2. Table des matières
n La table des matières est insérée dans la page de commentaire.
n La page de commentaire recouvre ce slide. Il n’est donc pas imprimé.
n Ce slide n’est pas visible en mode diaporama (slide masqué).
3. Objectif
n L’Objectif de ce cours est de fournir toutes les informations théoriques et pratiques
nécessaires pour planifier et mettre en oeuvre un déploiement IPv6 dans un environnement
mono protocole IPv6 ou mixte MPLS-IPv4-IPv6
4. Pre-Requis
n Une culture générale réseau est nécessaire pour tirer partie de tout le contenu
n Ce Cours s’adresse a un public ayant eu une première expérience avec IPv4 et souhaitant
intégrer IPv6 dans leurs réseaux.
n Des labs utilisant des routeurs Cisco sont prévus mais ne sont pas indispensables pour
donner ce cours si le public n’en a pas besoin.
5. Sommaire
n Présentations
n Rappels IPv4
n Le Protocole IPv6
n ICMPv6 et Neighbor Discovery
n Menaces sur NDP et SEND pour le sécuriser
n Les Protocoles de Routages IPv6
n Interconnexions de Réseaux IPv6
n Tunnels IPv6 dans IPv4
n Interconnections par des réseaux MPLSv4
- 6PE, 6vPE
n La Qualité de Service dans les réseaux IPv6
n La Sécurité dans les réseaux IPv6
n Protocole de routage
n IPSec
n La Gestion des Réseaux IPv6
6. Fred BOVY
n 12 yr CCIE Routing & Switching 3013
n Cisco Certified System Intructor 95003
n 8 ans chez ITS ( Groupe SITA)
n 5 ans comme technico-commercial et
n 3 ans comme formateur principalement Cisco et autres passerelles SNA/X25 sous UNIX vers TCP/IP.
n 2 ans chez Global Knowledge (Institut ERIS )
n responsable formation Cisco.
n 10 ans chez CISCO.
n 4 ans comme support Clients VIVENDI et EQUANT
n 6 ans comme dev-testeur IPv6 (6PE,6VPE, Netflow for IPv6, etc…..)
7. Pratique
n Horaires 9h-12h 14h-17h
n Pauses Café
n Pensez a vos successeurs !
n N’oubliez pas de remplir vos fiches d’évaluation a la fin du cours !
9. Objectif
n L’objectif de ce module est de rafraichir les connaissances IPv4 en introduisant tous les
basics de ce protocole
n Ceci pour permettre de comparer avec IPv6
n de plus IPv6 et IPv4 ont beaucoup en commun
10. IP et protocoles associes
n IPv4 offre un service de datagram Best-Effort
n Il est assisté de ARP pour encapsuler ses datagrams dans des trames en obtenant
l’adresses MAC de son destinataire.
n IPv4 a besoin d’autres protocoles ou de configurations statiques laborieuses
11. En-tête IPv4
Version Longueur d’en-tête D Longueur Totale en Octet
Identification pour les fragment Flag Fragment Offset
Durée de Vie (TTL) Protocol Somme de contrôle pour l’en-tête (header checksum)
Adresse Source
Adresse Destination
Options (+ bourrage)
P P P
DF M
T R E 0
12. En-tete IPv4
n Version (4 Bits) 4
n Internet Header Length (4 bits)
n IHL signifie "Internet header lengh". ce champ est codé sur 4 bits et représente la longueur en
mots de 32 bits de l'en-tête IP. Par défaut, il est égal à 5 (20 octets), cependant, avec les
options de l'en-tête IP, il peut être compris entre 6 et 15.
n Le fait que le codage soit sur 4 bits, la taille maximum de l'en-tête IP est donc de 15*32bits = 60
octets
n 60 >= Taille En-tête Ipv4 >= 20
13. Fragmentation
n Identification (16 bits)
n Identifie tous les fragments d’un même datagramme
n Fragment Offset (13 bits)
n position du fragment par rapport au paquet de départ, en nombre de mots de 8 octets.
n Flag
n DF - Don’t Fragment
n MF - More Fragment
14. TTL. Durée de Vie (8 bits)
n BUT: Contrecarrer les effets d’une boucle de routage en évitant que des paquets puissent
tourner dans le réseau à l’infini, problème non résolu au niveau deux sur les ponts
transparents.
n ORIGINE: A l’origine de l’Internet, ce champs était supposé représenter le temps restant au
paquet à vivre dans le réseau.
n C’est vite devenu trop compliqué à gérer et il s’est transformé en compteur à rebours de
saut. Lorsqu’il atteint zéro, le datagramme est détruit.
n Ce qu’il est devenu: Il est décrémenté à chaque saut. Si il atteint la valeur nulle. Le
datagramme est jeté et un message ICMP Time Exceeded est envoyé vers la source.
15. Protocole (8 bits)
n numéro du protocole au-dessus de la couche réseau :
n TCP = 6,
n UDP = 17,
n ICMP = 1.
16. Somme de contrôle de l’en-tête (16 BITS)
n Checksum ou encore CRC pour Contrôle de Redondance Cyclique: vérification de l'intégrité
de l'en-tête seulement. Si le CRC est invalide, le paquet est abandonné sans message
d'erreur.
n Le TTL est généralement le seul champs qui change pendant le routage d’un paquet et
demande le calcul d’un nouveau CRC. Cette opération est faisable par des ASICS.
18. DiffServ
n Differentiated Services Field redéfini les 6 premiers bits comme DSCP et défini deux
grandes sortes de trafic.
n Dans l’en-tête IPv6, le DSCP est présent dans un champs appelé Trafic Class.
19. DiffServ Expedited Forwarding
n Expedited Forwarding (RFC3246).
n Dans ce mode les données sont traitées avec une priorité stricte.
n Cela demande un protocole de réservation RSVP pour garantir que la bande passante est
disponible dans la Strict Priority Queue.
- DSCP = 101110
20. DiffServ Assured Forwarding
n Assured Forwarding (RFC2597).
n Dans ce mode le trafic est classé par classes de trafic plus ou moins prioritaires.
n Dans chaque classe il est possible de donner une priorité pour le rejet de trafic devant être
rejeté par manque de Bande passante disponible (Overbooking).
21. Diff-Serv Assured Forwarding
DSCP DSCP binary Intended Protocol Configuration
AF1 AF11
AF12
AF13
001010
001100
001110
Bulk Transfer, Web,
General Data Service
Active Q management
DSCP-based WRED.
AF2 AF21
AF22
AF23
010010
010100
010110
Datagram access,
transaction services,
interactives traffic, preferred
data service
Active Q management
DSCP-based WRED.
AF3 AF31
AF32
AF33
011010
011100
011110
Locally defined; mission
critical application
Active Q management
DSCP-based WRED.
AF4 AF41
AF42
AF43
100010
100100
100110
Interactive video and
associated voice
Admission control RSVP
Active Q management
DSCP-based WRED.
22. Diff Serv Class Selector
PHB DSCP DSCP bin Intended Protocol Configuration
IP Routing Class Selector 6 110000 BGP, OSPF, and so on Queuing=rate based. Small
guaranteed min rate, WRED
Streaming Video Class Selector 4 100000 Often Proprietary Admission control=RSVP,
Queuing=rate based. Small
guaranteed min rate, WRED
Telephony Signaling Class Selector 3 011000 SIP, H323, etc…. Queuing=rate based. Small
guaranteed min rate, WRED
Network Management Class Selector 2 010000 SNMP Queuing=rate based. Small
guaranteed min rate, WRED
Scavenger Class Selector 1 0010000 User Selected Service Queuing=rate based. NO
guaranteed min rate, WRED
23. Longueur Totale en Octets
n nombre total d'octets du datagramme, en-tête IP comprise. Donc, la valeur maximale est
(216)-1 octets.
24. La Fragmentation
n Les Champs suivants permettent la fragmentation.
- Identification - Identifie tous les fragments d’un même datagramme
- Fragment Offset - Positionne le fragment dans le datagramme
- MF Bit - Encore des fragments a venir
- DF Bit - Ne pas fragmenter, laisser tomber si nécessaire
25. PMTUD
n Une station tente d’émettre un paquet vers la destination au MTU et positionne le bit DF.
n Si un routeur drop le paquet, il envoie un Packet Too Big ICMP vers la source avec le MTU
disponible.
n L’opération est éventuellement répétée jusqu’ a ce qu’un paquet puisse être émis au MTU
disponible vers la destination.
n La source maintient un cache par destination.
26. En-tête IPv4 (suite)
n TTL. Le Time to Live est décrémenté a chaque hop. Si sa valeur est nul le paquet est droppé
et un message ICMP remonte a la source pour l’en informer.
n Protocol. Un code définit dans le RFC1700 qui définit le protocole encapsule. Les plus
connus sont:
n 01 - ICMP
n 02 - IGMP
n 06 - TCP
n 17 - UDP
27. Checksum.
n Le champ Checksum est codé sur 16 bits et représente la validité de l’en-tête du paquet de
la couche 3.
n Pour pouvoir calculer le Checksum, il faut positionner le champ du checksum a 0 et ne
considérer que l'en-tête IP. Donc par exemple, si deux trames ont la même en-tête IP (y compris
le champ length) et deux en-têtes ICMP et Data différentes (mais de même longueur), le
checksum IP sera alors le même.
