IPv6 training

IPv6: Concepts et mise en oeuvre

Table des matières
n La table des matières est insérée dans la page de commentaire.
n La page de commentaire recouvre ce slide. Il n’est donc pas imprimé.
n Ce slide n’est pas visible en mode diaporama (slide masqué).

Objectif
n L’Objectif de ce cours est de fournir toutes les informations théoriques et pratiques
nécessaires pour planifier et mettre en oeuvre un déploiement IPv6 dans un environnement
mono protocole IPv6 ou mixte MPLS-IPv4-IPv6

Pre-Requis
n Une culture générale réseau est nécessaire pour tirer partie de tout le contenu
n Ce Cours s’adresse a un public ayant eu une première expérience avec IPv4 et souhaitant
intégrer IPv6 dans leurs réseaux.
n Des labs utilisant des routeurs Cisco sont prévus mais ne sont pas indispensables pour
donner ce cours si le public n’en a pas besoin.

Sommaire
n Présentations
n Rappels IPv4
n Le Protocole IPv6
n ICMPv6 et Neighbor Discovery
n Menaces sur NDP et SEND pour le sécuriser
n Les Protocoles de Routages IPv6
n Interconnexions de Réseaux IPv6
n Tunnels IPv6 dans IPv4
n Interconnections par des réseaux MPLSv4
- 6PE, 6vPE
n La Qualité de Service dans les réseaux IPv6
n La Sécurité dans les réseaux IPv6
n Protocole de routage
n IPSec
n La Gestion des Réseaux IPv6

Fred BOVY
n 12 yr CCIE Routing & Switching 3013
n Cisco Certified System Intructor 95003
n 8 ans chez ITS ( Groupe SITA)
n 5 ans comme technico-commercial et
n 3 ans comme formateur principalement Cisco et autres passerelles SNA/X25 sous UNIX vers TCP/IP.
n 2 ans chez Global Knowledge (Institut ERIS )
n responsable formation Cisco.
n 10 ans chez CISCO.
n 4 ans comme support Clients VIVENDI et EQUANT
n 6 ans comme dev-testeur IPv6 (6PE,6VPE, Netflow for IPv6, etc…..)

Pratique
n Horaires 9h-12h 14h-17h
n Pauses Café
n Pensez a vos successeurs !
n N’oubliez pas de remplir vos fiches d’évaluation a la fin du cours !

Objectif
n L’objectif de ce module est de rafraichir les connaissances IPv4 en introduisant tous les
basics de ce protocole
n Ceci pour permettre de comparer avec IPv6
n de plus IPv6 et IPv4 ont beaucoup en commun

IP et protocoles associes
n IPv4 offre un service de datagram Best-Effort
n Il est assisté de ARP pour encapsuler ses datagrams dans des trames en obtenant
l’adresses MAC de son destinataire.
n IPv4 a besoin d’autres protocoles ou de configurations statiques laborieuses

En-tête IPv4
Version Longueur d’en-tête D Longueur Totale en Octet
Identification pour les fragment Flag Fragment Offset
Durée de Vie (TTL) Protocol Somme de contrôle pour l’en-tête (header checksum)
Adresse Source
Adresse Destination
Options (+ bourrage)
P P P
DF M
T R E 0

En-tete IPv4
n Version (4 Bits) 4
n Internet Header Length (4 bits)
n IHL signifie "Internet header lengh". ce champ est codé sur 4 bits et représente la longueur en
mots de 32 bits de l'en-tête IP. Par défaut, il est égal à 5 (20 octets), cependant, avec les
options de l'en-tête IP, il peut être compris entre 6 et 15.
n Le fait que le codage soit sur 4 bits, la taille maximum de l'en-tête IP est donc de 15*32bits = 60
octets
n 60 >= Taille En-tête Ipv4 >= 20

Fragmentation
n Identification (16 bits)
n Identifie tous les fragments d’un même datagramme
n Fragment Offset (13 bits)
n position du fragment par rapport au paquet de départ, en nombre de mots de 8 octets.
n Flag
n DF - Don’t Fragment
n MF - More Fragment

TTL. Durée de Vie (8 bits)
n BUT: Contrecarrer les effets d’une boucle de routage en évitant que des paquets puissent
tourner dans le réseau à l’infini, problème non résolu au niveau deux sur les ponts
transparents.
n ORIGINE: A l’origine de l’Internet, ce champs était supposé représenter le temps restant au
paquet à vivre dans le réseau.
n C’est vite devenu trop compliqué à gérer et il s’est transformé en compteur à rebours de
saut. Lorsqu’il atteint zéro, le datagramme est détruit.
n Ce qu’il est devenu: Il est décrémenté à chaque saut. Si il atteint la valeur nulle. Le
datagramme est jeté et un message ICMP Time Exceeded est envoyé vers la source.

Protocole (8 bits)
n numéro du protocole au-dessus de la couche réseau :
n TCP = 6,
n UDP = 17,
n ICMP = 1.

Somme de contrôle de l’en-tête (16 BITS)
n Checksum ou encore CRC pour Contrôle de Redondance Cyclique: vérification de l'intégrité
de l'en-tête seulement. Si le CRC est invalide, le paquet est abandonné sans message
d'erreur.
n Le TTL est généralement le seul champs qui change pendant le routage d’un paquet et
demande le calcul d’un nouveau CRC. Cette opération est faisable par des ASICS.

TOS et Priorites
n Service:
n Priorité (3bits),
- 0 - 000 - Routine
- 1 - 001 - Prioritaire
- 2 - 010 - Immédiat
- 3 - 011 - Urgent (flash)
- 4 - 100 - Très urgent
- 5 - 101 - Critique
- 6 - 110 - Supervision interconnexion
- 7 - 111 - Supervision réseau
n Délai (Delay), Débit(Througput), Fiabilité (Reliablity), Cout (Economic), Must Be Zero

DiffServ
n Differentiated Services Field redéfini les 6 premiers bits comme DSCP et défini deux
grandes sortes de trafic.
n Dans l’en-tête IPv6, le DSCP est présent dans un champs appelé Trafic Class.

DiffServ Expedited Forwarding
n Expedited Forwarding (RFC3246).
n Dans ce mode les données sont traitées avec une priorité stricte.
n Cela demande un protocole de réservation RSVP pour garantir que la bande passante est
disponible dans la Strict Priority Queue.
- DSCP = 101110

DiffServ Assured Forwarding
n Assured Forwarding (RFC2597).
n Dans ce mode le trafic est classé par classes de trafic plus ou moins prioritaires.
n Dans chaque classe il est possible de donner une priorité pour le rejet de trafic devant être
rejeté par manque de Bande passante disponible (Overbooking).

Diff-Serv Assured Forwarding
DSCP DSCP binary Intended Protocol Configuration
AF1 AF11
AF12
AF13
001010
001100
001110
Bulk Transfer, Web,
General Data Service
Active Q management
DSCP-based WRED.
AF2 AF21
AF22
AF23
010010
010100
010110
Datagram access,
transaction services,
interactives traffic, preferred
data service
Active Q management
DSCP-based WRED.
AF3 AF31
AF32
AF33
011010
011100
011110
Locally defined; mission
critical application
Active Q management
DSCP-based WRED.
AF4 AF41
AF42
AF43
100010
100100
100110
Interactive video and
associated voice
Admission control RSVP
Active Q management
DSCP-based WRED.

Diff Serv Class Selector
PHB DSCP DSCP bin Intended Protocol Configuration
IP Routing Class Selector 6 110000 BGP, OSPF, and so on Queuing=rate based. Small
guaranteed min rate, WRED
Streaming Video Class Selector 4 100000 Often Proprietary Admission control=RSVP,
Queuing=rate based. Small
Telephony Signaling Class Selector 3 011000 SIP, H323, etc…. Queuing=rate based. Small
Network Management Class Selector 2 010000 SNMP Queuing=rate based. Small
Scavenger Class Selector 1 0010000 User Selected Service Queuing=rate based. NO

Longueur Totale en Octets
n nombre total d'octets du datagramme, en-tête IP comprise. Donc, la valeur maximale est
(216)-1 octets.

La Fragmentation
n Les Champs suivants permettent la fragmentation.
- Identification - Identifie tous les fragments d’un même datagramme
- Fragment Offset - Positionne le fragment dans le datagramme
- MF Bit - Encore des fragments a venir
- DF Bit - Ne pas fragmenter, laisser tomber si nécessaire

PMTUD
n Une station tente d’émettre un paquet vers la destination au MTU et positionne le bit DF.
n Si un routeur drop le paquet, il envoie un Packet Too Big ICMP vers la source avec le MTU
disponible.
n L’opération est éventuellement répétée jusqu’ a ce qu’un paquet puisse être émis au MTU
disponible vers la destination.
n La source maintient un cache par destination.

En-tête IPv4 (suite)
n TTL. Le Time to Live est décrémenté a chaque hop. Si sa valeur est nul le paquet est droppé
et un message ICMP remonte a la source pour l’en informer.
n Protocol. Un code définit dans le RFC1700 qui définit le protocole encapsule. Les plus
connus sont:
n 01 - ICMP
n 02 - IGMP
n 06 - TCP
n 17 - UDP

Checksum.
n Le champ Checksum est codé sur 16 bits et représente la validité de l’en-tête du paquet de
la couche 3.
n Pour pouvoir calculer le Checksum, il faut positionner le champ du checksum a 0 et ne
considérer que l'en-tête IP. Donc par exemple, si deux trames ont la même en-tête IP (y compris
le champ length) et deux en-têtes ICMP et Data différentes (mais de même longueur), le
checksum IP sera alors le même.

Adresses IPv4
n Adresse IP Source/Destination
n Classe A. Adresses de 1.0.0.0 à 126.255.255.255.
n La plage 10.0.0.0. à 10.255.255.255 est privée.
n 128 domaines (réseaux) et 16.777.214 machines de classe A par domaine
n Classe B. 127.0.0.0 à 191.255.255.255.
n 16.000 domaines et 65.534 Machines de classe B par domaine
n Classe C. 192.0.0.0 à 223.255.255.255.
n 2.000.000 domaines et 254 machines de classe C par domaine
n Classe D. 234.0.0.0 à 239.255.255.255 Multicast
n Classe E. 240.0.0.0 à 247.255.255.255 Expérimentale

NAT/PAT
n NAT permet de gérer la traduction d’adresses privées en publiques
n PAT permet d’associer plusieurs adresses privées a une adresse publique
n Cons
n Goulet d’étranglement
n Gere mal certaines applications qui véhiculent les adresses
n Pro
n Cache le réseau a l’extérieur du domaine

Option
OptionType Option Length
Option Data
C class Option Number

En-tête IPv4 - Option
n Copie (1 bit)
n S’il est positionné les options sont recopiées dans le paquet fractionné.
n Class (2 Bits)
n 0 - 00 - Supervision de réseau
1 - 01 - Non utilise
2 - 10 - Debug et mesures
3 - 11 - Non utilisé

Options (Suite)
n Numéro (5 bits). Le champ Numéro indique les différentes options existantes.
n Voici la liste des différents numéros possibles par Classe :
n Classe 0,
- 0 - 00000 - Fin de liste d'option. Utilisé si les options ne se terminent pas à la fin de l'en-tête (bourrage).
- 1 - 00001 - Pas d'opération. Utilisé pour aligner les octets dans une liste d'options.
- 2 - 00010 - Restriction de sécurité et de gestion. Destiné aux applications militaires.
- 3 - 00011 - Routage lâche défini par la source.
- 7 - 00111 - Enregistrement de route.
- 8 - 01000 - Identificateur de connexion.
- 9 - 01001 - Routage strict défini par la source.
n Classe 2,
- 4 - 00100 - Horodatage dans l'Internet.

