans le noyau tait
incapable de suivre les projets discuts ou les RFC nouvellement mises
jour. En novembre 2000, un projet dbute au Japon, appel USAGI ,
dont le but tait d'implmenter dans Linux tout le support IPv6
manquant ou obsolte. Ce projet suit ainsi la trace de
l'implmentation courante d'IPv6 pour FreeBSD, ralis par le projet
KAME . De temps en temps, ils craient des archives de dveloppement
(snapshots) partir des sources courantes du noyau Linux.

Malheureusement, le patch USAGI est trs volumineux, tel point que
les personnes s'occupant actuellement de maintenir les fonctionnalits
rseau de Linux sont incapables de l'inclure dans les sources, aptes
la production, de la srie des noyaux Linux 2.4.x. En consquence, la
srie 2.4.x manque de certaines (et mme de nombreuses) extensions, et
elle n'applique pas non plus les brouillons et RFC courants (voir le
groupe de travail IP Version 6 (GN6)). Cela peut poser des problmes
d'interoprabilit avec les autres systmes d'exploitation.

USAGI fait maintenant usage de la srie des noyaux de dveloppement
Linux 2.5.x afin d'incorporer toutes les extensions actuelles dans
cette version de dveloppement; dans l'espoir que la srie des noyaux
2.6.x comprendra une vritable implmentation jour d'IPv6.

On peut se demander pourquoi choisir linux alors que la communaut BSD
est la rfrence en matire de rseau et donc d'IPv6 ?

La rponse est simple, IPv6 sera tre rpandu sur l'ensemble des
ordinateurs pour les utilisateurs finaux. En ce sens les produits
Windows sont finalement les plus avancs puisque Windows NT4 disposait
dj d'un patch IPv6 "plug & play". La communaut Linux dispose de la
plus grande diversit applicative aprs Windows. Le domaine Internet
est trs actif et la majorit des exprimentations utilisateurs finaux
sont sur Linux.

Le choix de la distribution Linux IPv6 est grandement facilit lorsque
que l'on sait exactement ce que l'on veut faire. En effet on
n'utilisera pas la mme distribution pour faire du routage PIM-SM, de
la vido confrence ou un serveur Web, ce jour. Il n'existe pas une
distribution qui propose l'ensemble de ces fonctions en juillet 2003.

Page : 50 / 66
Pour guider son choix, le site de Pierre Beringerest incontournable,
il donne un tableau comparatif de toutes les distributions. Ce tableau
montre que PLD et RedHat sont les plus compltes.

Pour connatre l'tat des distributions Linux le site
www.distrowatch.com est un bon point de dpart.
13.7.1. RedHat
RedHat permettra d'exprimenter les fonctions de station de travail
avec rception de canaux multicast IPv6 et de routeur PIM-SM. Ces
fonctions ont t spcifiquement implmenter pour les distributions
RedHat 8.0 et 7.2 respectivement.

Les distributions RedHat sont bien connues dans les rseaux
acadmiques et industriels. L'implmentation IPv6 n'est pas complte
mais beaucoup de services sont prsents depuis la version 7.x.
L'objectif de RedHat est de couvrir un ensemble de fonctionnalit sans
avoir une volont affiche de promouvoir IPv6. La procdure
d'installation, par exemple, n'intgre pas de paramtrage IPv6,
cependant on peut configurer les fichiers comme indiqus dans ces
annexes.

Note : La distribution ASPLinux reprend tous les RPMs de RedHat avec
une procdure dinstallation simple et oriente rseaux.

13.7.2. PLD Linux

Pour la distribution PLD Linux, les principaux objectifs sont la
prochaine gnration Internet (IPv6), la scurit et la localisation.
PLD est destin aux serveurs rseaux et aux administrateurs avertis.

PLD ne signifie pas Distribution Linux Polonaise. Bien au contraire
cela signifie qu'elle ne parlera polonais uniquement si vous lui
demand: www.pld-linux.org . Cependant l'tat de l'Art dans les news
groupe est le plus souvent en Polonais. Cela n'est pas gnant car les
commandes en lignes sont elles, bien en Anglais.

