Modifications de « ZAC/Yaoundé/IPv6 »

Modifications entre les versions 3 et 5 (s'étendant sur 2 versions)

Usage d'IPv6

Les développements présentés sur redmine #10712 .

Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 .
Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52
la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local.
- extrait fichier d'interfaces sur la passerelle

auto eth0.2
iface eth0.2 inet static
        address 192.168.200.2
        netmask 255.255.255.0
        vlan-raw-device eth0
        up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113
        up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254
        up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2
        up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2

# Vlan personnel
# v6 CAMTEL 2001:4268:1a1:1410::/64
auto eth0.20
iface eth0.20 inet static
        address 10.45.1.1
        netmask 255.255.255.0
        vlan-raw-device eth0
 up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20
 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20

adressage via radvd . Extrait

#salle formation
#v6 CAMTEL
# 2001:4268:1a1:1450::/64
interface eth0.30
{
   AdvSendAdvert on;
   RDNSS 2001:4268:1a1:1310::2  {};
   prefix 2001:4268:1a1:1450::/64
   {
   };
};};

éviter l'autoconf d'une interface ? Dans /etc/sysctl.d/local.conf par exemple

net.ipv6.conf.ethxx.autoconf=0
net.ipv6.conf.ethxx.accept_ra=0

Répartition

On prend notre /52 qu'on découpe en plusieurs /56

Préfixe générique	Réseau	Usage
2001:4268:1a1:1X00::/56	2001:4268:1a1:1100:/56	VOIP
	2001:4268:1a1:1200::/56	RPV_SVR , réseau d'administration
	2001:4268:1a1:1300::/56	DMZ
	2001:4268:1a1:1400::/56	(Usagers: personnel, prof,étudiants)
	2001:4268:1a1:1500::/56	Nomade
	2001:4268:1a1:1600::/56	...
	...	...

Réseau Usagers

Dans chaque réseau on prend le premier /64 disponible...

Préfixe générique	Réseau	Usage
2001:4268:1a1:14X0::/60	2001:4268:1a1:1410:/60	Personnel
	2001:4268:1a1:1420::/60	Prof
	2001:4268:1a1:1430::/60	Foad
	2001:4268:1a1:1440::/60	Biblio
	2001:4268:1a1:1450::/60	Formation

Firewall

Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
laisser passer ICMPv6 partout !!(ou du moins certaines options ¹ C'est pour cela qu'on a ceci dans le script du parefeu

for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
    $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
    $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done

Qos

TODO

Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 . Désolé je n'ai pas le RFC qui en parle en tête en terme de bonnes pratiques (1)

-  ⇤ ← Version 3 à la date du 2016-05-14 14:45:44 → 
  Taille: 1539
  Éditeur: WillyManga
  Commentaire:
+   ← Version 5 à la date du 2017-01-10 16:54:19 → ⇥
  Taille: 3229
  Éditeur: WillyManga
  Commentaire: précisions: répartition, firewall
-Texte supprimé.
+Texte ajouté.
 Ligne 3:
-Pour le moment via un tunnel chez [[http://tunnelbroker.net/ | Hurricane Electric]] .
+Les développements présentés sur redmine [[https://redmine.auf.org/issues/10172 | #10712 ]] .

 * Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 . 
 * Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52
 * la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local.
-Ligne 7:
+Ligne 11:
-auto he-ipv6
iface he-ipv6 inet6 v4tunnel
        address 2001:470:1f08:ebd::2
        netmask 64
        endpoint 216.66.80.26
        local 195.24.196.113
        ttl 255
        gateway 2001:470:1f08:ebd::1

#VLAN IPv6_1 (réseau uniquement IPv6)
iface eth0.150 inet6 static
        address 2001:470:1f09:ebd::1
        netmask 64
        vlan-raw-device eth0

#VLAN Formation (double-pile)
auto eth0.30
iface eth0.30 inet static
        address 192.168.30.254
+auto eth0.2
iface eth0.2 inet static
        address 192.168.200.2
-Ligne 28:
+Ligne 16:
- up ip -6 addr add 2001:470:6af5:1::254/64 dev eth0.30
 down ip -6 addr del 2001:470:6af5:1::254/64 dev eth0.30
+        up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113
        up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254
        up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2
        up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2

# Vlan personnel
# v6 CAMTEL 2001:4268:1a1:1410::/64
auto eth0.20
iface eth0.20 inet static
        address 10.45.1.1
        netmask 255.255.255.0
        vlan-raw-device eth0
 up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20
 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20
-Ligne 32:
+Ligne 33:
- * préfixes mis à disposition :
  * 2001:470:1f09:ebd::/64
  * 2001:470:6af5::/48
 * DNS récursif mis à disposition : 2001:470:20::2
 * Quelques entrées AAAA inscrites dans le fichier de zone ...
 * adressage via `radvd`
+ * adressage via `radvd`   . Extrait
-Ligne 39:
+Ligne 35:
-interface eth0.150
{
   AdvSendAdvert on;
   RDNSS 2001:470:1f09:ebd::3 2001:470:1f09:ebd::2 {};
   prefix 2001:470:1f09:ebd::/64
   {
   };
};
+#salle formation
#v6 CAMTEL
# 2001:4268:1a1:1450::/64
-Ligne 51:
+Ligne 41:
-   RDNSS 2001:470:1f09:ebd::3 2001:470:1f09:ebd::2 {};
   prefix 2001:470:6af5:1::/64
+   RDNSS 2001:4268:1a1:1310::2  {};
   prefix 2001:4268:1a1:1450::/64
-Ligne 55:
+Ligne 45:
-};
+};};
-Ligne 57:
+Ligne 48:
-Ligne 62:
+Ligne 54:
+=== Répartition ===

 * On prend notre /52 qu'on découpe en plusieurs /56

||Préfixe générique || Réseau || Usage ||
||<|7> 2001:4268:1a1:1X00::/56 ||2001:4268:1a1:1100:/56 || VOIP ||
|| 2001:4268:1a1:1200::/56 ||RPV_SVR , réseau d'administration ||
|| 2001:4268:1a1:1300::/56  || DMZ ||
|| 2001:4268:1a1:1400::/56  ||(Usagers: personnel, prof,étudiants) ||
|| 2001:4268:1a1:1500::/56 || Nomade ||
|| 2001:4268:1a1:1600::/56 || ... ||
|| ... || ... ||

==== Réseau Usagers ====

Dans chaque réseau on prend le premier /64 disponible...

||Préfixe générique || Réseau || Usage ||
||<|5> 2001:4268:1a1:14X0::/60 ||2001:4268:1a1:1410:/60 || Personnel ||
|| 2001:4268:1a1:1420::/60 || Prof ||
|| 2001:4268:1a1:1430::/60 || Foad ||
|| 2001:4268:1a1:1440::/60 || Biblio ||
|| 2001:4268:1a1:1450::/60 || Formation ||

=== Firewall ===


 * Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
 * laisser passer ICMPv6 partout !!(''ou du moins certaines options'' <<FootNote(Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 . Désolé je n'ai pas le RFC qui en parle en tête en terme de bonnes pratiques X-( )>> C'est pour cela qu'on a ceci dans le script du parefeu
{{{
for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
    $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
    $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done
}}}

=== Qos  ===

TODO :D

----

WikiTeki / Modifications de « ZAC/Yaoundé/IPv6 »

Usage d'IPv6

Répartition

Réseau Usagers

Firewall

Qos