En-tête IPv4 - Bourrage
n Le champ Bourrage est de taille variable comprise entre 0 et 7 bits. Il permet de combler le
champ option afin d'obtenir une en-tête IP multiple de 32 bits. La valeur des bits de bourrage
est 0.

DHCP/BOOTP/RARP
n Certaines stations n’ont pas de quoi stocker leur système d’exploitation et le charge par le réseau.
n Tout ce que connait la station est sa MAC adresse
n Une Requête BOOTP ou RARP demande une adresse IP en envoyant sa MAC adresse.
n Un Serveur BOOTP ou RARP lui donne son adresse IP d’après sa MAC adresse
n Puis la station peut charger son OS en utilisant TFTP.
n La différence principale entre ces protocoles est que BOOTP comme DHCP sont encapsulés dans IP.

DHCP
n Configuration reseau des stations centralisee.
n On configure sur un Serveur DHCP tout ce que les machines d’un reseau ont besoin de
connaitre:
n Adresse IP
n Routeur par defaut
n Adresse du ou des Serveurs DNS
n Nom de domaine, etc…

Conclusion
n IPv4 ne permet pas d’attribuer une adresse globale au nombre toujours croissant de stations
Internet.
n NAT permet d’utiliser des adresses privées mais la traduction est un goulet d’étranglement
et s’accommode mal de certaines applications.
n IPv6 résout le problème d’adressage et bien d’autres encore.

Objectives
n Comprendre toutes les différences avec IPv4
n Comprendre les Adresses IPv6
n Maitriser IPv6

Topic
n Objectifs
n Introduction
n En-tête IPv6
n Les Adresses IPv6

Introduction
n RFC2460
n IP Version 6 améliore sur de nombreux points le protocole IP version 4 vieux d’une trentaine
d’années maintenant !…
n La pénurie d’adresse IPv4 qui a généralisée l’emploi de NAT dans la plupart des entreprises
est un frein au développement de certaines applications qui s’accommodent mal de NAT.

En-tête IPv6 en bref !
n Les champs de la fragmentation sont retirés.
n Les champs Identifications, Don’t Fragment, More Bit et Fragment Id ont étés supprimés.
n Le CHECKSUM a également été supprime
n Il devient obligatoire dans UDP
n Un Champs Trafic Class (8 bits) contient le DSCP
n Un Champs Flow Label (20 bits) permet d’identifier un flux d’information.
n Les adresses sont sur 128 bits
n De 20 Octets il passe à 40 Octets

En-tête IPv6
Ver Traffic Class Flow Label
Payload Length Next Header=Hop-By-Hop Hop Limit
Source IPv6 Address
Destination IPv6 Address
Next Header=Routing Hdr
Next Header=TCP
Hop-By-Hop
Routing Header
TCP Header

En-tête IPv6
Ethernet II, Src: ca:02:42:76:00:08 (ca:02:42:76:00:08), Dst: IPv6mcast_00:01:00:02
(33:33:00:01:00:02)
Destination: IPv6mcast_00:01:00:02 (33:33:00:01:00:02)
Source: ca:02:42:76:00:08 (ca:02:42:76:00:08)
Type: IPv6 (0x86dd)
Internet Protocol Version 6
0110 .... = Version: 6
[0110 .... = This field makes the filter "ip.version == 6" possible: 6]
.... 1110 0000 .... .... .... .... .... = Traffic class: 0x000000e0
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 56
Next header: UDP (0x11)
Hop limit: 255
Source: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442)
Destination: ff02::1:2 (ff02::1:2)
User Datagram Protocol, Src Port: dhcpv6-client (546), Dst Port: dhcpv6-server (547)
Source port: dhcpv6-client (546)
Destination port: dhcpv6-server (547)
Length: 56
Checksum: 0x86f0 [validation disabled]

Flow label
n Permet d’identifier un flow de données
n Non utilisé à ce jour donc disponible pour de futures applications

Traffic Class
n Un octet
n Similaire a TOS+Priority
n Utilisé pour marquer le trafic pour traitement différentié selon QOS en vigueur

DiffServ
n Identique a IPv4
n Differentiated Services Field redéfinit les 6 premiers bits comme DSCP
n définit deux grandes sortes de trafic.
n Expedited Forwarding
- http://www.ietf.org/rfc/rfc3246.txt
n Assured Forwarding
- http://www.ietf.org/rfc/rfc2597.txt

DiffServ Expedited Forwarding
n Expedited Forwarding (RFC3246).
n Dans ce mode les données sont traitées avec une priorité stricte.
n Cela demande le protocole de réservation RSVP pour garantir que la bande passante soit disponible dans les
Priority Queues des routeurs tout au long du chemin.
- DSCP = 101110

Diff-Serv Assured Forwarding
q Dans ce mode le trafic est classé par classe de trafic plus ou moins prioritaires.
q Chaque classe de trafic est doté de 3 niveaux de précédence pour prioriser les drop.
DSCP DSCP binary Intended Protocol Configuration
AF1 AF11
AF12
AF13
001010
001100
001110
Bulk Transfer, Web,
General Data Service
Active Q management
DSCP-based WRED.
AF2 AF21
AF22
AF23
010010
010100
010110
Datagram access,
transaction services,
interactives traffic, preferred
data service
Active Q management
DSCP-based WRED.
AF3 AF31
AF32
AF33
011010
011100
011110
Locally defined; mission
critical application
Active Q management
DSCP-based WRED.
AF4 AF41
AF42
AF43
100010
100100
100110
Interactive video and
associated voice
Admission control RSVP
Active Q management
DSCP-based WRED.

Diff Serv Class Selector
PHB DSCP DSCP bin Intended Protocol Configuration
IP Routing Class Selector 6 110000 BGP, OSPF, and so on Queuing=rate based. Small
Streaming Video Class Selector 4 100000 Often Proprietary Admission control=RSVP,
Queuing=rate based. Small
Telephony
Signaling
Class Selector 3 011000 SIP, H323, etc…. Queuing=rate based. Small
Network
Management
Class Selector 2 010000 SNMP Queuing=rate based. Small
Scavenger Class Selector 1 0010000 User Selected Service Queuing=rate based. NO

Next Header
n Afin de permettre le chainage des encapsulations, un pointeur vers le prochain header a été
ajouté
n Similaire au champs protocole de IPv4
n Permet le chainage de plusieurs Options

IPv6 Option Header
n Afin de permettre le chainage des encapsulations, un pointeur vers le prochain header a été ajouté
n Similaire au champs protocole de IPv4
n La seule Option qui doit être inspectée par tous les nodes est le Hop-by-Hop
n Chaque option est formatéee comme un TLV
8 bits 8 bits 16 bits
Option Type Option Length Option data

Hop-By-Hop Option
n Hop-by-Hop (Next header=0) est la seule en-tête qui doit être examinée par tous les noeuds
du réseau.
n Jumbogram 65,536 octets
n RFC 2711 Router Alert utilise par MLD, RSVP
n DOIT ETRE LE PREMIER

Routing Header
n Type 0. un RFC Implémente le Source Routing
n Il liste tous les noeuds qui doivent être visités
n Représente un danger potentiel et peut être interdit sur un routeur cisco.
n Type 1 Obsolete
n Type 2. RFC3775 Utilise par Mobile IPv6

IPv6 Header (suite)
n Fragment Header
n Utilise PMTUD pour l’éviter
n S’il ne le peut, la source fragmente et l’option contient les champs nécessaires pour rassembler
le datagramme. : ID, offset
n C’est devenu tellement rare que ca ne valait pas la peine de mobiliser des champs fixes dans
l’en-tête IPv6.
n Authentication Header
n ESP Header
n Mobility Header

Ordre des options
n Hop-by-hop
n Destination options (si routing present)
n Routing
n Fragment
n Authentication
n ESP
n Mobility
n Destination option (si routing absent)
n Upper layer

Capture
No. Time Source Destination Protocol Info
188 619.951000 2005::2 2005::1 ICMPv6 Echo request
Frame 188 (114 bytes on wire, 114 bytes captured)
Ethernet II, Src: ca:00:12:a4:00:38 (ca:00:12:a4:00:38), Dst: ca:01:12:a4:00:38 (ca:01:12:a4:00:38)
0110 .... = Version: 6
.... 1010 0000 .... .... .... .... .... = Traffic class: 0x000000a0
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 60
Next header: IPv6 hop-by-hop option (0x00)
Hop limit: 64
Source: 2005::2 (2005::2)
Destination: 2005::1 (2005::1)
Hop-by-Hop Option
Next header: IPv6 destination option (0x3c)
Length: 0 (8 bytes)
PadN: 6 bytes
Destination Option
Next header: ICMPv6 (0x3a)
Length: 0 (8 bytes)
PadN: 6 bytes
Internet Control Message Protocol v6
Type: 128 (Echo request)
Code: 0
Checksum: 0x4c15 [correct]
ID: 0x1d86
Sequence: 0x0009
Data (36 bytes)
0000 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 ................
0010 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 ....... !"#$%&'(
0020 29 2a 2b 2c )*+,
Data: 090A0B0C0D0E0F101112131415161718191A1B1C1D1E1F20...
[Length: 36]

Maximum Transmission Unit
Frame Header IPv6 Packet Frame Trailer
n IPv4
n MTU >= 68 Octets
n IPv6
n MTU >= 1280 Octets
n PMTUD
Link-Layer Frame
Minimum MTU = 1280 Octets

Adresses IPv6
n Unicast.
n Identifie un noeud de réseau
n Le trafic est acheminé vers ce noeud unique
n Multicast
n Identifie un groupe de noeuds de réseau
n Le trafic est acheminé vers tous les noeuds de ce groupe
n FF00::/8
n Anycast
n Identifie un groupe de noeuds de réseau
n Le trafic est acheminé vers le noeud le plus proche