PLD est une distribution Linux qui a vu le jour en 1998 et ces
concepteurs sont principalement situs en Pologne: Soit environ 200
personnes. Les fondateurs ont t trs actifs sur Ipv6 et certains ont
t fortement impliqus dans TCPwrapper. Cela signifie que la scurit
est une priorit forte.
Page : 51 / 66

En quoi cette distribution est diffrente ?
1. Les paquetages sont dcomposs en petits paquetages fonctionnels.
Cela permet d'installer seulement ce qui est vraiment ncessaire.
2. Les paquetages sont paramtrs avec une configuration raisonnable
(application de patchs orients performance et scurit).
3. PLD aujourd'hui dispose encore le meilleur support du protocole
IPv6 parmi toutes les distributions LINUX.
4. Les serveurs essentiels sont disponibles: FTP, Mail, Web ...
5. Le systme est trs modulaire et supporte la plupart des machines:
Les compilations disponibles sont optimises pour les x386 au
x686, ce qui est peu frquent.
6. PLD utilise l'interface rc-inetd et par extension rc_xinetd qui
permettent de grer les serveurs applicatifs en tant que service
rseau. L'outil iproute2 est l'outil de base pour la manipulation
des interfaces. Les scripts d'initialisation sont plus simple et
plus fonctionnel compars a ceux de RedHat. Les fichiers de
configuration sont gnrs au boot.
7. La scurit n'est pas en reste, le support des mthodes
d'authentification tel que PAM, GASPI, TSL/SSL, SASL. En pratique
ces implmentations sont ralises grce aux services de rc-inetd
qui permettent de remplacer facilement un Daemons en son
quivalent kerberis.
8. Une caractristique similaire est le rc_boot qui permet une
gestion simplifie des diffrents noyaux installs.
9. PLD est aussi trs oriente dveloppeur puisque tous les outils
de dveloppement sont disponibles et mme les compilateur
exprimentaux comme Cyclone ou Ksi.
10. Un support total des RPMs, DEBIAN APTs, et dispose d'un outils de
mise a jour POLDEK permettant de combiner l'ensemble des sources
de paquetages disponible sur le web.

Aujourd'hui PLD propose trois distributions:
1. La premire appel Ra (1.1) qui est ralis autour du noyau
2.2.26 auxquels Ipv6 est compltement intgr avec tous les
services WEB,FTP, MTA . Cela correspond une distribution RedHat
7.0 avec une scurisation trs avance.
2. La seconde est une distribution PLD-RESCUE 1.1 de type survie qui
est base sur un noyau 2.4.20 qui tient sur un minidisc ou une
mmoire USB de 50Mo. Cette distribution bootable permet de monter
la totalit des services IPv6 sans disque dur sur n'importe quel
PC. Il est possible de pr configurer des environnements pour
ouvrir des sessions scurise IPv4 ou IPv6. Les fonctionnalits
de survie sont trs tendues pour rparer un serveur, une station
linux ou windows la suite d'une attaque virale ou d'un
Page : 52 / 66
dysfonctionnement logiciel ou matriel (dfaillance mmoire par
exemple).

3. La troisime version AC 2.0 est tout juste disponible sur
ftp.pld-linux.org. Elle est architecture autour d'un noyau
2.4.20. Les formats ISO sontdiffuss. Il est possible de mettre
jour une version RA 1.0 avec l'outils POLDEK en modifiant le
fichier poldek.conf et en utilisant la commande poldek -u

Les dveloppements actuels sont autour du noyau 2.5.64 qui donneront
srement une nouvelle distribution.

13.8. Analyse des fichiers de configuration du Serveur Quarks

13.8.1. Fichier etc/resoIv.conf

Ce Iichier permet de speciIier lòrdre des serveurs de noms a interroger pour resoudre le couple (nom ,
adresse). Ici lìnstruction 'search permet dìdentiIier le domaine Ipv6 de lÙREC. Ensuite les
instructions 'nameserver renseigne les serveurs de noms a interroger dans lòrdre.

