Modifications entre les versions 1 et 13 (s'étendant sur 12 versions)
Version 1 à la date du 2012-02-24 08:09:39
Taille: 1209
Éditeur: NacerAdamouSaidou
Commentaire:
Version 13 à la date du 2018-02-25 16:27:58
Taille: 3151
Éditeur: WillyManga
Commentaire: liaison IPv6 native
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:
Au CNF de N'Djamena, nous avons mis en place l'infrastructure nécessaire pour conduire des tests de fonctionnement de l'ensemble des services dont nous assurons l'opération dans le cadre de nos activités.

L'objet de cette page est de mettre à disposition de tous les informations sur nos objectifs, la démarche entreprise et les résultats obtenus, en espérant qu'ils serviront dans le cadre d'un déploiement à plus grande échelle à l'AUF.

== But et objectifs ==
 * '''But''': préparer la migration à IPv6 du réseau informatique du CNF de N'Djamena
 * '''Objectifs''':
  * Tester le bon fonctionnement des services classiques d'un CNF sous IPv6
  * Identifier les configurations/changements/évolutions à apporter à nos services pour fonctionner correctement en dual stack (IPv4, v6)
  * Etudier et discuter des implications en terme de sécurité (VPN multipoint, filtrage ip6tables, etc)
  * Donner quelques indications sur le coût éventuel d'une telle migration

== Etape 1: Bilan matériel ==		 <<TableOfContents()>>
== Usage d'IPv6 ==
Ligne 16: Ligne 5:
== Etape 2: Bilan des OS ==  * Préfixe assigné par le FAI , MARLINK: 2a02:6600:8001:200::/56 .
Ligne 18: Ligne 7:
== Etape 3: Bilan logiciel ==
Ligne 20: Ligne 8:
== Etape 4: Obtention d'une plage d'adresses IPv6 ==  * extrait fichier d'interfaces sur la passerelle
{{{
auto eth0.4
iface eth0.4 inet static
    address 77.70.182.226
    netmask 255.255.255.224
    gateway 77.70.182.225
    up ip addr add 77.70.182.227/32 dev eth0.4
    up ip -6 addr add 2a02:6600:8001:201::2/64 dev eth0.4
    up ip -6 route add default via 2a02:6600:8001:201::1 dev eth0.4
Ligne 22: Ligne 19:
== Etape 5: Configurations == }}}
Ligne 24: Ligne 21:
== Conclusions ==
 * éviter l'autoconf d'une interface ? Dans `/etc/sysctl.d/local.conf` par exemple
{{{
net.ipv6.conf.ethxx.autoconf=0
net.ipv6.conf.ethxx.accept_ra=0
}}}

=== Répartition ===

 * On prend notre /56 qu'on découpe en plusieurs /60; soit 16 réseaux.
  * `sipcalc -S 60 2a02:6600:8001:200::/56`

||Préfixe générique || Réseau || Usage ||
||<|7> 2a02:6600:8001:200::/56 ||2a02:6600:8001:200::/60 || WAN ||
|| 2a02:6600:8001:210::/60 ||RPV_SVR , réseau d'administration ||
|| 2a02:6600:8001:220::/60 || DMZ ||
|| 2a02:6600:8001:230::/60 ||(Usagers: personnel, prof,étudiants) ||
|| 2a02:6600:8001:240::/60 || Nomade ||
|| 2a02:6600:8001:250::/60 || ... ||
|| ... || ... ||

 * {i} A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement.