Representation
n X:X:X:X:X:X:X:X
n X est un champs Hexa sur 16 bits
n Les 0 successifs sont représentés par :: mais seulement 1 fois dans une adresse
n 2000:1::0102:1234:4222
n FF01:0:0:0:0:0:0:1 = FF01::1
n 0:0:0:0:0:0:0:0 = ::

Représentation (suite)
n IPv4-compatible
n 0:0:0:0:0:192.168.30.1
n ::192.168.30.1
n Tunnels Automatiques IPv6->IPv4
n Dans un URL, il est entouré de []
n http://[2001:1:4::11]:8080/index.html

Unspecified et Loopback Address
n Unspecified
n 0:0:0:0:0:0:0:0 ou ::
n Utilise quand il n’y a pas d’adresse disponible
- Initial DHCP Request
- Initial RS pendant autoconfig
n Loopback
n 0:0:0:0:0:0:0:1
n ::1
n Identique a 127.0.0.1 en ipv4

Global Unicast Address
n Adresse Unicast d’un Hote:
n 2000:0001:0002:0000:0000:0005:0006:0007
n 2000:0001:0002::0005:0006:0007
n Prefix Reseaux:
n 2000:0001:0002::/48
n 2000:1000:0001:0010::/64

Multicast
n FF00::/8
n FF0x:: (X=0..F) est réservé
n Remplace le broadcast inexistant en IPv6
n No TTL in IPv6 Multicast
n L’étendu est codée dans l’adresse
n FF02::1:FFXX:XXXX Solicited Node

Multicast
FF Flag Scope 0 Interface ID
n Flag (Drapeau)
n O si permanent
n 1 si temporaire
n Scope (Etendue)
n 1=node
n 2=link
n 3=site
n 5=Organization
n E=Global
128 bits

Multicast Address
n FF01::1 Interface-local Scope All nod]e address
n FF01::2 Interface-local Scope All routers address
n FF02::1 Link-local Scope all node adress
n FF02:2 Link-local Scope All routers address
n FF05::1 Site-local Scope All node address
n FF05::2 Site-local Scope all routers address
n FF05::1:3 Site-local Scope all DHCP server

Solicited-node multicast adress
n Addresse Unicast
n 805B:2D9D:DC28::FC57:D4C8:1FFF
n Prefix
n FF02:0:0:0:0:1:FF
n Solicited-node multicast adress
n FF02:0:0:0:0:1:FF:C8:1F:FF

Etendue d’adresse (Scope)
n Link-local scope.
n Certaines adresses ne sont valides que dans un domaine de couche liaison de données
n 1111111010 -> FE84::/64
n Site-local scope.
n Ces adresses sont valides au niveau d’un ou plusieurs sites ou d’un ensemble de domaines de
couches de liaison de données
n 11111110L-> FC00::/7 OR FD00::/7 for Local Assigment
n Global Scope
n Ces adresses sont valides au sens le plus large de l’Internet auquel est connecte le noeud.

Adresses IPv6 pour un noeud
n Une Link-local pour chaque interface
n Loopback
n Assigned Unicast
n All-nodes Multicast
n Solicited-node multicast pour chaque unicast
n Multicast

Adresses requises pour un routeur
n Toutes les adresses du noeud IPv6
n Subnet-router anycast pour les interfaces configurées comme forwarding interfaces
n Autres Anycast
n All-Routers Multicast
n Specific Multicast pour les protocoles de routages

IPv6 dans Ethernet
Dest Ethernet
Adress Source Ethernet
Adress 0x86DD IPv6 En-tête et charge
n Protocole IPv6: Ox86DD

EUI-64
EUI-64 est forme en inserant 0xFFFE
00 90 59 02 E0 F9
00 90 59 FF FE 02 E0 F9
n Mac Address 48 bit
n X=1 Unique
n X=0 Not Unique
000000X0

Multicast Mapping sur Ethernet
n Adresse IPv6 Multicast
n FF02:0:0:0:0:1:FF90:FE53
n Adresse Mac correspondante
n 33:33:FF:90:FE:53

Cisco IPv6 Interface
sa13-72c(config-if)#do show ipv6 int gig0/2
GigabitEthernet0/2 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::20B:60FF:FEB4:9C1A
No Virtual link-local address(es):
Stateless address autoconfig enabled
Global unicast address(es):
2000:1::20B:60FF:FEB4:9C1A, subnet is 2000:1::/64 [EUI/CAL/PRE]
valid lifetime 2591911 preferred lifetime 604711
Joined group address(es):
FF02::1
FF02::2
FF02::1:FFB4:9C1A
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 23319)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.

Conclusions
n Plus de limite sur les adresses disponibles
n Une en-tête orientée performance
n Le multicast remplace le broadcast44

Objectives
n Comprendre le fonctionnement d’ICMPv6
n ICMPv6 Neighbor Discovery, IGMP et autres protocoles sont maintenant implementés dans
ICMPv6

TOPIC
n Introduction
n ICMPv6
n MLD (IGMP)
n Protection d’ICMPv6
n Messages d’Erreurs d’ICMPv6
n Destination Unreachable
n Time Exceeded
n Paquet too Big
n Parameter Problem
n Message d’informations
n Echo Request
n Echo Reply
n Exemple sur un routeur Cisco

Introduction
n RFC 4443
n IPv6 extension header type 58
n PMTUD est utilisé pour trouver le MTU entre deux noeuds de réseau.
n ICMP Version 6 améliore sur de nombreux points le protocole IP version 4 vieux d’une trentaine
d’années maintenant !
n ICMPv6 et Neighbor Discovery englobe maintenant des fonctions autrefois assurées par ARP,
IGMP, IDRP, et d’autre encore.
n Neighbor Discovery est supportée par ICMPv6.

ICMPv6/NDP Header
Type Code Checksum
Corps du Message

MLD (IGMP)
n MLDv1 (RFC 2710)
n IGMPv2. RFC 2236
n Multicast Listener Query. ICMPv6 Type 130
n Multicast Listener v1. Report. ICMPv6 Type 131
n Multicast Listener Done. ICMPv6 Type 132
n MLDv2
n IGMPv3. RFC 3376
n Multicast Listener Query. ICMPv6 Type 130
n Multicast Listener Report. v2. ICMPv6 Type 143

Protection ICMPv6
n Les messages suivants doivent avoir un hop limit de 255:
n RS:133, RA:134
n NS:135, NA:134
n Redirect: 137
n Inverse Neighbor Discovery Solicitation: 141
n Inverse Neighbor Discovery Advertizement: 142
n Certificate Path Solicitation (SEND): 148
n Certificate Path Advertisement (SEND): 149

Message informatifs
n Utilisés par la commande pingv6
n Echo Request
n Echo Reply
sa13-72c>ping 2000:1::100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2000:1::100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/4 ms
sa13-72c>
Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100
Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A
[SNIP]

Message d’Erreurs
n Destination Unreachable
n Packet Too Big
n Time Exceeded
n Parameter Problem

Destination Unreachable
CODE DESCRIPTION EXPLICATION
0 Pas de route vers la destination Le paquet a été droppé parce qu’il n’y avait pas de
route vers la destination
1 Communication
administrativement prohibee
Le paquet a été filtré par un routeur
3 Adresse non joignable Le niveau liaison de donnée ne peut être résolu
4 Port non joignable Le port de destination UDP ou TCP n’existe pas ou
est ignoré par le host.

Time Exceeded
n Le champ Hop cout est décrémenté à chaque Hop.
n Lorsqu’il atteint zéro.
n Le Paquet est jeté
n un message ICMPv6 TIME EXCEEDED est envoyé vers la source du paquet.
n Ceci permet a un paquet de ne pas circuler pour toujours dans le réseau si une boucle de réseau
existe.

Paquet Too Big
n La source doit découvrir le PMTU grâce à PMTUD
n si un routeur reçoit un paquet trop long pour être acheminé, il doit le jeter et envoyer un packet
ICMPv6 Packet Too Big vers la source avec son MTU.
n La source ajuste son MTU et maintient un cache par destination
n Le Minimum MTU d’un réseau IPv6 doit être de 1280 Octets au minimum.

Parameter Problem
Code Description Explication
O Champs d’en-tête
Erronées
Le Champs pointe par ce
pointer est erroné
1 Type de Prochain en-tête
non reconnu
Le Next Header n’est pas
reconnu
2 IPv6 Option Non
reconnue
L’Option IPv6 n’est pas
reconnue

Exemple avec plus de debug
sa13-72c#ping 2000:1::100
Sending 5, 100-byte ICMP Echos to 2000:1::100, timeout is 2 seconds:
!!!!!
sa13-72c#
Apr 18 08:41:15: IPv6: Looking up 2000:1::100 [Source ::] in FIB
Apr 18 08:41:15: IPv6: FIB lookup for 2000:1::100 succeeded. if=GigabitEthernet0/2, nexthop 2000:1::100
Apr 18 08:41:15: IPv6-Sas: SAS picked source 2000:1::1 for 2000:1::100 (GigabitEthernet0/2)
Apr 18 08:41:15: IPV6: source 2000:1::1 (local)
Apr 18 08:41:15: dest 2000:1::100 (GigabitEthernet0/2)
Apr 18 08:41:15: traffic class 0, flow 0x0, len 100+0, prot 58, hops 64, originating
Apr 18 08:41:15: ICMPv6-ND: DELETE -> INCMP: 2000:1::100
Apr 18 08:41:15: ICMPv6-ND: Sending NS for 2000:1::100 on GigabitEthernet0/2
Apr 18 08:41:15: IPV6: source 2000:1::1 (local)
Apr 18 08:41:15: dest FF02::1:FF00:100 (GigabitEthernet0/2)
Apr 18 08:41:15: traffic class 224, flow 0x0, len 72+0, prot 58, hops 255, originating
Apr 18 08:41:15: IPv6-Fwd: Sending on GigabitEthernet0/2
Apr 18 08:41:15: ICMPv6-ND: Resolving next hop 2000:1::100 on interface GigabitEthernet0/2
Apr 18 08:41:15: IPv6-Fwd: Encapsulation postponed, performing resolution
Apr 18 08:41:15: IPv6: Looking up 2000:1::1 [Source 2000:1::100] in FIB
Apr 18 08:41:15: IPv6: FIB lookup for 2000:1::1 succeeded. Local, if=GigabitEthernet0/2, nexthop 2000:1::1
Apr 18 08:41:15: IPV6: source 2000:1::100 (GigabitEthernet0/2)
Apr 18 08:41:15: dest 2000:1::1 (GigabitEthernet0/2)