#-------------------------------------------------------------------------------| /etc/resolv.conI
search urec6.cnrs.Ir
nameserver 2001:660:3302:I::11
nameserver 2001:660:2401:1001:0203:baII:Ie08:1c4a
nameserver 194.57.137.114

13.8.2. Fichier /etc/host

Ce Iichier permet de renseigner les couples (nom , adresse) de maniere statiques. Làdresse de 'loopback
Ipv6 est ::1. Les adresses FFxx sont destines entre autre au multicast.

#-------------------------------------------------------------------------------| /etc/host
# /etc/hosts
127.0.0.1 localhost

# inet6-apps adds these special IPv6 addresses
::1 ipv6-localhost ipv6-loopback

Ie00::0 ipv6-localnet

II00::0 ipv6-mcastpreIix
II02::1 ipv6-allnodes
II02::2 ipv6-allrouters
Page : 53 / 66
II02::3 ipv6-allhosts

194.57.138.36 quarks.ipv6.urec.cnrs.Ir
2001:660:3302:I::11 quarks
194.57.137.114 calypso
10.0.100.1 webmin.quarks.ipv6.urec.cnrs.Ir webmin

13.8.3. Fichier /etc/moduIe.conf

Ce Iichier permet dìnitialiser les modules rattache au noyau. Làjout de plusieurs cartes ethernet
sèIIectue dans ce Iichier avec lìnstruction 'alias. Les options de taille de 'buIIer ou dìnteruption
'IRQ sont a renseigner avec lìnstruction 'option.

#-------------------------------------------------------------------------------| /etc/module.conI
# File created by installer
# Added by installer
alias eth0 8139too
# |DENOO 030523| Add alias Ior the secondary Ethernet card
alias eth1 8139too
alias usb-controller usb-ohci
alias sound-slot-0 i810audio

13.8.4. Fichier /etc/network.conf

Le parametrage reseau general est speciIie dans ce Iichier. Les instructions ici permettent de conIigurer
les reseaux IPv6 et IPv4.

#-------------------------------------------------------------------------------| /etc/sysconIig/network.conI
# $Id: network,v 1.15 2001/11/05 16:58:50 kloczek Exp $
######################################################################
# MAIN PART

# Do you need IPv4 or IPv6 networking ?
NETWORKINGyes

# Do you need IPv4 networking ?
IPV4NETWORKINGyes

# Do you want IPv4 Iorwarding ?
IPV4FORWARDINGno

# Set hostname here (only hostname)
HOSTNAME"quarks"

# Set NIS domain name here
NISDOMAIN"localdomain"

# IPv4 gateway
GATEWAY"194.57.138.62"
GATEWAYDEV"eth0"
Page : 54 / 66

# Do you want to use IPX networking ?
IPXno
IPXAUTOPRIMARY
IPXAUTOFRAME
IPXINTERNALNETNUM
IPXINTERNALNODENUM

# Do you need IPv6 networking ?
IPV6NETWORKINGyes

# Do you want IPv6 Iorwarding ?
IPV6FORWARDINGno

# Enable tunnel interIaces conIiguration ?
IPV6TUNNELCONFIGno

# IPv6 gateway
GATEWAY6"2001:660:3302:F::1"
GATEWAY6DEV"eth1"

# Global route Ior IPv6 host with IPv6 Iorwarding
IPV6GLOBALROUTEGW
IPV6GLOBALROUTEDEV

# Reading conIiguration Irom LDAP

# Do you want to use LDAP?
USELDAPno

# What base DN use Ior searching Ior interIace conIiguration
LDAPBASEDN

# Other

# Do you want set static ARP table (based on /etc/ethers conIig Iile) ?
STATICARPno

# Do you want set static RARP table (based on /etc/ethers conIig Iile) ?
STATICRARPno

# SpeciIy interIace on which you want to enable tleds soItware
# (also you need tleds package installed) -- deIault set to no
TLEDSDEVno

# This must be last line !
# vi:syntaxsh:tw78:ts8:sw4
Page : 55 / 66

13.8.5. Fichier /etc/sysconfig/interfaces/ifcfg-eth0

Ce Iichier parametre la premiere carte reseaux trouve sur le Bus PCI (voir commande lspci ). Eth0 est
destine a lìnterconnexion IPv4.