28. Adresses IPv4
n Adresse IP Source/Destination
n Classe A. Adresses de 1.0.0.0 à 126.255.255.255.
n La plage 10.0.0.0. à 10.255.255.255 est privée.
n 128 domaines (réseaux) et 16.777.214 machines de classe A par domaine
n Classe B. 127.0.0.0 à 191.255.255.255.
n La plage 172.16.0.0. à 172.31.255.255 est privée.
n 16.000 domaines et 65.534 Machines de classe B par domaine
n Classe C. 192.0.0.0 à 223.255.255.255.
n La plage 192.168.0.0. à 192.168.255.255 est privée.
n 2.000.000 domaines et 254 machines de classe C par domaine
n Classe D. 234.0.0.0 à 239.255.255.255 Multicast
n Classe E. 240.0.0.0 à 247.255.255.255 Expérimentale
29. NAT/PAT
n NAT permet de gérer la traduction d’adresses privées en publiques
n PAT permet d’associer plusieurs adresses privées a une adresse publique
n Cons
n Goulet d’étranglement
n Gere mal certaines applications qui véhiculent les adresses
n Pro
n Cache le réseau a l’extérieur du domaine
31. En-tête IPv4 - Option
n Copie (1 bit)
n S’il est positionné les options sont recopiées dans le paquet fractionné.
n Class (2 Bits)
n 0 - 00 - Supervision de réseau
1 - 01 - Non utilise
2 - 10 - Debug et mesures
3 - 11 - Non utilisé
32. Options (Suite)
n Numéro (5 bits). Le champ Numéro indique les différentes options existantes.
n Voici la liste des différents numéros possibles par Classe :
n Classe 0,
- 0 - 00000 - Fin de liste d'option. Utilisé si les options ne se terminent pas à la fin de l'en-tête (bourrage).
- 1 - 00001 - Pas d'opération. Utilisé pour aligner les octets dans une liste d'options.
- 2 - 00010 - Restriction de sécurité et de gestion. Destiné aux applications militaires.
- 3 - 00011 - Routage lâche défini par la source.
- 7 - 00111 - Enregistrement de route.
- 8 - 01000 - Identificateur de connexion.
- 9 - 01001 - Routage strict défini par la source.
n Classe 2,
- 4 - 00100 - Horodatage dans l'Internet.
33. En-tête IPv4 - Bourrage
n Le champ Bourrage est de taille variable comprise entre 0 et 7 bits. Il permet de combler le
champ option afin d'obtenir une en-tête IP multiple de 32 bits. La valeur des bits de bourrage
est 0.
34. DHCP/BOOTP/RARP
n Certaines stations n’ont pas de quoi stocker leur système d’exploitation et le charge par le réseau.
n Tout ce que connait la station est sa MAC adresse
n Une Requête BOOTP ou RARP demande une adresse IP en envoyant sa MAC adresse.
n Un Serveur BOOTP ou RARP lui donne son adresse IP d’après sa MAC adresse
n Puis la station peut charger son OS en utilisant TFTP.
n La différence principale entre ces protocoles est que BOOTP comme DHCP sont encapsulés dans IP.
35. DHCP
n Configuration reseau des stations centralisee.
n On configure sur un Serveur DHCP tout ce que les machines d’un reseau ont besoin de
connaitre:
n Adresse IP
n Routeur par defaut
n Adresse du ou des Serveurs DNS
n Nom de domaine, etc…
36. Conclusion
n IPv4 ne permet pas d’attribuer une adresse globale au nombre toujours croissant de stations
Internet.
n NAT permet d’utiliser des adresses privées mais la traduction est un goulet d’étranglement
et s’accommode mal de certaines applications.
n IPv6 résout le problème d’adressage et bien d’autres encore.
40. Introduction
n RFC2460
n IP Version 6 améliore sur de nombreux points le protocole IP version 4 vieux d’une trentaine
d’années maintenant !…
n La pénurie d’adresse IPv4 qui a généralisée l’emploi de NAT dans la plupart des entreprises
est un frein au développement de certaines applications qui s’accommodent mal de NAT.
41. En-tête IPv6 en bref !
n Les champs de la fragmentation sont retirés.
n Les champs Identifications, Don’t Fragment, More Bit et Fragment Id ont étés supprimés.
n Le CHECKSUM a également été supprime
n Il devient obligatoire dans UDP
n Un Champs Trafic Class (8 bits) contient le DSCP
n Un Champs Flow Label (20 bits) permet d’identifier un flux d’information.
n Les adresses sont sur 128 bits
n De 20 Octets il passe à 40 Octets
42. En-tête IPv6
Ver Traffic Class Flow Label
Payload Length Next Header=Hop-By-Hop Hop Limit
Source IPv6 Address
Destination IPv6 Address
Next Header=Routing Hdr
Next Header=TCP
Hop-By-Hop
Routing Header
TCP Header
44. Flow label
n Permet d’identifier un flow de données
n Non utilisé à ce jour donc disponible pour de futures applications
45. Traffic Class
n Un octet
n Similaire a TOS+Priority
n Utilisé pour marquer le trafic pour traitement différentié selon QOS en vigueur
46. DiffServ
n Identique a IPv4
n Differentiated Services Field redéfinit les 6 premiers bits comme DSCP
n définit deux grandes sortes de trafic.
n Expedited Forwarding
- http://www.ietf.org/rfc/rfc3246.txt
n Assured Forwarding
- http://www.ietf.org/rfc/rfc2597.txt
47. DiffServ Expedited Forwarding
n Expedited Forwarding (RFC3246).
n Dans ce mode les données sont traitées avec une priorité stricte.
n Cela demande le protocole de réservation RSVP pour garantir que la bande passante soit disponible dans les
Priority Queues des routeurs tout au long du chemin.
- DSCP = 101110
48. Diff-Serv Assured Forwarding
q Dans ce mode le trafic est classé par classe de trafic plus ou moins prioritaires.
q Chaque classe de trafic est doté de 3 niveaux de précédence pour prioriser les drop.
DSCP DSCP binary Intended Protocol Configuration
AF1 AF11
AF12
AF13
001010
001100
001110
Bulk Transfer, Web,
General Data Service
Active Q management
DSCP-based WRED.
AF2 AF21
AF22
AF23
010010
010100
010110
Datagram access,
transaction services,
interactives traffic, preferred
data service
Active Q management
DSCP-based WRED.
AF3 AF31
AF32
AF33
011010
011100
011110
Locally defined; mission
critical application
Active Q management
DSCP-based WRED.
AF4 AF41
AF42
AF43
100010
100100
100110
Interactive video and
associated voice
Admission control RSVP
Active Q management
DSCP-based WRED.
49. Diff Serv Class Selector
PHB DSCP DSCP bin Intended Protocol Configuration
IP Routing Class Selector 6 110000 BGP, OSPF, and so on Queuing=rate based. Small
guaranteed min rate, WRED
Streaming Video Class Selector 4 100000 Often Proprietary Admission control=RSVP,
Queuing=rate based. Small
guaranteed min rate, WRED
Telephony
Signaling
Class Selector 3 011000 SIP, H323, etc…. Queuing=rate based. Small
guaranteed min rate, WRED
Network
Management
Class Selector 2 010000 SNMP Queuing=rate based. Small
guaranteed min rate, WRED
Scavenger Class Selector 1 0010000 User Selected Service Queuing=rate based. NO
guaranteed min rate, WRED
50. Next Header
n Afin de permettre le chainage des encapsulations, un pointeur vers le prochain header a été
ajouté
n Similaire au champs protocole de IPv4
n Permet le chainage de plusieurs Options
51. IPv6 Option Header
n Afin de permettre le chainage des encapsulations, un pointeur vers le prochain header a été ajouté
n Similaire au champs protocole de IPv4
n La seule Option qui doit être inspectée par tous les nodes est le Hop-by-Hop
n Chaque option est formatéee comme un TLV
8 bits 8 bits 16 bits
Option Type Option Length Option data
52. Hop-By-Hop Option
n Hop-by-Hop (Next header=0) est la seule en-tête qui doit être examinée par tous les noeuds
du réseau.
n Jumbogram 65,536 octets
n RFC 2711 Router Alert utilise par MLD, RSVP
n DOIT ETRE LE PREMIER
53. Routing Header
n Type 0. un RFC Implémente le Source Routing
n Il liste tous les noeuds qui doivent être visités
n Représente un danger potentiel et peut être interdit sur un routeur cisco.
n Type 1 Obsolete
n Type 2. RFC3775 Utilise par Mobile IPv6
54. IPv6 Header (suite)
n Fragment Header
n Utilise PMTUD pour l’éviter
n S’il ne le peut, la source fragmente et l’option contient les champs nécessaires pour rassembler
le datagramme. : ID, offset
n C’est devenu tellement rare que ca ne valait pas la peine de mobiliser des champs fixes dans
l’en-tête IPv6.
n Authentication Header
n ESP Header
n Mobility Header
57. Maximum Transmission Unit
Frame Header IPv6 Packet Frame Trailer
n IPv4
n MTU >= 68 Octets
n IPv6
n MTU >= 1280 Octets
n PMTUD
Link-Layer Frame
Minimum MTU = 1280 Octets
58. Adresses IPv6
n Unicast.