Conclusions
n On retrouve dans ICMPv6 les fonctions d’ICMP mais il accueille aussi des applications qui
étaient séparées auparavant:
n Neighbor Discovery Protocol
n MLD autrefois nommé IGMP pour le multicast

Objectifs
n Comprendre le rôle d’NDP
n Comprendre ses algorithmes
n Comprendre toutes ses fonctionnalités

Sommaire
n Introduction
n Les Fonctionnalités NDP
n Les Algorithmes NDP
n State Machine for Reachability
n Next Hop Determination
n Default Router Selection
n Duplicate Address Detection
n Autoconfiguration
n Lecture
n Conclusion

Fonctionnalités de ND
n RFC 4861, RFC 4862
n Router Discovery
n Neighbor Discovery
n Prefix Discovery
n Parameter Discovery
n Address Auto-Configuration
n Address Resolution
n Next-hop Determination
n Neighbor Unreachability Detection
n Duplicate Address Detection
n Redirection
n Default Router and More Specific route Selection
n Proxying node

NDP PDU
Message But ICMP Code Emetteur Cible Option
Router Solicitation
(RS)
Demande un RA
immediatement
133 Hotes Tous Routers SLLA
Router Advertisement
(RA)
Annonce: Router par
defaut, prefixes du
lien, prefixes
joignables,
paarametres
d’operations
134 Routeurs Emetteur du RS ou
tous les hotes
SLLA, MTU, info de
Prefix, info de Route,
Interval
d’annonces,info
d’agent maison
Neighbor Solicitation
(NS)
Requiers l’adresse de
lien de l’hote cible
135 Hotes Hote solicite ou le
noeud cible
SLLA
,, Repond au NA
Annonce le
changement d’adresse
du lien
136 Hotes Emetteur du NS ou
tous les Hotes
TLLA
Redirect Informe les hotes d’un
meilleur premier saut
137 Routeurs Hotes qui declencha le
redirect
TLLA
En-tetes Redirigee
Inverse neighbor
Solicitation (INS)
Requiers une
addresse IPv6
correspondant a
l’adresse de liaison de
donnee
141 Hotes Tous les hotes SLLA, TLLA, MTU, list
d’adresses sources
Inverse Neighbor
Advertisement (INA)
Reponse a un INA 142 Hotes Emetteur du INS SLLS, TLLA, List
d’adresses cibles,
MTU

Neighbor Discovery
n Neighbor Solicitation/Advertisement permettent de gérer le cache des voisins.
n IPv6 a mis en oeuvre un Automate d’état fini pour gérer ce cache efficacement.
n Remplace avantageusement ARP

Automate de gestion des Voisins

Etats des voisins
q INCOMPLETE
n « Address resolution is being performed on the entry. Specifically, a Neighbor Solicitation has been sent
to the solicited-node multicast address of the target, but the corresponding Neighbor Advertisement has
not yet been received. »
q REACHABLE
n « Positive confirmation was received within the last ReachableTime milliseconds that the forward path to
the neighbor was functioning properly. While REACHABLE, no special action takes place as packets are
sent. »!
q STALE
n « More than ReachableTime milliseconds have elapsed since the last positive confirmation was received
that the forward path was functioning properly. While stale, no action takes place until a packet is
sent. The STALE state is entered upon receiving a unsolicited Neighbor Discovery message that updates the
cached link-layer address. Receipt of such a message does not confirm reachability, and entering the
STALE state ensures reachability is verified quickly if the entry is actually being
used. However,reachability is not actually verified until the entry is actually used. »!
q DELAY
n « More than ReachableTime milliseconds have elapsed since the last positive confirmation was received
thatthe forward path was functioning properly, and a packet was sent within the last
DELAY_FIRST_PROBE_TIMEseconds. If no reachability confirmation is received within
DELAY_FIRST_PROBE_TIME seconds of entering the DELAY state, send a Neighbor Solicitation and changethe
state to PROBE. The DELAY state is an optimization that gives upper- layer protocols
additional time to provide reachability confirmation in those cases where ReachableTime
milliseconds have passed since the last confirmation due to lack of recent traffic. Without this
optimization, the opening of a TCP connectionafter a traffic lull would initiate probes even though the
subsequent three-way handshake would provide a reachability confirmation almost
immediately. »!
q PROBE
q « A reachability confirmation is actively sought by retransmitting Neighbor Solicitations every
RetransTimer milliseconds until a reachability confirmation is received. »!

ND - Sollicitation du voisin
n NS/NA
ICMP Type 135
Src =A
Dst = Solicited Multicast de B
Target= Adresse IP de B
Quel est votre adresse de liaison de données
(MAC)
ICMP Type 136
Src=B
Dst=A
adresse de liaison de données
(MAC) de B

Neighbor Sollicitation Header
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Code | Checksum |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ Target Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options ...
+-+-+-+-+-+-+-+-+-+-+-+-

Neighbor Advertisement Header
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|R|S|O| Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ Target Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options ...
+-+-+-+-+-+-+-+-+-+-+-+-

ARP remplacé par NDP
sa13-72c#ping 2000:1::100!
!
Type escape sequence to abort.!
Sending 5, 100-byte ICMP Echos to 2000:1::100, timeout is 2 seconds:!
!!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/4 ms!
sa13-72c#!
Apr 18 08:36:03: ICMPv6-ND: DELETE -> INCMP: 2000:1::100!
Apr 18 08:36:03: ICMPv6-ND: Sending NS for 2000:1::100 on GigabitEthernet0/2!
Apr 18 08:36:03: ICMPv6-ND: Resolving next hop 2000:1::100 on interface GigabitEthernet0/2!
Apr 18 08:36:03: ICMPv6-ND: Received NA for 2000:1::100 on GigabitEthernet0/2 from 2000:1::100!
Apr 18 08:36:03: ICMPv6-ND: Neighbour 2000:1::100 on GigabitEthernet0/2 : LLA 0008.201a.7c38!
Apr 18 08:36:03: ICMPv6-ND: INCMP -> REACH: 2000:1::100!
Apr 18 08:36:08: ICMPv6-ND: Received NS for 2000:1::1 on GigabitEthernet0/2 from FE80::208:20FF:FE1A:7C38!
Apr 18 08:36:08: ICMPv6-ND: DELETE -> INCMP: FE80::208:20FF:FE1A:7C38!
Apr 18 08:36:08: ICMPv6-ND: Neighbour FE80::208:20FF:FE1A:7C38 on GigabitEthernet0/2 : LLA 0008.201a.7c38!
Apr 18 08:36:08: ICMPv6-ND: INCMP -> STALE: FE80::208:20FF:FE1A:7C38!
Apr 18 08:36:08: ICMPv6-ND: Sending NA for 2000:1::1 on GigabitEthernet0/2!
Apr 18 08:36:08: ICMPv6-ND: STALE -> DELAY: FE80::208:20FF:FE1A:7C38!
!
n Pas de perte de paquet pendant la résolution ND !!

Neighbor Sollicitation
0110 .... = Version: 6
.... 1110 0000 .... .... .... .... .... = Traffic class: 0x000000e0
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 400
Hop limit: 255
Source: fe80::2027:9779:3775:5cf8 (fe80::2027:9779:3775:5cf8)
Destination: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442)
Type: 135 (Neighbor solicitation)
Code: 0
Checksum: 0x64e3 [correct]
Target: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442)
ICMPv6 Option (Source link-layer address)
Type: Source link-layer address (1)
Length: 8
Link-layer address: ca:03:42:76:00:08
ICMPv6 Option (CGA)
Type: CGA (11)
Length: 192
Pad Length: 1
Reserved
CGA: 94CC49E03C4E5C8140E0CD97396A7359FE80000000000000...
Padding
SNIP

Découverte du Voisinage - Redirect
Src = A
Dest=B
Dest Ethernet:R1 (default Router)
A
R1
R2
Redirect:
Src=R1
Dst = A
Data= Bon router est R2
Dest Ethernet = A
B

Redirect
n Semblable au Redirect d’IPv4
n Permet de rediriger la source vers le meilleur Next-Hop lorsqu’un paquet est rerouté par la
même interface
n L’Hôte doit mettre a jour sa table pour envoyer le trafic par le meilleur chemin

Redirect
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ Target Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ Destination Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Options ...
+-+-+-+-+-+-+-+-+-+-+-+-

Redirect
0110 .... = Version: 6
.... 1110 0000 .... .... .... .... .... = Traffic class: 0x000000e0
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 856
Hop limit: 255
Source: fe80::2038:148e:b9df:fd6d (fe80::2038:148e:b9df:fd6d)
Destination: fe80::2027:9779:3775:5cf8 (fe80::2027:9779:3775:5cf8)
Type: 137 (Redirect)
Code: 0
Checksum: 0x5964 [correct]
Target: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442)
Destination: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442)
ICMPv6 Option (Target link-layer address)
Type: Target link-layer address (2)
Length: 8
ICMPv6 Option (Redirected header)
Type: Redirected header (4)
Length: 448
Reserved: 0 (correct)
Redirected packet
SNIP

ND - Annonce de Routeur
n Annonces Periodic RA
n ICMP Type = 134
n Src = Router Link-Local
n Dst = All nodes multicast address
n Data = Options, prefix, lifetime, autoconfig flag
n Routeur Cisco
n Ipv6 unicast-routing

ND - solicitation de Routeur
n RS
n Src = ::
n Dst = All routers multicast address
n Au démarrage d’une station ou lorsqu'on configure autoconfig, RS permet de
recevoir immédiatement toutes les infos

RA - show ipv6 routers
hote#show ipv6 routers
Router FE80::2038:148E:B9DF:FD6D on FastEthernet0/0, last update 2 min
Hops 64, Lifetime 1800 sec, AddrFlag=0, OtherFlag=0, MTU=1500
HomeAgentFlag=0, Preference=Medium
Reachable time 0 (unspecified), Retransmit time 0 (unspecified)
Prefix 2001::/64 onlink autoconfig
Valid lifetime 2592000, preferred lifetime 604800
hote#

RA capture
0110 .... = Version: 6
.... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 104
Hop limit: 255
Source: fe80::207:cbff:fe3e:b6b3 (fe80::207:cbff:fe3e:b6b3)
Destination: ff02::1 (ff02::1)
Type: 134 (Router advertisement)
Code: 0
Checksum: 0xf74b [correct]
Cur hop limit: 64
Flags: 0x00
Router lifetime: 1800
Reachable time: 0
Retrans timer: 0
ICMPv6 Option (Prefix information)
Type: Prefix information (3)
Length: 32
Prefix length: 64
Flags: 0xc0
Valid lifetime: 86400
Preferred lifetime: 86400
Prefix: 2a01:e35:2f26:d340::
ICMPv6 Option (Recursive DNS Server)
Type: Recursive DNS Server (25)
Length: 40
Reserved
Lifetime: 600
Recursive DNS Servers: dns3.proxad.net (2a01:e00::2)
Recursive DNS Servers: dns2.proxad.net (2a01:e00::1)
ICMPv6 Option (MTU)
Type: MTU (5)
Length: 8
MTU: 1480
ICMPv6 Option (Source link-layer address)
Type: Source link-layer address (1)
Length: 8
Link-layer address: 00:07:cb:3e:b6:b3