#-------------------------------------------------------------------------------| /etc/sysconIig/interIaces/iIcIg-eth0
# example conIig Ior Iirst ethernet card

# name oI the device
DEVICE"eth0"

# IP addresses/address preIix
# where preIix:
# 24 - resembles netmask 255.255.255.0
# etc.
# IPADDR may be either IPv4 or IPv6
# you may have up to 256 addresses set up
IPADDR"194.57.138.36/27"
#IPADDR1192.168.0.2/24
#IPADDR2192.168.0.3/24
#IPADDR3192.168.0.4/24

# you may select which oI the above addresses
# is primary Ior this interIace (it'd be IPADDR1 in the example below)
#IP4PRIMIF"1"

# activate on boot? yes,no
# you must set it to 'yes' iI you want to have this up aIter bootup
ONBOOT"yes"

# dhcp,pump,none
BOOTPROTO"none"

13.8.6. Fichier /etc/sysconfig/interfaces/ifcfg-eth1

La conIiguration IPv6 sur la deuxieme interIace realise lìnterconnexion IPv6 en speciIiant trois interIaces
unicast qui sont 2001:660:3302:I::11/64, 2001:660:3302:I::12/64, 2001:660:3302:I::13/64.

#-------------------------------------------------------------------------------| /etc/sysconIig/interIaces/iIcIg-eth1

# example conIig Ior second ethernet card

# name oI the device
DEVICE"eth1"

# IP addresses/address preIix
# where preIix:
Page : 56 / 66
# etc.
# IPADDR may be either IPv4 or IPv6
# you may have up to 256 addresses set up
IPADDR"2001:660:3302:I::11/64"
# |030521 DENOO| IPADDR1 is needed Ior deIault addresse
IPADDR1"2001:660:3302:I::11/64"
IPADDR2"2001:660:3302:I::12/64"
IPADDR3"2001:660:3302:I::13/64"

# you may select which oI the above addresses
# is primary Ior this interIace (it'd be IPADDR1 in the example below)
# |030521 DENOO| set to deIault IPADDR1
IP4PRIMIF"1"

# activate on boot? yes,no
# you must set it to 'yes' iI you want to have this up aIter bootup
ONBOOT"yes"

# dhcp,pump,none
BOOTPROTO"none"

13.8.7. Fichier /etc/poIdek.conf
Ce Iichier contient le parametrage pour lòutils POLDEK qui sert a recuperer les paquetages en
provenance de plusieurs distributions. POLDEK peut tre utilise sur PLD mais aussi sur les autres
distributions Linux. Les instructions 'sources speciIies les URLs contenant les Iichiers a installer. A
chaque source correspond des Iichiers POLDEK contenant la listes des paquetages. Une Iois conIigure, la
commande 'poldek u permet une mise a jour complete dùn serveur.

#-------------------------------------------------------------------------------| /etc/poldek.conI

# Installer changed Itp://Itp.pld.org.pl/ to http://Ir2.rpmIind.net/linux/PLD/dists/1.0/PLD/i686 in this Iile
# $Id: poldek.conI,v 1.18 2002/11/23 10:15:42 djrzulI Exp $