n Identifie un noeud de réseau
n Le trafic est acheminé vers ce noeud unique
n Multicast
n Identifie un groupe de noeuds de réseau
n Le trafic est acheminé vers tous les noeuds de ce groupe
n FF00::/8
n Anycast
n Identifie un groupe de noeuds de réseau
n Le trafic est acheminé vers le noeud le plus proche
59. Representation
n X:X:X:X:X:X:X:X
n X est un champs Hexa sur 16 bits
n Les 0 successifs sont représentés par :: mais seulement 1 fois dans une adresse
n 2000:1::0102:1234:4222
n FF01:0:0:0:0:0:0:1 = FF01::1
n 0:0:0:0:0:0:0:0 = ::
60. Représentation (suite)
n IPv4-compatible
n 0:0:0:0:0:192.168.30.1
n ::192.168.30.1
n Tunnels Automatiques IPv6->IPv4
n Dans un URL, il est entouré de []
n http://[2001:1:4::11]:8080/index.html
61. Unspecified et Loopback Address
n Unspecified
n 0:0:0:0:0:0:0:0 ou ::
n Utilise quand il n’y a pas d’adresse disponible
- Initial DHCP Request
- Initial RS pendant autoconfig
n Loopback
n 0:0:0:0:0:0:0:1
n ::1
n Identique a 127.0.0.1 en ipv4
62. Global Unicast Address
n Adresse Unicast d’un Hote:
n 2000:0001:0002:0000:0000:0005:0006:0007
n 2000:0001:0002::0005:0006:0007
n Prefix Reseaux:
n 2000:0001:0002::/48
n 2000:1000:0001:0010::/64
63. Multicast
n FF00::/8
n FF0x:: (X=0..F) est réservé
n Remplace le broadcast inexistant en IPv6
n No TTL in IPv6 Multicast
n L’étendu est codée dans l’adresse
n FF02::1:FFXX:XXXX Solicited Node
64. Multicast
FF Flag Scope 0 Interface ID
n Flag (Drapeau)
n O si permanent
n 1 si temporaire
n Scope (Etendue)
n 1=node
n 2=link
n 3=site
n 5=Organization
n E=Global
128 bits
65. Multicast Address
n FF01::1 Interface-local Scope All nod]e address
n FF01::2 Interface-local Scope All routers address
n FF02::1 Link-local Scope all node adress
n FF02:2 Link-local Scope All routers address
n FF05::1 Site-local Scope All node address
n FF05::2 Site-local Scope all routers address
n FF05::1:3 Site-local Scope all DHCP server
67. Etendue d’adresse (Scope)
n Link-local scope.
n Certaines adresses ne sont valides que dans un domaine de couche liaison de données
n 1111111010 -> FE84::/64
n Site-local scope.
n Ces adresses sont valides au niveau d’un ou plusieurs sites ou d’un ensemble de domaines de
couches de liaison de données
n 11111110L-> FC00::/7 OR FD00::/7 for Local Assigment
n Global Scope
n Ces adresses sont valides au sens le plus large de l’Internet auquel est connecte le noeud.
68. Adresses IPv6 pour un noeud
n Une Link-local pour chaque interface
n Loopback
n Assigned Unicast
n All-nodes Multicast
n Solicited-node multicast pour chaque unicast
n Multicast
69. Adresses requises pour un routeur
n Toutes les adresses du noeud IPv6
n Subnet-router anycast pour les interfaces configurées comme forwarding interfaces
n Autres Anycast
n All-Routers Multicast
n Specific Multicast pour les protocoles de routages
70. IPv6 dans Ethernet
Dest Ethernet
Adress Source Ethernet
Adress 0x86DD IPv6 En-tête et charge
n Protocole IPv6: Ox86DD
71. EUI-64
EUI-64 est forme en inserant 0xFFFE
00 90 59 02 E0 F9
00 90 59 FF FE 02 E0 F9
n Mac Address 48 bit
n X=1 Unique
n X=0 Not Unique
000000X0
72. Multicast Mapping sur Ethernet
n Adresse IPv6 Multicast
n FF02:0:0:0:0:1:FF90:FE53
n Adresse Mac correspondante
n 33:33:FF:90:FE:53
73. Cisco IPv6 Interface
sa13-72c(config-if)#do show ipv6 int gig0/2
GigabitEthernet0/2 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::20B:60FF:FEB4:9C1A
No Virtual link-local address(es):
Stateless address autoconfig enabled
Global unicast address(es):
2000:1::20B:60FF:FEB4:9C1A, subnet is 2000:1::/64 [EUI/CAL/PRE]
valid lifetime 2591911 preferred lifetime 604711
Joined group address(es):
FF02::1
FF02::2
FF02::1:FFB4:9C1A
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 23319)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
74. Conclusions
n Plus de limite sur les adresses disponibles
n Une en-tête orientée performance
n Le multicast remplace le broadcast44
76. Objectives
n Comprendre le fonctionnement d’ICMPv6
n ICMPv6 Neighbor Discovery, IGMP et autres protocoles sont maintenant implementés dans
ICMPv6
77. TOPIC
n Introduction
n ICMPv6
n MLD (IGMP)
n Protection d’ICMPv6
n Messages d’Erreurs d’ICMPv6
n Destination Unreachable
n Time Exceeded
n Paquet too Big
n Parameter Problem
n Message d’informations
n Echo Request
n Echo Reply
n Exemple sur un routeur Cisco
78. Introduction
n RFC 4443
n IPv6 extension header type 58
n PMTUD est utilisé pour trouver le MTU entre deux noeuds de réseau.
n ICMP Version 6 améliore sur de nombreux points le protocole IP version 4 vieux d’une trentaine
d’années maintenant !
n ICMPv6 et Neighbor Discovery englobe maintenant des fonctions autrefois assurées par ARP,
IGMP, IDRP, et d’autre encore.
n Neighbor Discovery est supportée par ICMPv6.
81. Protection ICMPv6
n Les messages suivants doivent avoir un hop limit de 255:
n RS:133, RA:134
n NS:135, NA:134
n Redirect: 137
n Inverse Neighbor Discovery Solicitation: 141
n Inverse Neighbor Discovery Advertizement: 142
n Certificate Path Solicitation (SEND): 148
n Certificate Path Advertisement (SEND): 149
82. Message informatifs
n Utilisés par la commande pingv6
n Echo Request
n Echo Reply
sa13-72c>ping 2000:1::100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2000:1::100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/4 ms
sa13-72c>
Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100
Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A
Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100
Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A
Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100
Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A
Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100
Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A
[SNIP]
83. Message d’Erreurs
n Destination Unreachable
n Packet Too Big
n Time Exceeded
n Parameter Problem
84. Destination Unreachable
CODE DESCRIPTION EXPLICATION
0 Pas de route vers la destination Le paquet a été droppé parce qu’il n’y avait pas de
route vers la destination
1 Communication
administrativement prohibee
Le paquet a été filtré par un routeur
3 Adresse non joignable Le niveau liaison de donnée ne peut être résolu
4 Port non joignable Le port de destination UDP ou TCP n’existe pas ou
est ignoré par le host.
85. Time Exceeded
n Le champ Hop cout est décrémenté à chaque Hop.
n Lorsqu’il atteint zéro.
n Le Paquet est jeté
n un message ICMPv6 TIME EXCEEDED est envoyé vers la source du paquet.
n Ceci permet a un paquet de ne pas circuler pour toujours dans le réseau si une boucle de réseau
existe.
86. Paquet Too Big
n La source doit découvrir le PMTU grâce à PMTUD
n si un routeur reçoit un paquet trop long pour être acheminé, il doit le jeter et envoyer un packet
ICMPv6 Packet Too Big vers la source avec son MTU.
n La source ajuste son MTU et maintient un cache par destination
n Le Minimum MTU d’un réseau IPv6 doit être de 1280 Octets au minimum.
87. Parameter Problem
Code Description Explication
O Champs d’en-tête
Erronées
Le Champs pointe par ce
pointer est erroné
1 Type de Prochain en-tête
non reconnu
Le Next Header n’est pas
reconnu
2 IPv6 Option Non
reconnue
L’Option IPv6 n’est pas
reconnue
88. Exemple avec plus de debug
sa13-72c#ping 2000:1::100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2000:1::100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/4 ms
sa13-72c#
Apr 18 08:41:15: IPv6: Looking up 2000:1::100 [Source ::] in FIB
Apr 18 08:41:15: IPv6: FIB lookup for 2000:1::100 succeeded. if=GigabitEthernet0/2, nexthop 2000:1::100
Apr 18 08:41:15: IPv6-Sas: SAS picked source 2000:1::1 for 2000:1::100 (GigabitEthernet0/2)
Apr 18 08:41:15: IPV6: source 2000:1::1 (local)
Apr 18 08:41:15: dest 2000:1::100 (GigabitEthernet0/2)
Apr 18 08:41:15: traffic class 0, flow 0x0, len 100+0, prot 58, hops 64, originating
Apr 18 08:41:15: ICMPv6-ND: DELETE -> INCMP: 2000:1::100
Apr 18 08:41:15: ICMPv6-ND: Sending NS for 2000:1::100 on GigabitEthernet0/2
Apr 18 08:41:15: IPV6: source 2000:1::1 (local)
Apr 18 08:41:15: dest FF02::1:FF00:100 (GigabitEthernet0/2)
Apr 18 08:41:15: traffic class 224, flow 0x0, len 72+0, prot 58, hops 255, originating
Apr 18 08:41:15: IPv6-Fwd: Sending on GigabitEthernet0/2
Apr 18 08:41:15: ICMPv6-ND: Resolving next hop 2000:1::100 on interface GigabitEthernet0/2
Apr 18 08:41:15: IPv6-Fwd: Encapsulation postponed, performing resolution
Apr 18 08:41:15: IPv6: Looking up 2000:1::1 [Source 2000:1::100] in FIB
Apr 18 08:41:15: IPv6: FIB lookup for 2000:1::1 succeeded. Local, if=GigabitEthernet0/2, nexthop 2000:1::1
Apr 18 08:41:15: IPV6: source 2000:1::100 (GigabitEthernet0/2)
Apr 18 08:41:15: dest 2000:1::1 (GigabitEthernet0/2)
89. Conclusions
n On retrouve dans ICMPv6 les fonctions d’ICMP mais il accueille aussi des applications qui
étaient séparées auparavant:
n Neighbor Discovery Protocol
n MLD autrefois nommé IGMP pour le multicast
94. NDP PDU
Message But ICMP Code Emetteur Cible Option
Router Solicitation
(RS)
Demande un RA
immediatement
133 Hotes Tous Routers SLLA
Router Advertisement
(RA)
Annonce: Router par
defaut, prefixes du
lien, prefixes
joignables,
paarametres
d’operations
134 Routeurs Emetteur du RS ou
tous les hotes
SLLA, MTU, info de
Prefix, info de Route,
Interval
d’annonces,info
d’agent maison
Neighbor Solicitation
(NS)
Requiers l’adresse de
lien de l’hote cible
135 Hotes Hote solicite ou le
noeud cible
SLLA
,, Repond au NA
Annonce le
changement d’adresse
du lien
136 Hotes Emetteur du NS ou
tous les Hotes
TLLA
Redirect Informe les hotes d’un
meilleur premier saut
137 Routeurs Hotes qui declencha le
redirect
TLLA
En-tetes Redirigee
Inverse neighbor
Solicitation (INS)
Requiers une
addresse IPv6
correspondant a
l’adresse de liaison de
donnee
141 Hotes Tous les hotes SLLA, TLLA, MTU, list
d’adresses sources
Inverse Neighbor
Advertisement (INA)
Reponse a un INA 142 Hotes Emetteur du INS SLLS, TLLA, List
d’adresses cibles,
MTU
95. Neighbor Discovery
n Neighbor Solicitation/Advertisement permettent de gérer le cache des voisins.