Neighbor Unreachability Detection
n La communication entre 2 noeuds IPv6 peut être cassée.
n C’est important de le savoir pour mettre en route des méthodes de recovery si nécessaire. Un host peut
basculé
n r sur un nouveau routeur
n Il y a 2 façons de s’en rendre compte:
n Un protocole de plus haut niveau continue d’acquitter le trafic
n Un NA est reçu en réponse a un NS
n La Machine d’états peut être suivie sur un routeur en tapant la commande « debug ipv6 neighbor »

State Machine for Reachability
Create Entry
Send NS
Incomplete
NA2
Stale
Delay
Probe
Reachable
Te
NA1
Report Error
Delete Entry
NA3
Or
U
T or O or
NA4 or NA5
T
Retry NS
NA3 ou U
Retry NS
SEND NS
NA5 ou O
S NA3 ou U
NA5 ou O
T
Te
NA1 - Recevoir un NA avec Solicited=0
NA2- Recevoir un NA avec Solicited=1
NA3- Recevoir un NA avec Solicited=1 et Override=1
ou Override=0 et le link-layer identique a celui dans le
cache
NA4- Recevoir un NA avec solicited=1, Override=0 et
link-layer different du cache
NA5=Recevoir un NA avec solicited=0, override=1, et
link-layer diferent du cache
O - Recevoir un autre ND paquet avec link-layer
different du cache.
S- Envoyer un paquet
T- Timeout
Te- Timeout avec retry epuise
U- Couche superieur confirmee
T
T

Next-Hop Determination
n A la difference d’IPv4, un host peut-etre voisin avec un prefix reseau different.
n Il sera considere on-link si:
n Il est couvert par un des prefixes du lien
n Il a recu un NA pour cette adresse
n Il a recu n’importe quel message ND de cette adresse
n Il a recu un RA avec ce prefix dans la list des prefix
n Il a recu un REDIRECT message avec une cible egale a cette adresse

Next-Hop Determination Algorithm
Lookup in Dest
Cache [D,N]
Lookup in
Prefix List for [D,N]
Retrieve a default Router
N from router list
Nexthop=N
Not found
Off-link
Nexthop=N
Nexthop=D
Nexthop=D
D = Dest Address
N = Neighbor on same link
L = Link-layer address
Lookup in neighbor cache
for nexthop
Not found
Packet
Dropped
Neighbor
Discovery
Not found
Found
Entry
State
Packet Forwarded
Found
Reachable
Neigh. Unreachability
detection
Address Resolution
or Router Selection
Stale
Reachable
Not
Reachable

Default Router Selection
n Type A
n Ignore le default router preference et la route la plus spécifique présente dans le RA
n Si le routeur sélectionné n’est plus joignable, le host doit utiliser les autres en round-robin afin
de sonder (probe) chacun des routeurs.
n Type B
n Comme le type A mais le host tient compte de la préférence du routeurs.
n Type C
n Host qui implémente une table de routage.
n Quand un host type fait un next-hop determination il préfère les host Reachable et puis il
applique le longest match.

Detection d’adresses Dupliquées (DAD)
n Src = 0 (::)
n Dst = solicited node multicast address of A
n Data = link-layer de A
n Query: Quel est votre adresse de lien ?
A

Duplicate Address Detection
n Avant de s’assigner une adresse il génere un NS pour l’adresse
n si pas de NA recu, alors il génère un NA et se l’assigne
Apr 18 09:57:31: ICMPv6-ND: L3 came up on GigabitEthernet0/2
Apr 18 09:57:31: IPv6-Addrmgr-ND: DAD request for 2000:1::1 on GigabitEthernet0/2
Apr 18 09:57:31: ICMPv6-ND: Sending NS for 2000:1::1 on GigabitEthernet0/2
Apr 18 09:57:32: IPv6-Addrmgr-ND: DAD: 2000:1::1 is unique.
Apr 18 09:57:32: ICMPv6-ND: Sending NA for 2000:1::1 on GigabitEthernet0/2
Apr 18 09:57:32: IPv6-Address: Address 2000:1::1/64 is up on GigabitEthernet0/2

Autoconfiguration
n RFC 4862, IPv6 Stateless Address Autoconfiguration
n Il utilise RS/RA pour obtenir le préfix et construire une adresse
n Il utilise NS (DAD) pour tester si cette adresse n’est pas déjà employée.
n Statefull Autoconfiguration avec DHCP pour IPv6 RFC3315.
n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whitepaper_C11-472610.html

DHCPv6
n Les routeurs IPv6 signalent l’utilisation de DHCPv6
n Les bits M et O sont positionnés dans les RA
n Le bit M « Managed Adress Configuration » indique aux clients l’utilisation de DHCPv6 pour
obtenir leurs configuration
n Le bit O « Other Statefull Configuration » suggère aux clients d’utiliser DHCPv6 pour d’autres
configurations que la seule adresse
n Les clients et serveurs s’échangent ensuite grâce à DHCPv6
n DHCPv6 Request
n DHCPv6 Reply
n "ff02::1:2" Tous les relay agents et serveurs
n "ff05::1:3" Tous les Serveurs DHCPv6

Autoconfig - show ipv6
hote#sh ipv6 route
IPv6 Routing Table - Default - 5 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S ::/0 [2/0]
via FE80::2038:148E:B9DF:FD6D, FastEthernet0/0
LC BAD:1:2:FC64:8ECC:593A:15C3:654/128 [0/0]
via FastEthernet0/0, receive
C 2001::/64 [0/0]
via FastEthernet0/0, directly connected
L 2001::20EC:31D3:14CB:A7A/128 [0/0]
via FastEthernet0/0, receive
L FF00::/8 [0/0]
via Null0, receive
hote#

Autoconfig - show ipv6 interface
hote#sh ipv6 int fa0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::38B1:E73C:C0F0:4442
BAD:1:2:FC64:8ECC:593A:15C3:654, subnet is BAD:1:2:FC64:8ECC:593A:15C3:654/128
2001::20EC:31D3:14CB:A7A, subnet is 2001::/64
FF02::1
FF02::1:FFC3:654
FF02::1:FFCB:A7A
FF02::1:FFF0:4442
MTU is 1500 bytes
Default router is FE80::2038:148E:B9DF:FD6D on FastEthernet0/0
hote#

Quelques RFC
n RFC 2460 IPv6 Specification
n RFC 5095 Deprecation of Type 0 Routing Headers in IPv6
n RFC 3513 IPv6 Addressing Architecture
n RFC 4861 Neighbor Discovery
n RFC 4862 IPv6 Stateless Auto config
n RFC 4443 ICMPv6 Specification
n http://tools.ietf.org/html/rfc4443

Conclusion
n NDP fait partie de ICMPv6 donc inséparable d’IPv6.
n Il rend des services de type ARP, inverse ARP
n Redirect
n IDRP ICMP Discovery Router Protocol

Objectifs
n Comprendre DHCPv6
n Le support de DNS pour IPv6
n Lister les applications réseaux disponibles

DHCPv6
n Statefull Autoconfiguration avec DHCP pour IPv6 RFC3315.
n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whitepaper_C11-472610.html
n Les routeurs IPv6 signalent l’utilisation de DHCPv6
n Les bits M et O sont positionnés dans les RA
n Le bit M « Managed Adress Configuration » indique aux clients l’utilisation de DHCPv6 pour obtenir leurs
configuration
n Le bit O « Other Statefull Configuration » suggère aux clients d’utiliser DHCPv6 pour d’autres configurations
que la seule adresse
n Les clients et serveurs s’échangent ensuite grâce à DHCPv6
n DHCPv6 Request
n DHCPv6 Reply
n "ff02::1:2" Tous les relay agents et serveurs
n "ff05::1:3" Tous les Serveurs DHCPv6

DHCPv6 Sollicit
0110 .... = Version: 6
[0110 .... = This field makes the filter
"ip.version == 6" possible: 6]
.... 1110 0000 .... .... .... .... .... = Traffic
class: 0x000000e0
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel:
0x00000000
Payload length: 56
Hop limit: 255
Source: fe80::38b1:e73c:c0f0:4442
(fe80::38b1:e73c:c0f0:4442)
Destination: ff02::1:2 (ff02::1:2)
User Datagram Protocol, Src Port: dhcpv6-client (546),
Dst Port: dhcpv6-server (547)
Source port: dhcpv6-client (546)
Destination port: dhcpv6-server (547)
Length: 56
Checksum: 0x86f0 [validation disabled]
DHCPv6
Message type: Solicit (1)
Transaction-ID: 0x00b44306
Elapsed time
option type: 8
option length: 2
elapsed-time: 0 ms
Client Identifier
option type: 1
option length: 10
DUID type: link-layer address (3)
Hardware type: Ethernet (1)
Option Request
option type: 6
option length: 4
Requested Option code: DNS recursive name server
(23)
Requested Option code: Domain Search List (24)
Identity Association for Non-temporary Address
option type: 3
option length: 12
IAID: 262145
T1: 0
T2: 0

DHCPv6 Advertise
0110 .... = Version: 6
[0110 .... = This field makes the filter
"ip.version == 6" possible: 6]
.... 1110 0000 .... .... .... .... .... = Traffic
class: 0x000000e0
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel:
0x00000000
Payload length: 102
Hop limit: 255
Source: fe80::2027:9779:3775:5cf8
(fe80::2027:9779:3775:5cf8)
Destination: fe80::38b1:e73c:c0f0:4442
(fe80::38b1:e73c:c0f0:4442)
User Datagram Protocol, Src Port: dhcpv6-server (547),
Dst Port: dhcpv6-client (546)
Source port: dhcpv6-server (547)
Destination port: dhcpv6-client (546)
Length: 102
Checksum: 0x6db3 [validation disabled]
DHCPv6
Message type: Advertise (2)
Transaction-ID: 0x00b44306
Server Identifier
option type: 2
option length: 10
Client Identifier
option type: 1
option length: 10
Identity Association for Non-temporary Address
option type: 3
option length: 40
IAID: 262145
T1: 43200
T2: 69120
IA Address
option type: 5
option length: 24
IPv6 address: bad:1:2:2d98:8e14:c0b1:6ef5:8548
Preferred lifetime: 86400
Valid lifetime: 172800
Domain Search List
option type: 24
option length: 14
DNS Domain Search List
Domain: fredbovy.com