# main packages repository
source ra http://Ir2.rpmIind.net/linux/PLD/dists/1.0/PLD/i686/PLD/RPMS/

# security updates
source ra-updates-security http://www.pld.kernel.pl/apt/PLD-1.0/i686/RPMS.updates-security/

# non-critical Iixes and updates packages wich will be base ro next version Ra
source ra-nest http://rpmIind.net/linux/PLD/nest/apt/i686/RPMS.base/

source Ra test http://speakeasy.rpmIind.net/linux/PLD/current/dists/ra/test/i686/
source Ra2.4.20 Itp://Itp.venco.com.pl/pub/linux/PLD/RaPlus/i686/

source ra-supported http://www.pld.kernel.pl/apt/PLD-1.0/i686/RPMS.supported/

#source ra-test,noauto http://Ir2.rpmIind.net/linux/PLD/dists/1.0/PLD/i686/dists/ra/test/i686/
Page : 57 / 66

source nest,noauto Itp://Itp.nest.pld.org.pl/PLD/i686/PLD/RPMS/
source nest-test,noauto Itp://Itp.nest.pld.org.pl/test/i686/

# NOTE: directory *must* exist; deIault is ~/.poldek-cache
#cachedir /var/tmp/poldek-cache

# use root privileges Ior installation only; deIault "no"
#usesudo yes

# Installation options

# install packages in small groups instead oI doing all-or-nothing
# installation; deIault "yes"
#particleinstall no

# remove duplicate packages Irom available package set, i.e. this
# option ensures that only one instance (highest version Irom source
# with highest priority) oI every package will be available
# Ior installation; deIault "no"
#uniquepackagenames yes

# automatically install packages required by installed ones; deIault "yes"
#Iollow no

# greedy upgrades; deIault "no"
#greedy yes

# "mercy" dependency checking; deIault "no"
#mercy yes

# don't remove downloaded packages aIter successIul installation; deIault "no"
#keepdownloads yes

# conIirm each installation; deIault "no"
#conIirminstalls yes

# let the user select package among equivalents; deIault "no"
#chooseequivalentsmanually yes

# prevent kernel* and dev Irom being upgraded iI they are already installed.
#hold kernel* dev

# remove kernel* packages Irom available package set, i.e. make them
# invisible Ior the user
#ignore kernel*

# External downloaders conIiguration
# Available semi-macros (as ws-separate tokens only):
Page : 58 / 66
# p|n| - package basename
# d - cache dir
# D - cache dir/package basename
# P|n| - package Iull path(URL)
#
# Hint: iI you use several PLD powered machines, you may consider using
# proxy server to speed up download. To make use oI proxy with poldek set
# HTTPPROXY and/or FTPPROXY environment variables or setup transparent
# proxy and uncomment one oI the lines below. For more inIo use man
# poldek,wget,snarI,squid,ipchains or iptables}

#Itpget /usr/bin/snarI P D
#Itpget /usr/bin/wget -N --dot-stylebinary -P d Pn
#httpget /usr/bin/wget -N --dot-stylebinary -P d Pn
#httpsget /usr/bin/curl P -o D
#rsyncget /usr/bin/rsync -v P d
#cdromget /usr/bin/vIjuggle d Pn

# Some rpm macros
#rpmdeI installlangs pl:plPL:lt:ltLT

# don't install any documentation
#rpmdeI netsharedpath /usr/share/inIo:/usr/share/man
#rpmdeI excludedocs 1

13.8.8. Fichier /etc/named.conf

Ce Iichier contient la liste des zones Ipv6 et Ipv4 et le parametrage des Iichiers de traces.

#-------------------------------------------------------------------------------| /etc/named.conI
//-----------------------------------------------
// Fichier DNS UREC IPV6 /etc/named.conI
//-----------------------------------------------
// Revision : 0.0.6
// Date : 030513
//-----------------------------------------------
// Logs:
// Date Description
// 030509. let deIault log Iile instead oI named.log
// 030507. ModiIy zone F.0.0.0 ....IP6.INT
// 030506: ModiIy zone 1.0.0.0.0...IP6.INT
// 030505: Creation
//-----------------------------------------------

//-----------------------------------------------
// acces list
//-----------------------------------------------

// in door protection to allow recursion
Page : 59 / 66
acl protected 2001:660:3302:000I::/64;};
// secondaries dns
acl secondaries 194.57.137.114 ; };