n IPv6 a mis en oeuvre un Automate d’état fini pour gérer ce cache efficacement.
n Remplace avantageusement ARP
97. Etats des voisins
q INCOMPLETE
n « Address resolution is being performed on the entry. Specifically, a Neighbor Solicitation has been sent
to the solicited-node multicast address of the target, but the corresponding Neighbor Advertisement has
not yet been received. »
q REACHABLE
n « Positive confirmation was received within the last ReachableTime milliseconds that the forward path to
the neighbor was functioning properly. While REACHABLE, no special action takes place as packets are
sent. »!
q STALE
n « More than ReachableTime milliseconds have elapsed since the last positive confirmation was received
that the forward path was functioning properly. While stale, no action takes place until a packet is
sent. The STALE state is entered upon receiving a unsolicited Neighbor Discovery message that updates the
cached link-layer address. Receipt of such a message does not confirm reachability, and entering the
STALE state ensures reachability is verified quickly if the entry is actually being
used. However,reachability is not actually verified until the entry is actually used. »!
q DELAY
n « More than ReachableTime milliseconds have elapsed since the last positive confirmation was received
thatthe forward path was functioning properly, and a packet was sent within the last
DELAY_FIRST_PROBE_TIMEseconds. If no reachability confirmation is received within
DELAY_FIRST_PROBE_TIME seconds of entering the DELAY state, send a Neighbor Solicitation and changethe
state to PROBE. The DELAY state is an optimization that gives upper- layer protocols
additional time to provide reachability confirmation in those cases where ReachableTime
milliseconds have passed since the last confirmation due to lack of recent traffic. Without this
optimization, the opening of a TCP connectionafter a traffic lull would initiate probes even though the
subsequent three-way handshake would provide a reachability confirmation almost
immediately. »!
q PROBE
q « A reachability confirmation is actively sought by retransmitting Neighbor Solicitations every
RetransTimer milliseconds until a reachability confirmation is received. »!
98. ND - Sollicitation du voisin
n NS/NA
ICMP Type 135
Src =A
Dst = Solicited Multicast de B
Target= Adresse IP de B
Quel est votre adresse de liaison de données
(MAC)
ICMP Type 136
Src=B
Dst=A
adresse de liaison de données
(MAC) de B
103. Découverte du Voisinage - Redirect
Src = A
Dest=B
Dest Ethernet:R1 (default Router)
A
R1
R2
Redirect:
Src=R1
Dst = A
Data= Bon router est R2
Dest Ethernet = A
B
104. Redirect
n Semblable au Redirect d’IPv4
n Permet de rediriger la source vers le meilleur Next-Hop lorsqu’un paquet est rerouté par la
même interface
n L’Hôte doit mettre a jour sa table pour envoyer le trafic par le meilleur chemin
107. ND - Annonce de Routeur
n Annonces Periodic RA
n ICMP Type = 134
n Src = Router Link-Local
n Dst = All nodes multicast address
n Data = Options, prefix, lifetime, autoconfig flag
n Routeur Cisco
n Ipv6 unicast-routing
108. ND - solicitation de Routeur
n RS
n ICMP Type = 133
n Src = ::
n Dst = All routers multicast address
n Au démarrage d’une station ou lorsqu'on configure autoconfig, RS permet de
recevoir immédiatement toutes les infos
109. RA - show ipv6 routers
hote#show ipv6 routers
Router FE80::2038:148E:B9DF:FD6D on FastEthernet0/0, last update 2 min
Hops 64, Lifetime 1800 sec, AddrFlag=0, OtherFlag=0, MTU=1500
HomeAgentFlag=0, Preference=Medium
Reachable time 0 (unspecified), Retransmit time 0 (unspecified)
Prefix 2001::/64 onlink autoconfig
Valid lifetime 2592000, preferred lifetime 604800
hote#
110. RA capture
Internet Protocol Version 6
0110 .... = Version: 6
[0110 .... = This field makes the filter "ip.version == 6" possible: 6]
.... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 104
Next header: ICMPv6 (0x3a)
Hop limit: 255
Source: fe80::207:cbff:fe3e:b6b3 (fe80::207:cbff:fe3e:b6b3)
Destination: ff02::1 (ff02::1)
Internet Control Message Protocol v6
Type: 134 (Router advertisement)
Code: 0
Checksum: 0xf74b [correct]
Cur hop limit: 64
Flags: 0x00
Router lifetime: 1800
Reachable time: 0
Retrans timer: 0
ICMPv6 Option (Prefix information)
Type: Prefix information (3)
Length: 32
Prefix length: 64
Flags: 0xc0
Valid lifetime: 86400
Preferred lifetime: 86400
Prefix: 2a01:e35:2f26:d340::
ICMPv6 Option (Recursive DNS Server)
Type: Recursive DNS Server (25)
Length: 40
Reserved
Lifetime: 600
Recursive DNS Servers: dns3.proxad.net (2a01:e00::2)
Recursive DNS Servers: dns2.proxad.net (2a01:e00::1)
ICMPv6 Option (MTU)
Type: MTU (5)
Length: 8
MTU: 1480
ICMPv6 Option (Source link-layer address)
Type: Source link-layer address (1)
Length: 8
Link-layer address: 00:07:cb:3e:b6:b3
111. Neighbor Unreachability Detection
n La communication entre 2 noeuds IPv6 peut être cassée.
n C’est important de le savoir pour mettre en route des méthodes de recovery si nécessaire. Un host peut
basculé
n r sur un nouveau routeur
n Il y a 2 façons de s’en rendre compte:
n Un protocole de plus haut niveau continue d’acquitter le trafic
n Un NA est reçu en réponse a un NS
n La Machine d’états peut être suivie sur un routeur en tapant la commande « debug ipv6 neighbor »
112. State Machine for Reachability
Create Entry
Send NS
Incomplete
NA2
Stale
Delay
Probe
Reachable
Te
NA1
Report Error
Delete Entry
NA3
Or
U
T or O or
NA4 or NA5
T
Retry NS
NA3 ou U
Retry NS
SEND NS
NA5 ou O
S NA3 ou U
NA5 ou O
T
Te
NA1 - Recevoir un NA avec Solicited=0
NA2- Recevoir un NA avec Solicited=1
NA3- Recevoir un NA avec Solicited=1 et Override=1
ou Override=0 et le link-layer identique a celui dans le
cache
NA4- Recevoir un NA avec solicited=1, Override=0 et
link-layer different du cache
NA5=Recevoir un NA avec solicited=0, override=1, et
link-layer diferent du cache
O - Recevoir un autre ND paquet avec link-layer
different du cache.
S- Envoyer un paquet
T- Timeout
Te- Timeout avec retry epuise
U- Couche superieur confirmee
T
T
113. Next-Hop Determination
n A la difference d’IPv4, un host peut-etre voisin avec un prefix reseau different.
n Il sera considere on-link si:
n Il est couvert par un des prefixes du lien
n Il a recu un NA pour cette adresse
n Il a recu n’importe quel message ND de cette adresse
n Il a recu un RA avec ce prefix dans la list des prefix
n Il a recu un REDIRECT message avec une cible egale a cette adresse
114. Next-Hop Determination Algorithm
Lookup in Dest
Cache [D,N]
Lookup in
Prefix List for [D,N]
Retrieve a default Router
N from router list
Nexthop=N
Not found
Off-link
Nexthop=N
Nexthop=D
Nexthop=D
D = Dest Address
N = Neighbor on same link
L = Link-layer address
Lookup in neighbor cache
for nexthop
Not found
Packet
Dropped
Neighbor
Discovery
Not found
Found
Entry
State
Packet Forwarded
Found
Reachable
Neigh. Unreachability
detection
Address Resolution
or Router Selection
Stale
Reachable
Not
Reachable
115. Default Router Selection
n Type A
n Ignore le default router preference et la route la plus spécifique présente dans le RA
n Si le routeur sélectionné n’est plus joignable, le host doit utiliser les autres en round-robin afin
de sonder (probe) chacun des routeurs.
n Type B
n Comme le type A mais le host tient compte de la préférence du routeurs.
n Type C
n Host qui implémente une table de routage.
n Quand un host type fait un next-hop determination il préfère les host Reachable et puis il
applique le longest match.