DHCPv6 Server
R4>show ipv6 dhcp
This device's DHCPv6 unique identifier(DUID): 00030001CA0342760008
R4>show ipv6 dhcp int
FastEthernet0/0 is in server mode
Using pool: fred
Preference value: 0
Hint from client: ignored
Rapid-Commit: disabled
R4#show ipv6 dhcp pool
DHCPv6 pool: fred
Static bindings:
Binding for client BADCAF0E
IA PD: IA ID not specified
Prefix: DEAD:BEEF::/48
preferred lifetime 604800, valid lifetime 2592000
Address allocation prefix: DEAD:BEEF:1:2:3::/64 valid 172800 preferred 86400 (1 in use, 0
conflicts)
Domain name: fredbovy.com
Active clients: 1
R4#show ipv6 dhcp bind
Client: FE80::38B1:E73C:C0F0:4442
DUID: 00030001CA0242760008
Username : unassigned
IA NA: IA ID 0x00040001, T1 43200, T2 69120
Address: DEAD:BEEF:1:2:6090:18A5:E017:DE5C

DHCPv6 Client
hote#show ipv6 dhcp interface
FastEthernet0/0 is in client mode
Prefix State is IDLE
Address State is OPEN
Renew for address will be sent in 11:39:08
List of known servers:
Reachable via address: FE80::2027:9779:3775:5CF8
DUID: 00030001CA0342760008
Preference: 0
Configuration parameters:
IA NA: IA ID 0x00040001, T1 43200, T2 69120
Address: BAD:1:2:FC64:8ECC:593A:15C3:654/128
expires at Aug 11 2010 02:36 PM (171549 seconds)
Domain name: fredbovy.com
Information refresh time: 0
Prefix Rapid-Commit: disabled
Address Rapid-Commit: disabled
Configuration:
interface FastEthernet0/0
ipv6 address dhcp

DHCPv6 Operation
*Aug 9 15:34:32.806: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:32.806: IPv6 DHCP: IA_NA 00040001 contains status code NOADDRS-AVAIL
*Aug 9 15:34:32.806: IPv6 DHCP: DHCPv6 address changes state from REQUEST to SOLICIT (ADDR_NAK) on FastEthernet0/0
*Aug 9 15:34:32.806: IPv6 DHCP: No matching transaction ID in REPLY from FE80::2027:9779:3775:5CF8 on
FastEthernet0/0
*Aug 9 15:34:33.782: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on FastEthernet0/0
*Aug 9 15:34:33.786: IPv6 DHCP: Received ADVERTISE from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:33.786: IPv6 DHCP: Adding server FE80::2027:9779:3775:5CF8
*Aug 9 15:34:33.786: IPv6 DHCP: Received ADVERTISE from FE80::2027:9779:3775:5CF8 on FastEthernet0/0
*Aug 9 15:34:34.858: IPv6 DHCP: Sending REQUEST to FF02::1:2 on FastEthernet0/0
*Aug 9 15:34:34.858: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on
FastEthernet0/0
*Aug 9 15:34:34.858: IPv6 DHCP: Processing options
*Aug 9 15:34:34.862: IPv6 DHCP: Adding address DEAD:BEEF:1:2:C541:3F5C:EA1A:BE21/128 to FastEthernet0/0
*Aug 9 15:34:34.870: IPv6 DHCP: T1 set to expire in 43200 seconds
*Aug 9 15:34:34.870: IPv6 DHCP: T2 set to expire in 69120 seconds
*Aug 9 15:34:34.870: IPv6 DHCP: Configuring domain name fredbovy.com
*Aug 9 15:34:34.870: IPv6 DHCP: DHCPv6 address changes state from REQUEST to OPEN (ADDR_REPLY_RECEIVED) on
FastEthernet0/0
*Aug 9 15:34:34.870: IPv6 DHCP: DHCPv6 address changes state from OPEN to OPEN (ADDR_REPLY_RECEIVED) on
FastEthernet0/0

DHCP Prefix Delegation
n Il est possible de recevoir une Prefix plutôt qu’une adresse
n Une fois ce prefix réçu par le client il peut l’utiliser pour configurer des interfaces IPv6
n Les routeurs CISCO gèrent la partie cliente et la partie serveur

DNS
n Transporter les requêtes DNS dans IPv6
0110 .... = Version: 6
.... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 145
Hop limit: 255
Source: fe80::61e:64ff:feec:73a9 (fe80::61e:64ff:feec:73a9)
Destination: ff02::fb (ff02::fb)
User Datagram Protocol, Src Port: mdns (5353), Dst Port: mdns (5353)
Source port: mdns (5353)
Destination port: mdns (5353)
Length: 145
Checksum: 0x5753 [validation disabled]
Domain Name System (response)
n Coder les adresses IPv6 dans les messages DNS
n Type AAAA
Name: power-mac-g5-de-fred-bovy-6.local
Type: AAAA (IPv6 address)
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Time to live: 2 minutes
Data length: 16
Addr: 2a01:e35:2f26:d340:61e:64ff:feec:73a9

DNS Capture
0110 .... = Version: 6
.... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000
.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000
Payload length: 145
Hop limit: 255
Source: fe80::61e:64ff:feec:73a9 (fe80::61e:64ff:feec:73a9)
Destination: ff02::fb (ff02::fb)
User Datagram Protocol, Src Port: mdns (5353), Dst Port: mdns (5353)
Source port: mdns (5353)
Destination port: mdns (5353)
Length: 145
Checksum: 0x5753 [validation disabled]
Domain Name System (response)
[Request In: 788]
[Time: -404.306754000 seconds]
Transaction ID: 0x0000
Flags: 0x8400 (Standard query response, No error)
Questions: 0
Answer RRs: 1
Authority RRs: 0
Additional RRs: 3
Answers
power-mac-g5-de-fred-bovy-6.local: type A, class IN, cache flush, addr 192.168.0.15
Type: A (Host address)
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Data length: 4
Addr: 192.168.0.15

DNS Capture (suite)
Additional records
power-mac-g5-de-fred-bovy-6.local: type AAAA, class IN, cache flush, addr fe80::61e:64ff:feec:73a9
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Data length: 16
Addr: fe80::61e:64ff:feec:73a9
power-mac-g5-de-fred-bovy-6.local: type AAAA, class IN, cache flush, addr 2a01:e35:2f26:d340:61e:64ff:feec:73a9
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Data length: 16
Addr: 2a01:e35:2f26:d340:61e:64ff:feec:73a9
power-mac-g5-de-fred-bovy-6.local: type NSEC, class IN, cache flush, next domain name power-mac-g5-de-fred-bovy-6.local
Type: NSEC (Next secured)
.000 0000 0000 0001 = Class: IN (0x0001)
1... .... .... .... = Cache flush: True
Data length: 8
Next domain name: power-mac-g5-de-fred-bovy-6.local
RR type in bit map: A (Host address)
RR type in bit map: AAAA (IPv6 address)

Gestion des devices IPv6
n SNMP sur IPv6
n SNMP sur un transport IPv6
n Support IPv6 de nombreuses MIB
n SSH sur IPv6
n TELNET sur IPv6
n TFTP sur IPv6
n Syslog sur IPv6
n HTTP sur IPv6
n Ping6, traceroute6

Conclusion
n Toutes les applications nécessaires à un déploiement réseaux sont disponibles
n Il y a quelques années certains ROOT Server DNS ne parlaient pas IPv6

Objectifs
n Comprendre les menaces sur NDP
n Comprendre l’approche de SEND pour contrecarrer les menaces répertoriées

Sommaire
n Introduction: Les Menaces et l’approche de SEND pour les contrecarrer
n Cryptographycally Generated Address
n Empêcher de se faire voler son adresse
n Address Delegation Authority
n Protège les Hôtes de routeurs frauduleux
n Un routeur doit avoir un certificat valide pour être choisi par un hôte.
n Exemples
n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/white_paper_c11-563156.html

Introduction
n NDP est une application de ICMPv6, il est donc encapsulé dans des paquets ICMPv6.
n Le protocole ND (Neighbor Discovery) d'IPv6 est un ensemble de messages et de processus
qui déterminent les relations entre les noeuds voisins.
n ND remplace ARP, ICMP Router Discovery et ICMP Redirection, utilise dans IPv4, et fournit
des fonctionnalités supplémentaires.
n ND est décrit dans le document RFC 2461, Neighbor Discovery for IP Version 6 (IPv6).
n De par le nombre de fonctions qu’il permet d’automatiser, NDP ouvre aussi de nombreux
trous de sécurité

Les fonctionnalités de NDP
n Les hotes utilisent ND pour effectuer les taches suivantes :
n Découvrir les routeurs voisins.
n Découvrir les adresses, les préfixes d'adresse et d'autres paramètres de configuration.
n Les routeurs utilisent ND pour effectuer les taches suivantes :
n Annoncer leurs présences, les paramètres de configuration des hôtes et les préfixes sur la liaison de
données.
n Indiquer aux hôtes une meilleure adresse de tronçon suivant pour la transmission des paquets a une
destination spécifique.
n Les noeuds utilisent ND pour effectuer les taches suivantes :
n Résoudre l'adresse de couche liaison d'un noeud voisin en direction duquel un paquet IPv6 est transmis
et déterminer le moment auquel l'adresse a change.
n Déterminer si des paquets IPv6 peuvent être envoyés a un voisin et reçus de celui-ci
n Les menaces sont décrites dans le RFC 3756

NDP Protocol Data Units
n Deux nouveaux PDUs
n Certificate Path Solicitation (CPS SEND)
n Certificate Path Advertisement (CPA SEND)
n Nouvelles Options NDP
n CGA - 11
n RSA - 12
n Certificate - 16
n Trust - 15
n Nonce - 14
n Timestamp -13

Option CGA
n L'option CGA permet de vérifier l'identité d'une machine émettrice d'un paquet NDP. Cette
option contient entre autre la clef publique de la machine émettrice, dont la cohérence avec
l'adresse source utilisée est vérifiée par la machine réceptrice.

Option RSA
n L'option RSA contient une signature du paquet, calculée avec la clef privée de la machine
émettrice.
n Le noeud recevant le paquet peut vérifier l'intégrité et l'authenticité du paquet, grâce à la clef
publique reçue conjointement ou précédemment.
n La confiance dans la clef publique utilisée par les options CGA et RSA se base sur un
mécanisme de certification

Option d’Horodatage
n Une option d'horodatage (Timestamp) est utilisée pour protéger NDP des attaques de type
'rejeu'.