//-----------------------------------------------
// global settings
//-----------------------------------------------
options
directory "/var/named.data"; // working directory
pid-Iile "/var/named.data/named.pid";
//auth-nxdomain no; // no authoring nx domain
//allow-recursion protected;}; // only Ior internal users
listen-on any; }; // Turn on IPv4
listen-on-v6 any; }; // Turn on IPv6
transIers-in 0;
Iorward Iirst;
Iorwarders
2001:660:2401:1001:203:baII:Ie08:1c4a; //DNS 6RAP IPv6
194.57.137.114; //DNS UREC IPv4
212.27.32.5; //DNS FREE.Ir
};
};

//------------------------------------------------
// local zone
//------------------------------------------------
// local IPv6
zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT"

type master;
Iile "UREC/localhost-v6.rev";
};

// Urec IPv6 zone : urec6 Ior IPv6 users only
zone "urec6.cnrs.Ir"
type master;
Iile "UREC/urec6.cnrs.Ir";
allow-transIer secondaries ; };
notiIy yes;
};

// Urec IPv6 reverse
zone "F.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2.IP6.INT"
type master;
Iile "UREC/urec6.cnrs.Ir.rev";
allow-transIer secondaries ; };
};
Page : 60 / 66

//-------------------------------------------
// adress -~ namehost
//-------------------------------------------

zone "0.0.127.in-addr.arpa"
type master;
Iile "UREC/localhost.rev";
allow-update none; };
allow-transIer any; };
};

//-------------------------------------------
// secondary zone
//-------------------------------------------
zone "ipv6.urec.cnrs.Ir"
type slave;
Iile "UREC/ipv6.zone";
masters 194.57.137.114; };
};

zone "138.57.194.IN-ADDR.ARPA"
type slave;
Iile "UREC/urec.cnrs.rev";
masters 194.57.137.114; };
};

//-------------------------------------------
// Cache Iile
//-------------------------------------------
zone "." IN
type hint;
Iile "name.root";
};

//----------------------------------------------------
// log Ilags
//----------------------------------------------------
logging
channel deIault-log //new trace channel
Iile "/var/log/named.log" size 10m; //to Iile named.log 10Mo
print-category yes; //printing Iormat
print-severity yes;
print-time yes;
severity inIo; // only send priority inIo
};
channel deIault-debug
Iile "/var/log/named.run" size 10m;
severity dynamic; // current debug level
};
channel deIault-syslog
syslog daemon; //send to daemon Iacility
Page : 61 / 66
severity inIo;
};

// deIault Iiles Ior trace
category deIault deIault-syslog;
deIault-log; }; // write to deIault channel
////////////////////////////
// speciIic trace Iiltering
////////////////////////////
// to trace server approuval or denial request
category security deIault-syslog;}; // normaly /var/log/syslog

// to trace conIiguration
category conIig deIault-debug;}; // normaly named.run

// to trace unmatched resolution
category unmatched deIault-debug;};

// to trace query
category queries deIault-debug;};

// to trace client request
category client deIault-debug;};

// to trace remote zone transIer
category xIer-in deIault-log; }; // log

// to trace local zone transIer
category xIer-out deIault-log; }; // log

// to trace transIer notiIication
category notiIy deIault-log; }; // log
};

//----------------------------------------------------
// remote access via rndc.conI
//----------------------------------------------------
key "rndc-key"
algorithm hmac-md5;
secret "*******************";
};

controls
inet 127.0.0.1 port 953
allow 127.0.0.1; } keys "rndc-key"; };
};

Page : 62 / 66

13.8.9. Fichier /var/named.data/UREC/IocaIhost-v6.rev

Ce Iichier contient les inIormations du 'localhost en Ipv6.