116. Detection d’adresses Dupliquées (DAD)
n ICMP Type = 135
n Src = 0 (::)
n Dst = solicited node multicast address of A
n Data = link-layer de A
n Query: Quel est votre adresse de lien ?
A
117. Duplicate Address Detection
n Avant de s’assigner une adresse il génere un NS pour l’adresse
n si pas de NA recu, alors il génère un NA et se l’assigne
Apr 18 09:57:31: ICMPv6-ND: L3 came up on GigabitEthernet0/2
Apr 18 09:57:31: IPv6-Addrmgr-ND: DAD request for 2000:1::1 on GigabitEthernet0/2
Apr 18 09:57:31: ICMPv6-ND: Sending NS for 2000:1::1 on GigabitEthernet0/2
Apr 18 09:57:32: IPv6-Addrmgr-ND: DAD: 2000:1::1 is unique.
Apr 18 09:57:32: ICMPv6-ND: Sending NA for 2000:1::1 on GigabitEthernet0/2
Apr 18 09:57:32: IPv6-Address: Address 2000:1::1/64 is up on GigabitEthernet0/2
118. Autoconfiguration
n RFC 4862, IPv6 Stateless Address Autoconfiguration
n Il utilise RS/RA pour obtenir le préfix et construire une adresse
n Il utilise NS (DAD) pour tester si cette adresse n’est pas déjà employée.
n Statefull Autoconfiguration avec DHCP pour IPv6 RFC3315.
n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whitepaper_C11-472610.html
119. DHCPv6
n Les routeurs IPv6 signalent l’utilisation de DHCPv6
n Les bits M et O sont positionnés dans les RA
n Le bit M « Managed Adress Configuration » indique aux clients l’utilisation de DHCPv6 pour
obtenir leurs configuration
n Le bit O « Other Statefull Configuration » suggère aux clients d’utiliser DHCPv6 pour d’autres
configurations que la seule adresse
n Les clients et serveurs s’échangent ensuite grâce à DHCPv6
n DHCPv6 Request
n DHCPv6 Reply
n "ff02::1:2" Tous les relay agents et serveurs
n "ff05::1:3" Tous les Serveurs DHCPv6
120. Autoconfig - show ipv6
hote#sh ipv6 route
IPv6 Routing Table - Default - 5 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S ::/0 [2/0]
via FE80::2038:148E:B9DF:FD6D, FastEthernet0/0
LC BAD:1:2:FC64:8ECC:593A:15C3:654/128 [0/0]
via FastEthernet0/0, receive
C 2001::/64 [0/0]
via FastEthernet0/0, directly connected
L 2001::20EC:31D3:14CB:A7A/128 [0/0]
via FastEthernet0/0, receive
L FF00::/8 [0/0]
via Null0, receive
hote#
121. Autoconfig - show ipv6 interface
hote#sh ipv6 int fa0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::38B1:E73C:C0F0:4442
No Virtual link-local address(es):
Global unicast address(es):
BAD:1:2:FC64:8ECC:593A:15C3:654, subnet is BAD:1:2:FC64:8ECC:593A:15C3:654/128
2001::20EC:31D3:14CB:A7A, subnet is 2001::/64
Joined group address(es):
FF02::1
FF02::1:FFC3:654
FF02::1:FFCB:A7A
FF02::1:FFF0:4442
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 37164)
Default router is FE80::2038:148E:B9DF:FD6D on FastEthernet0/0
hote#
122. Quelques RFC
n RFC 2460 IPv6 Specification
n RFC 5095 Deprecation of Type 0 Routing Headers in IPv6
n RFC 3513 IPv6 Addressing Architecture
n RFC 4861 Neighbor Discovery
n RFC 4862 IPv6 Stateless Auto config
n RFC 4443 ICMPv6 Specification
n http://tools.ietf.org/html/rfc4443
123. Conclusion
n NDP fait partie de ICMPv6 donc inséparable d’IPv6.
n Il rend des services de type ARP, inverse ARP
n Redirect
n IDRP ICMP Discovery Router Protocol
125. Objectifs
n Comprendre DHCPv6
n Le support de DNS pour IPv6
n Lister les applications réseaux disponibles
126. DHCPv6
n Statefull Autoconfiguration avec DHCP pour IPv6 RFC3315.
n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whitepaper_C11-472610.html
n Les routeurs IPv6 signalent l’utilisation de DHCPv6
n Les bits M et O sont positionnés dans les RA
n Le bit M « Managed Adress Configuration » indique aux clients l’utilisation de DHCPv6 pour obtenir leurs
configuration
n Le bit O « Other Statefull Configuration » suggère aux clients d’utiliser DHCPv6 pour d’autres configurations
que la seule adresse
n Les clients et serveurs s’échangent ensuite grâce à DHCPv6
n DHCPv6 Request
n DHCPv6 Reply
n "ff02::1:2" Tous les relay agents et serveurs
n "ff05::1:3" Tous les Serveurs DHCPv6
127. DHCPv6 Sollicit
Internet Protocol Version 6
0110 .... = Version: 6
[0110 .... = This field makes the filter
"ip.version == 6" possible: 6]
.... 1110 0000 .... .... .... .... .... = Traffic
class: 0x000000e0
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel:
0x00000000
Payload length: 56
Next header: UDP (0x11)
Hop limit: 255
Source: fe80::38b1:e73c:c0f0:4442
(fe80::38b1:e73c:c0f0:4442)
Destination: ff02::1:2 (ff02::1:2)
User Datagram Protocol, Src Port: dhcpv6-client (546),
Dst Port: dhcpv6-server (547)
Source port: dhcpv6-client (546)
Destination port: dhcpv6-server (547)
Length: 56
Checksum: 0x86f0 [validation disabled]
DHCPv6
Message type: Solicit (1)
Transaction-ID: 0x00b44306
Elapsed time
option type: 8
option length: 2
elapsed-time: 0 ms
Client Identifier
option type: 1
option length: 10
DUID type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: ca:02:42:76:00:08
Option Request
option type: 6
option length: 4
Requested Option code: DNS recursive name server
(23)
Requested Option code: Domain Search List (24)
Identity Association for Non-temporary Address
option type: 3
option length: 12
IAID: 262145
T1: 0
T2: 0
129. DHCPv6 Server
R4>show ipv6 dhcp
This device's DHCPv6 unique identifier(DUID): 00030001CA0342760008
R4>show ipv6 dhcp int
FastEthernet0/0 is in server mode
Using pool: fred
Preference value: 0
Hint from client: ignored
Rapid-Commit: disabled
R4#show ipv6 dhcp pool
DHCPv6 pool: fred
Static bindings:
Binding for client BADCAF0E
IA PD: IA ID not specified
Prefix: DEAD:BEEF::/48
preferred lifetime 604800, valid lifetime 2592000
Address allocation prefix: DEAD:BEEF:1:2:3::/64 valid 172800 preferred 86400 (1 in use, 0
conflicts)
Domain name: fredbovy.com
Active clients: 1
R4#show ipv6 dhcp bind
Client: FE80::38B1:E73C:C0F0:4442
DUID: 00030001CA0242760008
Username : unassigned
IA NA: IA ID 0x00040001, T1 43200, T2 69120
Address: DEAD:BEEF:1:2:6090:18A5:E017:DE5C
preferred lifetime 86400, valid lifetime 172800
130. DHCPv6 Client
hote#show ipv6 dhcp interface
FastEthernet0/0 is in client mode
Prefix State is IDLE
Address State is OPEN
Renew for address will be sent in 11:39:08
List of known servers:
Reachable via address: FE80::2027:9779:3775:5CF8
DUID: 00030001CA0342760008
Preference: 0
Configuration parameters:
IA NA: IA ID 0x00040001, T1 43200, T2 69120
Address: BAD:1:2:FC64:8ECC:593A:15C3:654/128
preferred lifetime 86400, valid lifetime 172800
expires at Aug 11 2010 02:36 PM (171549 seconds)
Domain name: fredbovy.com
Information refresh time: 0
Prefix Rapid-Commit: disabled
Address Rapid-Commit: disabled
Configuration:
interface FastEthernet0/0
ipv6 address dhcp
131. DHCPv6 Operation
*Aug 9 15:34:32.806: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:32.806: IPv6 DHCP: IA_NA 00040001 contains status code NOADDRS-AVAIL
*Aug 9 15:34:32.806: IPv6 DHCP: DHCPv6 address changes state from REQUEST to SOLICIT (ADDR_NAK) on FastEthernet0/0
*Aug 9 15:34:32.806: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:32.806: IPv6 DHCP: No matching transaction ID in REPLY from FE80::2027:9779:3775:5CF8 on
FastEthernet0/0
*Aug 9 15:34:33.782: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on FastEthernet0/0
*Aug 9 15:34:33.786: IPv6 DHCP: Received ADVERTISE from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:33.786: IPv6 DHCP: Adding server FE80::2027:9779:3775:5CF8
*Aug 9 15:34:33.786: IPv6 DHCP: Received ADVERTISE from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:34.858: IPv6 DHCP: Sending REQUEST to FF02::1:2 on FastEthernet0/0
*Aug 9 15:34:34.858: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on
FastEthernet0/0
*Aug 9 15:34:34.858: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:34.858: IPv6 DHCP: Processing options
*Aug 9 15:34:34.862: IPv6 DHCP: Adding address DEAD:BEEF:1:2:C541:3F5C:EA1A:BE21/128 to FastEthernet0/0
*Aug 9 15:34:34.870: IPv6 DHCP: T1 set to expire in 43200 seconds
*Aug 9 15:34:34.870: IPv6 DHCP: T2 set to expire in 69120 seconds
*Aug 9 15:34:34.870: IPv6 DHCP: Configuring domain name fredbovy.com
*Aug 9 15:34:34.870: IPv6 DHCP: DHCPv6 address changes state from REQUEST to OPEN (ADDR_REPLY_RECEIVED) on