==== WAN ====
 * Préfixe générique : 2a02:6600:8001:200::/60
  * préfixe employé : 2a02:6600:8001:201::/64 <<FootNote(MARLINK avait déjà utilisé une adresse dans cette plage pour son routeur)>>


==== DMZ ====
 * Préfixe générique : 2a02:6600:8001:220::/60
  * préfixe employé : 2a02:6600:8001:220::/64

==== Réseau Usagers ====


 * L'adressage via SLAAC (''radvd'') partout .

||Préfixe générique || Réseau || Usage ||
||<|6> 2a02:6600:8001:230::/60 ||2a02:6600:8001:230::/64 || Personnel ||
|| 2a02:6600:8001:231::/64 || infotech ||
|| 2a02:6600:8001:232::/64 || salle réunion ||
|| 2a02:6600:8001:233::/64 || formation ||
|| 2a02:6600:8001:234::/64 || prof ||


=== Firewall ===


 * Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
 * laisser passer ICMPv6 partout !!(''ou du moins certaines options''<<FootNote(Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 . <<BR>>Lire les RFC [[https://tools.ietf.org/html/rfc4890|4890]] et [[https://tools.ietf.org/html/rfc7084 | 7084]] )>> ) C'est pour cela qu'on a ceci dans le script du parefeu
{{{
for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
    $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
    $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done
}}}

== Auparavant ==

Auparavant Marlink avait déjà offert un accès IPv6. Mais à cette époque c'était en ''test''; le FAI ne garantissait aucune qualité de service. Une Archive de la page [[https://wiki.auf.org/wikiteki/ZAC/Ndjam%C3%A9na/IPv6?action=recall&rev=11| ici ]]

----

Sommaire

  1. Usage d'IPv6
    1. Répartition
      1. WAN
      2. DMZ
      3. Réseau Usagers
    2. Firewall
  2. Auparavant

Usage d'IPv6

  • Préfixe assigné par le FAI , MARLINK: 2a02:6600:8001:200::/56 .
  • extrait fichier d'interfaces sur la passerelle 

auto eth0.4
iface eth0.4 inet static
    address 77.70.182.226
    netmask 255.255.255.224
    gateway 77.70.182.225
    up ip addr add  77.70.182.227/32 dev eth0.4
    up ip -6 addr add 2a02:6600:8001:201::2/64 dev eth0.4
    up ip -6 route  add default via 2a02:6600:8001:201::1 dev eth0.4

  • éviter l'autoconf d'une interface ? Dans /etc/sysctl.d/local.conf par exemple 

net.ipv6.conf.ethxx.autoconf=0
net.ipv6.conf.ethxx.accept_ra=0

Répartition

  • On prend notre /56 qu'on découpe en plusieurs /60; soit 16 réseaux.

    • sipcalc -S 60 2a02:6600:8001:200::/56

Préfixe générique

Réseau

Usage

2a02:6600:8001:200::/56

2a02:6600:8001:200::/60

WAN

2a02:6600:8001:210::/60

RPV_SVR , réseau d'administration

2a02:6600:8001:220::/60

DMZ

2a02:6600:8001:230::/60

(Usagers: personnel, prof,étudiants)

2a02:6600:8001:240::/60

Nomade

2a02:6600:8001:250::/60

...

...

...

  • {i} A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement.

WAN

  • Préfixe générique : 2a02:6600:8001:200::/60

    • préfixe employé : 2a02:6600:8001:201::/64 1

DMZ

  • Préfixe générique : 2a02:6600:8001:220::/60
    • préfixe employé : 2a02:6600:8001:220::/64

Réseau Usagers

  • L'adressage via SLAAC (radvd) partout .

Préfixe générique

Réseau

Usage

2a02:6600:8001:230::/60

2a02:6600:8001:230::/64

Personnel

2a02:6600:8001:231::/64

infotech

2a02:6600:8001:232::/64

salle réunion

2a02:6600:8001:233::/64

formation

2a02:6600:8001:234::/64

prof

Firewall

  • Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales

  • laisser passer ICMPv6 partout !!(ou du moins certaines options2 ) C'est pour cela qu'on a ceci dans le script du parefeu 

for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
    $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
    $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done

Auparavant

Auparavant Marlink avait déjà offert un accès IPv6. Mais à cette époque c'était en test; le FAI ne garantissait aucune qualité de service. Une Archive de la page ici

  1. MARLINK avait déjà utilisé une adresse dans cette plage pour son routeur (1)

  2. Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 .
    Lire les RFC 4890 et 7084 (2)

ZAC/Ndjaména/IPv6 (dernière édition le 2018-02-25 16:51:47 par WillyManga)