#--------------------------------------------------------------------| /var/named.data/UREC/localhost-v6.rev

; From: (#)localhost.rev 5.1 (Berkeley) 6/30/90
; $FreeBSD: src/etc/namedb/PROTO.localhost-v6.rev,v 1.1.2.1 2002/02/04 18:24:21 ume Exp $
;
; This Iile is automatically edited by the `make-localhost' script in
; the /etc/namedb directory.
;

$TTL 3600

IN SOA quarks.urec6.cnrs.Ir. amaury.denoo.urec.cnrs.Ir. (
2003090400
3600
900
3600000
3600 )
IN NS quarks.urec6.cnrs.Ir.
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.int. IN PTR localhost.
Page : 63 / 66

13.8.10. Fichier /var/named.data/UREC/urec6.cnrs.fr

Ce Iichier decrit la zone Ipv6 de lÙREC: urec6.cnrs.Ir

#-----------------------------| /va/named.dafa/ukLC/uec6.cns.f
//-----------------------------------------------
// I1ch1e zone /va/named.dafa/ukLC/uec6.cns.f
//-----------------------------------------------
// kev1s1on : 23
// Dafe : 030904
//-----------------------------------------------
// Logs:
// Dafe Desc1pf1on
// 030512:ADL: add c1sco4000 oufe
// 030509:ADL: emove a11 CNAML
// 030507:ADL: add 1pv6 adess fo quaks
// 030507:ADL: add quaks seve
// 030505:ADL: Ceaf1on
//-----------------------------------------------

$11L 12h
--------------------------------------------------------------------
1ype hosf paamefes
--------------------------------------------------------------------
0 lN 5OA quaks.uec6.cns.f. amauy.denoo0uec.cns.f. {
2003090405
6h
1h
1W
12h }

lN N5 quaks.uec6.cns.f.
lN N5 ns.uec6.cns.f.

--------------------------------------------------------------------
adess-name eso1uf1on
--------------------------------------------------------------------
---------------------------------------
nefWok paf /64 | hosf paf 64 b1fs|
-------------------|------------------|
2001:0660:3302:000f:0000:0000:0000:001x

--------------------------------------------
lPv6 ukLC | CCk | 4 b1fs pef1x P6 |
-------------------|------------------------
I.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2

---------------------------------------------------------------------
ukLC6 nefWok hosfs
---------------------------------------------------------------------

uec6 lN AAAA 2001:0660:3302:f::
c1sco4000 lN AAAA 2001:0660:3302:f::1
quaks lN AAAA 2001:0660:3302:f::11
Webm1n lN AAAA 2001:0660:3302:f::12
ns lN AAAA 2001:0660:3302:f::11

Page : 64 / 66

13.8.11. Fichier /var/named.data/UREC/urec6.cnrs.fr

Ce fichier est le pendant de la zone IPv6 de l'UREC : urec6.cnrs.fr

#-------------------------------------------------------|
/va/named.dafa/ukLC/uec6.1p6.ev

//-----------------------------------------------
// kevese f11e /va/named.dafa/ukLC/uec6.1p6.ev
//-----------------------------------------------
// kev1s1on : 0.7
// Dafe : 030905
//-----------------------------------------------
// Logs:
// Dafe Desc1pf1on
// 030904.ADL: change N5 ns.uec6.cns.f fo quaks.uec6.cns.f.
// 030507:ADL: add1ng quak hosf 1pv6
// 030505:ADL: Ceaf1on
//-----------------------------------------------

$11L 3D 3 days

--------------------------------------------------------------------
1ype hosf paamefes
--------------------------------------------------------------------
0 lN 5OA quaks.uec6.cns.f. amauy.denoo0uec.cns.f. {
2003090407
3h
30m
2d
3d }

1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.I.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2.lP6.lN1. lN N5
quaks.uec6.cns.f.

----------------------------------------
nefWok paf /64 | hosf paf 64 b1fs|
-------------------|-------------------|
2001:0660:3302:000f:0000:0000:0000:0011

-------------------------------------------
lPv6 ukLC| CCk | 4 b1fs pef1x P6 |
-------------------|-----------------------
$OklGlN I.0.0.0.2.0.3.3.0.6.6.0.1.0.0.2.1p6.1nf.