FastEthernet0/0
*Aug 9 15:34:34.870: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:34.870: IPv6 DHCP: DHCPv6 address changes state from OPEN to OPEN (ADDR_REPLY_RECEIVED) on
FastEthernet0/0
132. DHCP Prefix Delegation
n Il est possible de recevoir une Prefix plutôt qu’une adresse
n Une fois ce prefix réçu par le client il peut l’utiliser pour configurer des interfaces IPv6
n Les routeurs CISCO gèrent la partie cliente et la partie serveur
133. Autoconfig - show ipv6
hote#sh ipv6 route
IPv6 Routing Table - Default - 5 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S ::/0 [2/0]
via FE80::2038:148E:B9DF:FD6D, FastEthernet0/0
LC BAD:1:2:FC64:8ECC:593A:15C3:654/128 [0/0]
via FastEthernet0/0, receive
C 2001::/64 [0/0]
via FastEthernet0/0, directly connected
L 2001::20EC:31D3:14CB:A7A/128 [0/0]
via FastEthernet0/0, receive
L FF00::/8 [0/0]
via Null0, receive
hote#
134. Autoconfig - show ipv6 interface
hote#sh ipv6 int fa0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::38B1:E73C:C0F0:4442
No Virtual link-local address(es):
Global unicast address(es):
BAD:1:2:FC64:8ECC:593A:15C3:654, subnet is BAD:1:2:FC64:8ECC:593A:15C3:654/128
2001::20EC:31D3:14CB:A7A, subnet is 2001::/64
Joined group address(es):
FF02::1
FF02::1:FFC3:654
FF02::1:FFCB:A7A
FF02::1:FFF0:4442
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 37164)
Default router is FE80::2038:148E:B9DF:FD6D on FastEthernet0/0
hote#
135. DNS
n Transporter les requêtes DNS dans IPv6
Internet Protocol Version 6
0110 .... = Version: 6
[0110 .... = This field makes the filter "ip.version == 6" possible: 6]
.... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 145
Next header: UDP (0x11)
Hop limit: 255
Source: fe80::61e:64ff:feec:73a9 (fe80::61e:64ff:feec:73a9)
Destination: ff02::fb (ff02::fb)
User Datagram Protocol, Src Port: mdns (5353), Dst Port: mdns (5353)
Source port: mdns (5353)
Destination port: mdns (5353)
Length: 145
Checksum: 0x5753 [validation disabled]
Domain Name System (response)
n Coder les adresses IPv6 dans les messages DNS
n Type AAAA
Name: power-mac-g5-de-fred-bovy-6.local
Type: AAAA (IPv6 address)
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Time to live: 2 minutes
Data length: 16
Addr: 2a01:e35:2f26:d340:61e:64ff:feec:73a9
136. DNS Capture
Internet Protocol Version 6
0110 .... = Version: 6
[0110 .... = This field makes the filter "ip.version == 6" possible: 6]
.... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 145
Next header: UDP (0x11)
Hop limit: 255
Source: fe80::61e:64ff:feec:73a9 (fe80::61e:64ff:feec:73a9)
Destination: ff02::fb (ff02::fb)
User Datagram Protocol, Src Port: mdns (5353), Dst Port: mdns (5353)
Source port: mdns (5353)
Destination port: mdns (5353)
Length: 145
Checksum: 0x5753 [validation disabled]
Domain Name System (response)
[Request In: 788]
[Time: -404.306754000 seconds]
Transaction ID: 0x0000
Flags: 0x8400 (Standard query response, No error)
Questions: 0
Answer RRs: 1
Authority RRs: 0
Additional RRs: 3
Answers
power-mac-g5-de-fred-bovy-6.local: type A, class IN, cache flush, addr 192.168.0.15
Name: power-mac-g5-de-fred-bovy-6.local
Type: A (Host address)
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Time to live: 2 minutes
Data length: 4
Addr: 192.168.0.15
137. DNS Capture (suite)
Additional records
power-mac-g5-de-fred-bovy-6.local: type AAAA, class IN, cache flush, addr fe80::61e:64ff:feec:73a9
Name: power-mac-g5-de-fred-bovy-6.local
Type: AAAA (IPv6 address)
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Time to live: 2 minutes
Data length: 16
Addr: fe80::61e:64ff:feec:73a9
power-mac-g5-de-fred-bovy-6.local: type AAAA, class IN, cache flush, addr 2a01:e35:2f26:d340:61e:64ff:feec:73a9
Name: power-mac-g5-de-fred-bovy-6.local
Type: AAAA (IPv6 address)
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Time to live: 2 minutes
Data length: 16
Addr: 2a01:e35:2f26:d340:61e:64ff:feec:73a9
power-mac-g5-de-fred-bovy-6.local: type NSEC, class IN, cache flush, next domain name power-mac-g5-de-fred-bovy-6.local
Name: power-mac-g5-de-fred-bovy-6.local
Type: NSEC (Next secured)
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Time to live: 2 minutes
Data length: 8
Next domain name: power-mac-g5-de-fred-bovy-6.local
RR type in bit map: A (Host address)
RR type in bit map: AAAA (IPv6 address)
138. Gestion des devices IPv6
n SNMP sur IPv6
n SNMP sur un transport IPv6
n Support IPv6 de nombreuses MIB
n SSH sur IPv6
n TELNET sur IPv6
n TFTP sur IPv6
n Syslog sur IPv6
n HTTP sur IPv6
n Ping6, traceroute6
139. Conclusion
n Toutes les applications nécessaires à un déploiement réseaux sont disponibles
n Il y a quelques années certains ROOT Server DNS ne parlaient pas IPv6
141. Objectifs
n Comprendre les menaces sur NDP
n Comprendre l’approche de SEND pour contrecarrer les menaces répertoriées
142. Sommaire
n Introduction: Les Menaces et l’approche de SEND pour les contrecarrer
n Cryptographycally Generated Address
n Empêcher de se faire voler son adresse
n Address Delegation Authority
n Protège les Hôtes de routeurs frauduleux
n Un routeur doit avoir un certificat valide pour être choisi par un hôte.
n Exemples
n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/white_paper_c11-563156.html
143. Introduction
n NDP est une application de ICMPv6, il est donc encapsulé dans des paquets ICMPv6.
n Le protocole ND (Neighbor Discovery) d'IPv6 est un ensemble de messages et de processus
qui déterminent les relations entre les noeuds voisins.
n ND remplace ARP, ICMP Router Discovery et ICMP Redirection, utilise dans IPv4, et fournit
des fonctionnalités supplémentaires.
n ND est décrit dans le document RFC 2461, Neighbor Discovery for IP Version 6 (IPv6).
n De par le nombre de fonctions qu’il permet d’automatiser, NDP ouvre aussi de nombreux
trous de sécurité
144. Les fonctionnalités de NDP
n Les hotes utilisent ND pour effectuer les taches suivantes :
n Découvrir les routeurs voisins.
n Découvrir les adresses, les préfixes d'adresse et d'autres paramètres de configuration.
n Les routeurs utilisent ND pour effectuer les taches suivantes :
n Annoncer leurs présences, les paramètres de configuration des hôtes et les préfixes sur la liaison de
données.
n Indiquer aux hôtes une meilleure adresse de tronçon suivant pour la transmission des paquets a une
destination spécifique.
n Les noeuds utilisent ND pour effectuer les taches suivantes :
n Résoudre l'adresse de couche liaison d'un noeud voisin en direction duquel un paquet IPv6 est transmis
et déterminer le moment auquel l'adresse a change.
n Déterminer si des paquets IPv6 peuvent être envoyés a un voisin et reçus de celui-ci
n Les menaces sont décrites dans le RFC 3756
147. Option CGA
n L'option CGA permet de vérifier l'identité d'une machine émettrice d'un paquet NDP. Cette
option contient entre autre la clef publique de la machine émettrice, dont la cohérence avec
l'adresse source utilisée est vérifiée par la machine réceptrice.
148. Option RSA
n L'option RSA contient une signature du paquet, calculée avec la clef privée de la machine
émettrice.
n Le noeud recevant le paquet peut vérifier l'intégrité et l'authenticité du paquet, grâce à la clef
publique reçue conjointement ou précédemment.
n La confiance dans la clef publique utilisée par les options CGA et RSA se base sur un
mécanisme de certification
149. Option d’Horodatage
n Une option d'horodatage (Timestamp) est utilisée pour protéger NDP des attaques de type
'rejeu'.
150. L’option NONCE
n Une option unicité (Nonce) est utilisée pour protéger les associations Demande/Réponse
(Solicit/Advertisement) :
n une réponse NDP devra contenir la même valeur NOnce que la demande correspondante
pour être valide.
151. Neighbor Discovery Options
Message CGA RSA Nonce Timestamp
Router Solicitation
(RS)
MUST unless sent
from unspecififed
MUST unless sent from
unspecififed
MUST MUST
Router
Advertisement (RA)
MAY. The CGA
option can be
omitted in RA but
this would be
rejected by current
IOS implementation
MUST MUST for sollicited
RA to all node
multicast.
