1539
Commentaire:
|
3229
précisions: répartition, firewall
|
Texte supprimé. | Texte ajouté. |
Ligne 3: | Ligne 3: |
Pour le moment via un tunnel chez [[http://tunnelbroker.net/ | Hurricane Electric]] . | Les développements présentés sur redmine [[https://redmine.auf.org/issues/10172 | #10712 ]] . * Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 . * Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52 * la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local. |
Ligne 7: | Ligne 11: |
auto he-ipv6 iface he-ipv6 inet6 v4tunnel address 2001:470:1f08:ebd::2 netmask 64 endpoint 216.66.80.26 local 195.24.196.113 ttl 255 gateway 2001:470:1f08:ebd::1 #VLAN IPv6_1 (réseau uniquement IPv6) iface eth0.150 inet6 static address 2001:470:1f09:ebd::1 netmask 64 vlan-raw-device eth0 #VLAN Formation (double-pile) auto eth0.30 iface eth0.30 inet static address 192.168.30.254 |
auto eth0.2 iface eth0.2 inet static address 192.168.200.2 |
Ligne 28: | Ligne 16: |
up ip -6 addr add 2001:470:6af5:1::254/64 dev eth0.30 down ip -6 addr del 2001:470:6af5:1::254/64 dev eth0.30 |
up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113 up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254 up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2 up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2 # Vlan personnel # v6 CAMTEL 2001:4268:1a1:1410::/64 auto eth0.20 iface eth0.20 inet static address 10.45.1.1 netmask 255.255.255.0 vlan-raw-device eth0 up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20 |
Ligne 32: | Ligne 33: |
* préfixes mis à disposition : * 2001:470:1f09:ebd::/64 * 2001:470:6af5::/48 * DNS récursif mis à disposition : 2001:470:20::2 * Quelques entrées AAAA inscrites dans le fichier de zone ... * adressage via `radvd` |
* adressage via `radvd` . Extrait |
Ligne 39: | Ligne 35: |
interface eth0.150 { AdvSendAdvert on; RDNSS 2001:470:1f09:ebd::3 2001:470:1f09:ebd::2 {}; prefix 2001:470:1f09:ebd::/64 { }; }; |
#salle formation #v6 CAMTEL # 2001:4268:1a1:1450::/64 |
Ligne 51: | Ligne 41: |
RDNSS 2001:470:1f09:ebd::3 2001:470:1f09:ebd::2 {}; prefix 2001:470:6af5:1::/64 |
RDNSS 2001:4268:1a1:1310::2 {}; prefix 2001:4268:1a1:1450::/64 |
Ligne 55: | Ligne 45: |
}; | };}; |
Ligne 57: | Ligne 48: |
Ligne 62: | Ligne 54: |
=== Répartition === * On prend notre /52 qu'on découpe en plusieurs /56 ||Préfixe générique || Réseau || Usage || ||<|7> 2001:4268:1a1:1X00::/56 ||2001:4268:1a1:1100:/56 || VOIP || || 2001:4268:1a1:1200::/56 ||RPV_SVR , réseau d'administration || || 2001:4268:1a1:1300::/56 || DMZ || || 2001:4268:1a1:1400::/56 ||(Usagers: personnel, prof,étudiants) || || 2001:4268:1a1:1500::/56 || Nomade || || 2001:4268:1a1:1600::/56 || ... || || ... || ... || ==== Réseau Usagers ==== Dans chaque réseau on prend le premier /64 disponible... ||Préfixe générique || Réseau || Usage || ||<|5> 2001:4268:1a1:14X0::/60 ||2001:4268:1a1:1410:/60 || Personnel || || 2001:4268:1a1:1420::/60 || Prof || || 2001:4268:1a1:1430::/60 || Foad || || 2001:4268:1a1:1440::/60 || Biblio || || 2001:4268:1a1:1450::/60 || Formation || === Firewall === * Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales * laisser passer ICMPv6 partout !!(''ou du moins certaines options'' <<FootNote(Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 . Désolé je n'ai pas le RFC qui en parle en tête en terme de bonnes pratiques X-( )>> C'est pour cela qu'on a ceci dans le script du parefeu {{{ for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem' do $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT done }}} === Qos === TODO :D ---- |
Usage d'IPv6
Les développements présentés sur redmine #10712 .
- Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 .
- Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52
- la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local.
- extrait fichier d'interfaces sur la passerelle
auto eth0.2 iface eth0.2 inet static address 192.168.200.2 netmask 255.255.255.0 vlan-raw-device eth0 up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113 up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254 up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2 up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2 # Vlan personnel # v6 CAMTEL 2001:4268:1a1:1410::/64 auto eth0.20 iface eth0.20 inet static address 10.45.1.1 netmask 255.255.255.0 vlan-raw-device eth0 up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20
adressage via radvd . Extrait
#salle formation #v6 CAMTEL # 2001:4268:1a1:1450::/64 interface eth0.30 { AdvSendAdvert on; RDNSS 2001:4268:1a1:1310::2 {}; prefix 2001:4268:1a1:1450::/64 { }; };};
éviter l'autoconf d'une interface ? Dans /etc/sysctl.d/local.conf par exemple
net.ipv6.conf.ethxx.autoconf=0 net.ipv6.conf.ethxx.accept_ra=0
Répartition
- On prend notre /52 qu'on découpe en plusieurs /56
Préfixe générique |
Réseau |
Usage |
2001:4268:1a1:1X00::/56 |
2001:4268:1a1:1100:/56 |
VOIP |
2001:4268:1a1:1200::/56 |
RPV_SVR , réseau d'administration |
|
2001:4268:1a1:1300::/56 |
DMZ |
|
2001:4268:1a1:1400::/56 |
(Usagers: personnel, prof,étudiants) |
|
2001:4268:1a1:1500::/56 |
Nomade |
|
2001:4268:1a1:1600::/56 |
... |
|
... |
... |
Réseau Usagers
Dans chaque réseau on prend le premier /64 disponible...
Préfixe générique |
Réseau |
Usage |
2001:4268:1a1:14X0::/60 |
2001:4268:1a1:1410:/60 |
Personnel |
2001:4268:1a1:1420::/60 |
Prof |
|
2001:4268:1a1:1430::/60 |
Foad |
|
2001:4268:1a1:1440::/60 |
Biblio |
|
2001:4268:1a1:1450::/60 |
Formation |
Firewall
- Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
laisser passer ICMPv6 partout !!(ou du moins certaines options 1 C'est pour cela qu'on a ceci dans le script du parefeu
for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem' do $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT done
Qos
TODO
Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 . Désolé je n'ai pas le RFC qui en parle en tête en terme de bonnes pratiques (1)