L’option NONCE
n Une option unicité (Nonce) est utilisée pour protéger les associations Demande/Réponse
(Solicit/Advertisement) :
n une réponse NDP devra contenir la même valeur NOnce que la demande correspondante
pour être valide.

Neighbor Discovery Options
Message CGA RSA Nonce Timestamp
Router Solicitation
(RS)
MUST unless sent
from unspecififed
MUST unless sent from
unspecififed
MUST MUST
Router
Advertisement (RA)
MAY. The CGA
option can be
omitted in RA but
this would be
rejected by current
IOS implementation
MUST MUST for sollicited
RA to all node
multicast.
Not needed for
unsolicited
MUST
Neighbor Solicitation
(NS)
MUST MUST MUST MUST
Neighbor
Advertisement (NA)
MUST MUST MUST for sollicited
NA to all node
multicast.
Not needed for
unsolicited
MUST
Redirect MAY MUST MUST

CPS/CPA
n Enfin deux nouveau messages (CPS/CPA) sont utilisés afin de permettre la découverte
automatique par une machine terminal d'un chemin de certification.
n Ce mécanisme permet a des machines utilisant l'auto configuration sans état (RFC 2462) de
vérifier la légitimité d'un routeur et celle des préfixes publiques sur le lien auprès d'un tiers
de confiance sur le réseau.

CPS/CPA
n Un host reçoit un RA d’un nouveau routeur
n Il n’a pas de certificat correspondant
n Il envoie un CPS vers le routeur
n Le routeur répond avec son certificat
n Si l’hôte et le routeurs ont des certificats trustes par la même autorité, l’host accepte le RA
sinon il le rejette

DAD - 3 TENTATIVES
Jan 7 09:40:23: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::C2:3A71:71F2:CB17 on
Ethernet0/0
Jan 7 09:40:23: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::847:1745:E31D:F38B on
Ethernet0/0
Jan 7 09:40:24: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::18:F205:D13E:EC43 on
Ethernet0/0
show ipv6 interface ethernet0/0
Ethernet0/0 is up, line protocol is up
IPv6 is stalled, link-local address is FE80::18:F205:D13E:EC43 [DUP]
2000:1::CDC:14FC:266F:6C56, subnet is 2000:1::/64 [TEN]
FF02::1
MTU is 1500 bytes

DAD
show ipv6 cga address-db
2000:1::/64 ::CDC:14FC:266F:6C56 - table 0x0
interface: Ethernet0/0 (3)
modifier: NEWSEND
collisions: 0
FE80::/64 ::18:F205:D13E:EC43 - table 0x12000003
modifier: NEWSEND
collisions: 2

Redirect
Ethernet Packet: 566 bytes
Dest Addr: AABB.CC03.E900, Source Addr: AABB.CC03.EA00
Protocol: 0x86DD
IPv6:
Version: 6, Traffic Class: 224 (0xE0), Flow Label: 0 (0x0)
Payload Length: 512, Next Header: 58 (0x3A), Hop Limit: 255
Source: FE80:0:0:0:387F:B93F:AD87:DCF2
Dest: 2000:1:0:0:28A3:9D22:92CC:78E2
ICMPv6:
Type: 137 (Redirect Message), Code: 0
Checksum: 0xAFC6 (OK), Reserved: 0x0
Target Address: FE80:0:0:0:3C95:B6D1:8E8F:CE3E
Destination Address: CAFE:200:0:0:0:0:0:1
Options type: 4 (Redirected Header)
Options length: 14 (112 octets), Reserved1: 0x0, Reserved2: 0x0

Redirect (Suite)
Options type: 11 (CGA Parameters)
Options length: 24 (192 octets),
Pad length: 1 (8 octets), Reserved: 0x0
Modifier: 47D8:E91E:8E98:5C71:2B8E:8A4B:94E8:CC9
Subnet Prefix: FE80:0:0:0
Collision Count: 0
Public key:
0 : 3081 9F30 0D06 092A 8648 86F7 0D01 0101 0500 0381 0..0...*.H..........
20 : 8D00 3081 8902 8181 00C1 6305 BC6C ED66 BACE 3472 ..0.......c..l.f..4r
40 : 31B5 5BEA D07E 0B4C D4AC 1983 9DB1 0245 F769 3561 1.[..~.L.......E.i5a
60 : 3745 59C2 52D9 1185 4734 E325 D3FE 5803 4F0A 4072 7EY.R...G4.%..X.O.@r
80 : 697D A71A D718 3334 5DC8 F10F F44B AF16 24A0 9E86 i}....34]....K..$...
100 : 8D84 131A 0548 A8AF CC16 74E1 ACB5 6127 D82C 84F0 .....H....t...a'.,..
120 : 9CD7 4EE9 DB5B 7EFA 8AF7 4AE1 0643 9A9C 5DA2 1FEA ..N..[~...J..C..]...
140 : 19EC 15B6 CCF3 AFE9 53B9 3CF7 28DF C3CC 4F02 0301 ........S.<.(...O...
160 : 0001 ..
Padding:
0 : 00 .
Options type: 13 (Timestamp)
Reserved:
0 : 0000 0000 0000 ......
Timestamp: 0:4934:11AA:6A74

Redirect (suite)
Options type: 12 (RSA Signature)
Options length: 19 (152 octets)
Reserved: 0x0
Key Hash:
0 : 6537 1956 E030 F1E0 3C2B 8BB1 1B02 CA68 e7.V.0..<+.....h
Digital Signature and padding:
0 : 5C17 AFCF 17D5 C267 56C4 E460 00C1 0713 4053 7EEE ......gV..`....@S~.
20 : FD20 ABCB 5191 E799 2164 14A9 065D 6936 5E35 CA7F . ..Q...!d...]i6^5..
40 : 6C9A 4D4A 4A0F D7FA 87DE A1CB F813 4C29 843A E6E9 l.MJJ.........L).:..
60 : 41D5 6834 F9CF 90C7 A827 5830 C183 FE0C 7E76 F990 A.h4.....'X0....~v..
80 : 6DDD CBF5 E582 0E52 EABA 3A4A E84F ED5F BC05 859A m......R..:J.O._....
100 : 454A 1272 2427 0BA1 5647 D2F2 94DA FF1B 901D 345D EJ.r$'..VG........4]
120 : 4DB9 9F49 733C 67E4 74E1 ACB5 M..Is<g.t...
Dec 1 04:32:50 PM 2008: INFO: Start Checking RFC 2461 8.1 Conformance
Dec 1 04:32:50 PM 2008: INFO: Source Address is a link-local: FE80:0:0:0:387F:B93F:AD87:DCF2
Dec 1 04:32:50 PM 2008: INFO: ICMPv6 is 40 octets or more
Dec 1 04:32:50 PM 2008: INFO: ICMPv6 dest @ in the redir msg is not a mc CAFE:200:0:0:0:0:0:1
Dec 1 04:32:50 PM 2008: INFO: target address is link-local or same as dest @
Dec 1 04:32:50 PM 2008: INFO: Adding Option:4 Count:1
Dec 1 04:32:50 PM 2008: INFO: found 4 options
Dec 1 04:32:50 PM 2008: INFO: Analyzing options:
Options type: 4 (Redirected Header)

Redirect (suite)
Options length: 14 (112 octets), Reserved1: 0x0, Reserved2: 0x0
IP header + data:
0 : 6000 0000 003C 3A3F 2000 0001 0000 0000 28A3 9D22 `....<:? .......(.."
20 : 92CC 78E2 CAFE 0200 0000 0000 0000 0000 0000 0001 ..x.................
40 : 8000 1F20 154D 0000 0001 0203 0405 0607 0809 0A0B ... .M..............
60 : 0C0D 0E0F 1011 1213 1415 1617 1819 1A1B 1C1D 1E1F ....................
80 : 2021 2223 2425 2627 2829 2A2B 2C2D 2E2F 3031 3233 !"#$%&'()*+,-./0123
100 : 0000 0000 ....
Options type: 11 (CGA Parameters)
Pad length: 1 (8 octets), Reserved: 0x0
Modifier: 47D8:E91E:8E98:5C71:2B8E:8A4B:94E8:CC9
Subnet Prefix: FE80:0:0:0
Collision Count: 0
Public key:
0 : 3081 9F30 0D06 092A 8648 86F7 0D01 0101 0500 0381 0..0...*.H..........
20 : 8D00 3081 8902 8181 00C1 6305 BC6C ED66 BACE 3472 ..0.......c..l.f..4r
40 : 31B5 5BEA D07E 0B4C D4AC 1983 9DB1 0245 F769 3561 1.[..~.L.......E.i5a
60 : 3745 59C2 52D9 1185 4734 E325 D3FE 5803 4F0A 4072 7EY.R...G4.%..X.O.@r
80 : 697D A71A D718 3334 5DC8 F10F F44B AF16 24A0 9E86 i}....34]....K..$...
100 : 8D84 131A 0548 A8AF CC16 74E1 ACB5 6127 D82C 84F0 .....H....t...a'.,..
120 : 9CD7 4EE9 DB5B 7EFA 8AF7 4AE1 0643 9A9C 5DA2 1FEA ..N..[~...J..C..]...
140 : 19EC 15B6 CCF3 AFE9 53B9 3CF7 28DF C3CC 4F02 0301 ........S.<.(...O...
160 : 0001 ..
Padding:
0 : 00 .