---------------------------------------------------------------------
ukLC6 nefWok hosfs
---------------------------------------------------------------------
64 b1fs hosf addess paf
------|-------|-------|-------
2.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k Webm1n.
1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN N5 ns.
1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN N5 quaks.
1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k quaks.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k c1sco4000.
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 lN P1k uec6.
end of evese zone

Page : 65 / 66

13.8.12. Fichier /etc/httpd/httpd.conf
Ce Iichier de conIiguration du serveur Apache permet de realiser un relais du serveur www.urec.cnrs.Ir en
www.urec6.cnrs.Ir (Ipv6) et de rediriger les requtes dàdministration Ipv6 a destination du serveur
MiniServ (Ipv6) de Webmin. Ces redirections suportent des sessions SSL.

Note: seule les instructions modiIiees sont presentes ci-dessous.

#-------------------------------------------------------------------------------| /etc/httpd/httpd.conI

### Listen
# Allows you to bind Apache to speciIic IP addresses and/or ports, in
# addition to the deIault. See also the VirtualHost~ directive.

#Listen 12.34.56.78:80
#Listen 80
Listen 8080

# Listen can take two arguments.
# (this is an extension Ior supporting IPv6 addresses)
Listen :: 80
Listen :: 1028
Listen :: 1029

### Section 2: Dynamic Shared Object (DSO) Support

ServerAdmin adminyourdomain.org

ServerName quarks.ipv6.urec.cnrs.Ir

NameVirtualHost 194.57.138.36
NameVirtualHost 2001:660:3302:F::11
NameVirtualHost 2001:660:3302:F::12

#########################################################
# Webmin conIiguration to allow an IPv6 administration
#########################################################

# Webmin en HTTPS

VirtualHost |2001:660:3302:F::12|:1028~
ServerName quarks.urec6.cnrs.Ir
ErrorLog /var/log/httpd/webmin1028.ipv6-errorlog
RewriteEngine on
RewriteLog /var/log/httpd/unsecuredrewrite.log
RewriteLogLevel 9

SetEnv WEBMINCONFIG /etc/webmin
Page : 66 / 66
SetEnv WEBMINVAR /var/webmin
SetEnv MINISERVC0NFIG /etc/webmin/miniserv.conI

RewriteRule `/(webmin)/(.*)$ https://194.57.138.36:9999/$1/$2 |NC,P|
RewriteRule `/(.*)/(.*)/$ https://194.57.138.36:9999/$1/$2 |NC,P|
RewriteRule `/(.*)$ https://194.57.138.36:9999/$1 |NC,P|
SSLEngine on
SSLCertiIicateFile /etc/httpd/server.crt
SSLCertiIicateKeyFile /etc/httpd/server.key
/VirtualHost~

# Webmin en HTTP
VirtualHost |2001:660:3302:F::12|:1029~
ServerName quarks.urec6.cnrs.Ir
ErrorLog /var/log/httpd/webmin1029.ipv6-errorlog
RewriteEngine on
RewriteLog /var/log/httpd/unsecuredrewrite.log
RewriteLogLevel 9

SetEnv WEBMINCONFIG /etc/webmin
SetEnv WEBMINVAR /var/webmin
SetEnv MINISERVC0NFIG /etc/webmin/miniserv.conI

RewriteRule `/(webmin)/(.*)$ http://194.57.138.36:9999/$1/$2 |NC,P|
RewriteRule `/(.*)/(.*)/$ http://194.57.138.36:9999/$1/$2 |NC,P|
RewriteRule `/(.*)$ http://194.57.138.36:9999/$1 |NC,P|
/VirtualHost~

##########################################################
# Urec Web server redirection
##########################################################

VirtualHost |2001:660:3302:F::11|~
ProxyRequests On
ProxyPass / http://www.urec.cnrs.Ir/
ProxyPassReverse / http://www.urec.cnrs.Ir/
/VirtualHost~

Stage Ipv6 Amaury 2

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Stage Ipv6 Amaury 2

Загружено:

Авторское право:

Доступные форматы

Page : 1 / 66

I.R.T Session 2003 Prochaine Gnration Internet IPv6

Вам также может понравиться