Not needed for
unsolicited
MUST
Neighbor Solicitation
(NS)
MUST MUST MUST MUST
Neighbor
Advertisement (NA)
MUST MUST MUST for sollicited
NA to all node
multicast.
Not needed for
unsolicited
MUST
Redirect MAY MUST MUST
152. CPS/CPA
n Enfin deux nouveau messages (CPS/CPA) sont utilisés afin de permettre la découverte
automatique par une machine terminal d'un chemin de certification.
n Ce mécanisme permet a des machines utilisant l'auto configuration sans état (RFC 2462) de
vérifier la légitimité d'un routeur et celle des préfixes publiques sur le lien auprès d'un tiers
de confiance sur le réseau.
153. CPS/CPA
n Un host reçoit un RA d’un nouveau routeur
n Il n’a pas de certificat correspondant
n Il envoie un CPS vers le routeur
n Le routeur répond avec son certificat
n Si l’hôte et le routeurs ont des certificats trustes par la même autorité, l’host accepte le RA
sinon il le rejette
155. DAD - 3 TENTATIVES
Jan 7 09:40:23: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::C2:3A71:71F2:CB17 on
Ethernet0/0
Jan 7 09:40:23: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::847:1745:E31D:F38B on
Ethernet0/0
Jan 7 09:40:24: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::18:F205:D13E:EC43 on
Ethernet0/0
show ipv6 interface ethernet0/0
Ethernet0/0 is up, line protocol is up
IPv6 is stalled, link-local address is FE80::18:F205:D13E:EC43 [DUP]
No Virtual link-local address(es):
Global unicast address(es):
2000:1::CDC:14FC:266F:6C56, subnet is 2000:1::/64 [TEN]
Joined group address(es):
FF02::1
MTU is 1500 bytes
ICMP error messages limited to one every 0 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 44471)
164. Configuration CGA Cisco
n Générer une paire de clefs (key pair)
unix1a(config)#crypto key generate rsa label FRED modulus 1024
The name for the keys will be: FRED
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
n Configurer un modifier et le SEC Level
unix1a(config)#ipv6 cga modifier rsakeypair FRED sec-level 2
% Increase maximum iterations allowed (0)
unix1a(config)#
n Appliquer le Modifier à l’Interface
unix1a(config)#int et0/0
unix1a(config-if)#ipv6 cga rsakeypair FRED
n Configurer des Adresses CGA
unix1a(config)#int et0/0
unix1a(config-if)#ipv6 address fe80:: link-local cga
unix1a(config-if)#ipv6 address 2000::/64 cga
165. Configuration CGA Cisco
unix1a#sh run int et0/0
Building configuration...
Current configuration : 154 bytes
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ipv6 cga rsakeypair FRED
ipv6 address FE80:: link-local cga
ipv6 address 2000::/64 cga
end
unix1a#sh ipv6 int et0/0
Ethernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::50C9:E166:EED0:B87A
No Virtual link-local address(es):
Global unicast address(es):
2000::5814:3232:68B9:9B23, subnet is 2000::/64
Joined group address(es):
FF02::1
FF02::1:FFB9:9B23
FF02::1:FFD0:B87A
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 20736)
167. Configuration ADD
n Au minimum, il faut
n Un serveur de Certificats: CA
n Un Routeur
n Un Host
n On peut configurer toutes ces fonctions sur des routeurs Cisco
168. Configuration du CA
CA#sh crypto pki server
Certificate Server CA:
Status: enabled
State: enabled
Server's configuration is locked (enter "shut" to unlock it)
Issuer name: C=FR, ST=fr, L=example, O=Cisco, OU=NSSTG, CN=CA0
CA cert fingerprint: E85AE4FB 75E897D9 B95A6777 E64A45F1
Granting mode is: auto
Last certificate issued serial number (hex): 2
CA certificate expiration timer: 16:38:21 UTC Jan 25 2013
CRL NextUpdate timer: 16:37:22 UTC Jan 27 2010
Current primary storage dir: nvram:
Database Level: Minimum - no cert data written to storage
CA#sh ip http server status
HTTP server status: Enabled
HTTP server port: 80
HTTP server active supplementary listener ports:
HTTP server authentication method: enable
HTTP server digest algorithm: md5
HTTP server access class: 0
HTTP server base path:
HTTP server help root:
Maximum number of concurrent server connections allowed: 5
Server idle time-out: 180 seconds
Server life time-out: 180 seconds
Maximum number of requests allowed on a connection: 1
HTTP server active session modules: ALL
HTTP secure server capability: Present
HTTP secure server status: Disabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-128-sha
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint:
169. Configuration du CA
crypto pki server CA
issuer-name C=FR, ST=fr, L=example, O=Cisco, OU=NSSTG,
CN=CA0
grant auto
ip http server
170. Configuration du Routeur
n Configurer un trustpoint
crypto pki trustpoint SEND
enrollment url http://192.168.0.1:80
serial-number
subject-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=router
revocation-check none
rsakeypair SEND
n Authentification auprés du CA
n Récupère le Certificat du CA
n crypto pki authenticate SEND
n Enrollment auprès du CA
n Récupère le Certificat du Routeur
n crypto pki enroll SEND
171. Configuration du Host
n Configurer un trustpoint
crypto pki trustpoint SEND
enrollment url http://192.168.0.1:80
serial-number
revocation-check none
n Authentification auprès du CA
crypto pki authenticate SEND
hote#sh ipv6 nd secured certificates
Total number of entries: 1 / 32
Hash id RA certcnt certrcv state
2B5559355296F787B9A99EB6943AD563 0x00001065 no 1 1
CERT_VALIDATED
certificate No 0
subject
hostname=R2+serialNumber=4294967295,c=FR,st=fr,l=example,o=cisco,ou=nsstg,cn=router issuer
c=FR,st=fr,l=example,o=Cisco,ou=NSSTG,cn=CA0
173. Traitement du RA
unix1a# debug ipv6 nd secured
00:12:29: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED
00:12:29: SEND: Verifying certificate
00:12:29: SEND: Certificate validated
00:12:29: SEND: action: Start T1
00:12:29: SEND: NEW STATE TR: CERT_VALIDATING
00:12:29: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING
00:12:29: SEND: action: Stop T1
00:12:29: SEND: action: Set trust level in RA then deliver it
00:12:29: SEND: action: Deliver RA packet to stack
00:12:29: SEND: action: Start T2
00:12:29: SEND: NEW STATE TR: CERT_VALIDATED
00:13:29: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED
00:13:29: SEND: Verifying certificate
00:13:29: SEND: Certificate validated
00:13:29: SEND: action: Start T1
00:13:29: SEND: NEW STATE TR: CERT_VALIDATING
00:13:29: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING
00:13:29: SEND: action: Stop T1
00:13:29: SEND: action: Set trust level in RA then deliver it
00:13:29: SEND: action: Deliver RA packet to stack
00:13:29: SEND: action: Start T2
00:13:29: SEND: NEW STATE TR: CERT_VALIDATED
unix1a#show ipv6 nd secured certificate
Total number of entries: 1 / 32
Hash id RA certcnt certrcv state
9F3F0B3AEE9F9204720096454EAF0BBA 0x00003D12 no 1 1 CERT_VALIDATED
certificate No 0
subject serialNumber=117285866+hostname=unix1b,c=FR,st=PACA,l=Biot,o=Cisco,ou=ITD,cn=unix1b
issuer c=FR,st=PACA,l=Biot,o=Cisco,ou=ITD,cn=CA0
174. Certificats sur le Routeur
unix1b#sh crypto pki cert
Certificate
Status: Available
Certificate Serial Number (hex): 02
Certificate Usage: General Purpose
Issuer:
c=FR
st=PACA
l=Biot
o=Cisco
ou=ITD
cn=CA0
Subject:
Name: unix1b
Serial Number: 117285866
serialNumber=117285866+hostname=unix1b
c=FR
st=PACA
l=Biot
o=Cisco
ou=ITD
cn=unix1b
CRL Distribution Points:
http://10.0.1.200/CS
Validity Date:
start date: 16:20:32 BST Apr 29 2009
end date: 16:20:32 BST Apr 29 2010
Associated Trustpoints: FRED
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
c=FR
st=PACA
l=Biot
o=Cisco
ou=ITD
cn=CA0
Subject:
c=FR
st=PACA
l=Biot
o=Cisco
ou=ITD
cn=CA0
Validity Date:
start date: 16:17:44 BST Apr 29 2009
end date: 16:17:44 BST Apr 28 2012
Associated Trustpoints: FRED
175. Compteur PDU SEND
hote#show ipv6 nd sec counters int f0/0
Received ND messages on FastEthernet0/0:
rcvd accept SLLA TLLA PREFIX MTU CGA RSA TS NONCE TA CERT
RA 19 19 19 0 19 19 19 19 19 0 0 0
NS 1 1 1 0 0 0 1 1 1 1 0 0
NA 4 3 0 4 0 0 4 4 4 2 0 0
CPA 1 1 0 0 0 0 0 0 0 0 1 1
Dropped ND messages on FastEthernet0/0:
Codes CGA_VFY: CGA option does not verify
drop CGA_VFY
NA 1 1
Sent ND messages on FastEthernet0/0:
sent aborted SLLA TLLA CGA RSA TS NONCE TA
NS 5 0 2 0 4 4 4 4 0
NA 3 0 0 2 3 3 3 1 0
CPS 1 0 0 0 0 0 0 0 1
hote#
176. debug ipv6 nd secured
*Jan 28 13:08:49.575: %SYS-5-CONFIG_I: Configured from console by console
*Jan 28 13:09:12.591: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED
*Jan 28 13:09:12.595: SEND: Verifying certificate
*Jan 28 13:09:12.647: SEND: Certificate validated
*Jan 28 13:09:12.647: SEND: action: Start T1
*Jan 28 13:09:12.647: SEND: NEW STATE TR: CERT_VALIDATING
*Jan 28 13:09:12.647: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING
*Jan 28 13:09:12.647: SEND: action: Stop T1
*Jan 28 13:09:12.647: SEND: action: Set trust level in RA then deliver it
*Jan 28 13:09:12.647: SEND: action: Deliver RA packet to stack
*Jan 28 13:09:12.647: SEND: action: Start T2
*Jan 28 13:09:12.647: SEND: NEW STATE TR: CERT_VALIDATED
*Jan 28 13:09:18.443: SEND: Receive: ND_ROUTER_ADVERT
*Jan 28 13:09:18.447: SEND: src FE80::2038:148E:B9DF:FD6D
*Jan 28 13:09:18.447: SEND: dst FF02::1
*Jan 28 13:09:18.451: SEND: Received at: 0x4B618C7E73B9 = 13:09:18 UTC Jan 28 2010
*Jan 28 13:09:18.455: SEND: option 1 len 8: ND_OPT_SOURCE_LINKADDR
*Jan 28 13:09:18.455: SEND: option 5 len 8: ND_OPT_MTU
*Jan 28 13:09:18.455: SEND: option 3 len 32: ND_OPT_PREFIX_INFORMATION
*Jan 28 13:09:18.455: SEND: option 11 len 192: ND_OPT_CGA
*Jan 28 13:09:18.455: SEND: option 13 len 16: ND_OPT_TIMESTAMP
*Jan 28 13:09:18.455: SEND: option 12 len 152: ND_OPT_RSA
*Jan 28 13:09:18.455: SEND: Verifying address FE80::2038:148E:B9DF:FD6D
*Jan 28 13:09:18.455: SEND: sec is 1
*Jan 28 13:09:18.455: SEND: keylen is 1024
178. Conclusion
n SEND permet de sécuriser NDP
n Il devient quasiment impossible de voler une adresse
n Impossible de se faire passer pour un routeur pour capter des flux
182. Introduction
n Un protocol FHRP fournit une adresse virtuelle utilisée par les stations comme next hop.
n Cette adresse est attribuée à plusieurs routeurs
n 1 seul est actif a la fois
n Permet de tracker une interface
183. Les Protocoles FHRP
n HSRP
n GLBP
n VRRP
n La moins couteuse
n Neighbor Discovery (NDP)
n La plus couteuse
n Tourner un protocole de routage sur les hôtes
n Peut s’avérer moins performant (RIPng)
184. Introduction HSRPv6
n Portage d’HSRP sur IPv6
n Permet une adresse Link-Locale Virtuelle
n Hello UDP
n Priorité par défaut 100
n Tracker une interface pour basculer sur un routeur de secours si un lien tombe
185. HSRP pour IPv6 - Configuration
interface Ethernet0/0
no ip address
ipv6 address FE80::3 link-local
ipv6 address 2000::1/100
standby version 2
standby 1 ipv6 FE80::5
end
unix1a#
interface Ethernet0/0
no ip address
ipv6 address FE80::4 link-local
ipv6 address 2000::2/100
standby version 2
standby 1 ipv6 FE80::5
end
186. HSRP pour IPv6
unix1a#sh stand
Ethernet0/0 - Group 1 (version 2)
State is Standby
1 state change, last state change 00:00:19
Virtual IP address is FE80::5
Active virtual MAC address is 0005.73a0.0001
Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.816 secs
Preemption disabled
Active router is FE80::4, priority 100 (expires in 7.808 sec)
MAC address is aabb.cc03.ea00
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Et0/0-1" (default)
unix1b#sh stand
Ethernet0/0 - Group 1 (version 2)
State is Active
2 state changes, last state change 00:08:37
Virtual IP address is FE80::5
Active virtual MAC address is 0005.73a0.0001
Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.800 secs
Preemption disabled
Active router is local
Standby router is FE80::3, priority 100 (expires in 9.376 sec)
Priority 100 (default 100)
Group name is "hsrp-Et0/0-1" (default)
unix1b#
187. HSRP pour IPv6
unix1a#sh ipv6 int et0/0
Ethernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::3 [UNA]
Virtual link-local address(es):
FE80::5 [UNA/OOD/INIT]
Global unicast address(es):
2000::1, subnet is 2000::/100
Joined group address(es):
FF02::1
FF02::2
FF02::66
FF02::1:FF00:1
FF02::1:FF00:3
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 42641)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
unix1a#
unix1b#sh ipv6 int et0/0
Ethernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::4 [UNA]
Virtual link-local address(es):
FE80::5 [OOD]
Global unicast address(es):
2000::2, subnet is 2000::/100
Joined group address(es):
FF02::1
FF02::2
FF02::66
FF02::1:FF00:2
FF02::1:FF00:4
FF02::1:FF00:5
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 43673)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
unix1b#
188. HSRP pour IPv6
Apr 24 07:02:34.483 BST: IPV6: source FE80::4 (local)
Apr 24 07:02:34.483 BST: dest FF02::66 (Ethernet0/0)
Apr 24 07:02:34.483 BST: traffic class 224, flow 0x0, len 100+0, prot 17, hops 255, originating
Apr 24 07:02:34.483 BST: IPv6-Fwd: Sending on Ethernet0/0
Apr 24 07:02:34.747 BST: IPV6: source FE80::3 (Ethernet0/0)
Apr 24 07:02:34.747 BST: dest FF02::66
Apr 24 07:02:34.747 BST: traffic class 224, flow 0x0, len 100+14, prot 17, hops 255, forward to ulp
Apr 24 07:02:34.747 BST: HSRP: Et0/0 Grp 1 Hello in FE80::3 Standby pri 100 vIP FE80::5
unix1b#
189. HSRP Standby take over
pagent1a#ping
Protocol [ip]: ipv6
Target IPv6 address: fe80::3
Repeat count [5]: 23323333
Datagram size [100]:
Timeout in seconds [2]:
Extended commands? [no]: y
UDP protocol? [no]:
Verbose? [no]:
Precedence [0]:
DSCP [0]:
Include hop by hop option? [no]:
Include destination option? [no]:
Sweep range of sizes? [no]:
Output Interface: Ethernet0/0
Type escape sequence to abort.
Sending 23323333, 100-byte ICMP Echos to FE80::3, timeout is 2 seconds:
Packet sent with a source address of FE80::5
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!......!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
Success rate is 98 percent (565/571), round-trip min/avg/max = 0/23/152 ms
pagent1a#X
190. HSRP track une interface
unix1a#sh stand
Ethernet0/0 - Group 1 (version 2)
State is Standby
1 state change, last state change 00:24:42
Virtual IP address is FE80::5
Active virtual MAC address is 0005.73a0.0001
Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.728 secs
Preemption enabled
Active router is FE80::4, priority 100 (expires in 9.152 sec)
MAC address is aabb.cc03.ea00
Standby router is local
Priority 90 (default 100)
Track interface Ethernet1/0 state Down decrement 10
Group name is "hsrp-Et0/0-1" (default)
Current configuration : 194 bytes#
!#
interface Ethernet0/0#
no ip address#
ipv6 address FE80::3 link-local#
ipv6 address 2000::1/100#
standby version 2#
standby 1 ipv6 FE80::5#
standby 1 preempt
standby 1 track Ethernet1/0
#
unix1a#unix1a#conf t
Enter configuration commands, one per line. End with CNTL/Z.
unix1a(config)# int et 1/0
unix1a(config-if)#no shut
unix1a(config-if)#^Z
unix1a#sh stand
Ethernet0/0 - Group 1 (version 2)
State is Standby
1 state change, last state change 00:28:38
Virtual IP address is FE80::5
Active virtual MAC address is 0005.73a0.0001
Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.008 secs
Preemption enabled
Active router is FE80::4, priority 100 (expires in 8.368 sec)
MAC address is aabb.cc03.ea00
Standby router is local
Priority 100 (default 100)
Track interface Ethernet1/0 state Up decrement 10
Group name is "hsrp-Et0/0-1" (default)
191. Conclusion
n IPv6 fournit avec ND un moyen de configurer automatiquement un routeur par défaut
n Insuffisant pour un basculement rapide en cas de problème
n Autres solutions:
n tourner un protocole de routage sur la station
n utiliser un FHRP (HSRPv6, GLBP)
193. Objectif
n Les protocoles de routages IPv6 permettent:
n le routage intra AS
- RIPv2, OSPFv3, ISIS, EIGRP
n Le routage inter Autonomous System
- BGP
194. Sommaire
n Introduction
n Les Protocoles de routages Intra-AS
n RIPv2
n OSPFv3
n ISIS
n EIGRP
n Les Protocoles de routages Inter AS
n BGP
n Conclusions
195. Introduction
n Les protocoles de routages permettent de remplir les tables de routages de façons
automatiques
n Les protocoles intra et inter AS n’ont pas le même cahier des charges
n Les protocoles intra AS ont pour vocation d’échanger un maximum d’information topologique
pour permettre la construction de tables de routages les plus optimisées possible dans un
AS
n Les protocoles inter AS permettent de contrôler au mieux les informations échangées de
façon à construire un routage stratégique entre les divers AS.