Redirect (suite)
Options type: 13 (Timestamp)
Reserved:
0 : 0000 0000 0000 ......
Timestamp: 0:4934:11AA:6A74
Options type: 12 (RSA Signature)
Options length: 19 (152 octets)
Reserved: 0x0
Key Hash:
0 : 6537 1956 E030 F1E0 3C2B 8BB1 1B02 CA68 e7.V.0..<+.....h
Digital Signature and padding:
0 : 5C17 AFCF 17D5 C267 56C4 E460 00C1 0713 4053 7EEE ......gV..`....@S~.
20 : FD20 ABCB 5191 E799 2164 14A9 065D 6936 5E35 CA7F . ..Q...!d...]i6^5..
40 : 6C9A 4D4A 4A0F D7FA 87DE A1CB F813 4C29 843A E6E9 l.MJJ.........L).:..
60 : 41D5 6834 F9CF 90C7 A827 5830 C183 FE0C 7E76 F990 A.h4.....'X0....~v..
80 : 6DDD CBF5 E582 0E52 EABA 3A4A E84F ED5F BC05 859A m......R..:J.O._....
100 : 454A 1272 2427 0BA1 5647 D2F2 94DA FF1B 901D 345D EJ.r$'..VG........4]
120 : 4DB9 9F49 733C 67E4 74E1 ACB5 M..Is<g.t...
Dec 1 04:32:50 PM 2008: INFO: Result: 1

Redirect (end)
Dec 1 04:32:50 PM 2008: INFO: Expected Target address : fe80::3c95:b6d1:8e8f:ce3e
Dec 1 04:32:50 PM 2008: INFO: Target address in Redirect: fe80:0:0:0:3c95:b6d1:8e8f:ce3e
Dec 1 04:32:50 PM 2008: INFO: Correct address in Redirect message
Dec 1 04:32:50 PM 2008: INFO: Start checking SEND options
Dec 1 04:32:50 PM 2008: INFO: ==> Checking for anything requiring specific processing
Dec 1 04:32:50 PM 2008: INFO: Source address is specified
Dec 1 04:32:50 PM 2008: INFO: packet *not* sent to all nodes multicast address
Dec 1 04:32:50 PM 2008: INFO: Scanning thru all options. looking for LEN=0
Dec 1 04:32:50 PM 2008: INFO: Redirected Header length:112
Dec 1 04:32:50 PM 2008: INFO: Checking Timestamp option
Dec 1 04:32:50 PM 2008: INFO: Checking Nonce option
Dec 1 04:32:50 PM 2008: INFO: Checking CGA option
Dec 1 04:32:50 PM 2008: INFO: Checking RSA option
Dec 1 04:32:50 PM 2008: INFO: CGA Parameters length:192
Dec 1 04:32:50 PM 2008: INFO: CGA Collision:0 OK
Dec 1 04:32:50 PM 2008: INFO: Timestamp length:16
Dec 1 04:32:50 PM 2008: INFO: Timestamp:80487983508084
Dec 1 04:32:50 PM 2008: INFO: TS Reserved:0 OK
Dec 1 04:32:50 PM 2008: INFO: RSA Signature length:152
Dec 1 04:32:50 PM 2008: INFO: Checking RSA option
Dec 1 04:32:50 PM 2008: INFO: Last option MUST be RSA
Dec 1 04:32:50 PM 2008: INFO: RSA Option found as last
Dec 1 04:32:50 PM 2008: INFO: PASS: SEND Options checking passed
Dec 1 04:32:50 PM 2008: INFO: Packet is: Redirect Message
Dec 1 04:32:50 PM 2008: INFO: ==> Checking required option for REDIR
Dec 1 04:32:50 PM 2008: INFO: Mandatory SEND options present and valid
Dec 1 04:32:50 PM 2008: INFO: ==> Packet number 25
=============================================================================
16:32:42.891 GMT Mon Dec 1 2008 Relative Time: 1.327999

Configuration CGA Cisco
n Générer une paire de clefs (key pair)
unix1a(config)#crypto key generate rsa label FRED modulus 1024
The name for the keys will be: FRED
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
n Configurer un modifier et le SEC Level
unix1a(config)#ipv6 cga modifier rsakeypair FRED sec-level 2
% Increase maximum iterations allowed (0)
unix1a(config)#
n Appliquer le Modifier à l’Interface
unix1a(config)#int et0/0
unix1a(config-if)#ipv6 cga rsakeypair FRED
n Configurer des Adresses CGA
unix1a(config)#int et0/0
unix1a(config-if)#ipv6 address fe80:: link-local cga
unix1a(config-if)#ipv6 address 2000::/64 cga

unix1a#sh run int et0/0
Building configuration...
Current configuration : 154 bytes
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ipv6 cga rsakeypair FRED
ipv6 address FE80:: link-local cga
ipv6 address 2000::/64 cga
end
unix1a#sh ipv6 int et0/0
IPv6 is enabled, link-local address is FE80::50C9:E166:EED0:B87A
2000::5814:3232:68B9:9B23, subnet is 2000::/64
FF02::1
FF02::1:FFB9:9B23
FF02::1:FFD0:B87A
MTU is 1500 bytes

unix1a#sh ipv6 cga modifier-db
::
label: FRED
sec level: 2
Addresses:
2000::5814:3232:68B9:9B23
FE80::50C9:E166:EED0:B87A
unix1a#sh ipv6 cga address-db
2000::/64 ::5814:3232:68B9:9B23 - table 0x0
modifier: FRED
collisions: 0
FE80::/64 ::50C9:E166:EED0:B87A - table 0x12000003
modifier: FRED
collisions: 0
unix1a#

Configuration ADD
n Au minimum, il faut
n Un serveur de Certificats: CA
n Un Routeur
n Un Host
n On peut configurer toutes ces fonctions sur des routeurs Cisco

Configuration du CA
CA#sh crypto pki server
Certificate Server CA:
Status: enabled
State: enabled
Server's configuration is locked (enter "shut" to unlock it)
Issuer name: C=FR, ST=fr, L=example, O=Cisco, OU=NSSTG, CN=CA0
CA cert fingerprint: E85AE4FB 75E897D9 B95A6777 E64A45F1
Granting mode is: auto
Last certificate issued serial number (hex): 2
CA certificate expiration timer: 16:38:21 UTC Jan 25 2013
CRL NextUpdate timer: 16:37:22 UTC Jan 27 2010
Current primary storage dir: nvram:
Database Level: Minimum - no cert data written to storage
CA#sh ip http server status
HTTP server status: Enabled
HTTP server port: 80
HTTP server active supplementary listener ports:
HTTP server authentication method: enable
HTTP server digest algorithm: md5
HTTP server access class: 0
HTTP server base path:
HTTP server help root:
Maximum number of concurrent server connections allowed: 5
Server idle time-out: 180 seconds
Server life time-out: 180 seconds
Maximum number of requests allowed on a connection: 1
HTTP server active session modules: ALL
HTTP secure server capability: Present
HTTP secure server status: Disabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-128-sha
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint:

Configuration du CA
crypto pki server CA
issuer-name C=FR, ST=fr, L=example, O=Cisco, OU=NSSTG,
CN=CA0
grant auto
ip http server

Configuration du Routeur
n Configurer un trustpoint
crypto pki trustpoint SEND
enrollment url http://192.168.0.1:80
serial-number
subject-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=router
revocation-check none
rsakeypair SEND
n Authentification auprés du CA
n Récupère le Certificat du CA
n crypto pki authenticate SEND
n Enrollment auprès du CA
n Récupère le Certificat du Routeur
n crypto pki enroll SEND

Configuration du Host
n Configurer un trustpoint
crypto pki trustpoint SEND
enrollment url http://192.168.0.1:80
serial-number
revocation-check none
n Authentification auprès du CA
crypto pki authenticate SEND
hote#sh ipv6 nd secured certificates
Total number of entries: 1 / 32
Hash id RA certcnt certrcv state
2B5559355296F787B9A99EB6943AD563 0x00001065 no 1 1
CERT_VALIDATED
certificate No 0
subject
hostname=R2+serialNumber=4294967295,c=FR,st=fr,l=example,o=cisco,ou=nsstg,cn=router issuer
c=FR,st=fr,l=example,o=Cisco,ou=NSSTG,cn=CA0

Traitement du RA
unix1a# debug ipv6 nd secured
00:12:29: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED
00:12:29: SEND: Verifying certificate
00:12:29: SEND: Certificate validated
00:12:29: SEND: action: Start T1
00:12:29: SEND: NEW STATE TR: CERT_VALIDATING
00:12:29: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING
00:12:29: SEND: action: Stop T1
00:12:29: SEND: action: Set trust level in RA then deliver it
00:12:29: SEND: action: Deliver RA packet to stack
00:12:29: SEND: NEW STATE TR: CERT_VALIDATED
00:13:29: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED
00:13:29: SEND: Verifying certificate
00:13:29: SEND: Certificate validated
00:13:29: SEND: NEW STATE TR: CERT_VALIDATING
00:13:29: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING
00:13:29: SEND: action: Stop T1
00:13:29: SEND: action: Set trust level in RA then deliver it
00:13:29: SEND: action: Deliver RA packet to stack
00:13:29: SEND: NEW STATE TR: CERT_VALIDATED
unix1a#show ipv6 nd secured certificate
Total number of entries: 1 / 32
Hash id RA certcnt certrcv state
9F3F0B3AEE9F9204720096454EAF0BBA 0x00003D12 no 1 1 CERT_VALIDATED
certificate No 0
subject serialNumber=117285866+hostname=unix1b,c=FR,st=PACA,l=Biot,o=Cisco,ou=ITD,cn=unix1b
issuer c=FR,st=PACA,l=Biot,o=Cisco,ou=ITD,cn=CA0

Certificats sur le Routeur
unix1b#sh crypto pki cert
Certificate
Status: Available
Certificate Serial Number (hex): 02
Certificate Usage: General Purpose
Issuer:
c=FR
st=PACA
l=Biot
o=Cisco
ou=ITD
cn=CA0
Subject:
Name: unix1b
Serial Number: 117285866
serialNumber=117285866+hostname=unix1b
c=FR
st=PACA
l=Biot
o=Cisco
ou=ITD
cn=unix1b
CRL Distribution Points:
http://10.0.1.200/CS
Validity Date:
start date: 16:20:32 BST Apr 29 2009
end date: 16:20:32 BST Apr 29 2010
Associated Trustpoints: FRED
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
c=FR
st=PACA
l=Biot
o=Cisco
ou=ITD
cn=CA0
Subject:
c=FR
st=PACA
l=Biot
o=Cisco
ou=ITD
cn=CA0
Validity Date:
start date: 16:17:44 BST Apr 29 2009
end date: 16:17:44 BST Apr 28 2012
Associated Trustpoints: FRED

Compteur PDU SEND
hote#show ipv6 nd sec counters int f0/0
Received ND messages on FastEthernet0/0:
rcvd accept SLLA TLLA PREFIX MTU CGA RSA TS NONCE TA CERT
RA 19 19 19 0 19 19 19 19 19 0 0 0
NS 1 1 1 0 0 0 1 1 1 1 0 0
NA 4 3 0 4 0 0 4 4 4 2 0 0
CPA 1 1 0 0 0 0 0 0 0 0 1 1
Dropped ND messages on FastEthernet0/0:
Codes CGA_VFY: CGA option does not verify
drop CGA_VFY
NA 1 1
Sent ND messages on FastEthernet0/0:
sent aborted SLLA TLLA CGA RSA TS NONCE TA
NS 5 0 2 0 4 4 4 4 0
NA 3 0 0 2 3 3 3 1 0
CPS 1 0 0 0 0 0 0 0 1
hote#

debug ipv6 nd secured
*Jan 28 13:08:49.575: %SYS-5-CONFIG_I: Configured from console by console
*Jan 28 13:09:12.591: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED
*Jan 28 13:09:12.595: SEND: Verifying certificate
*Jan 28 13:09:12.647: SEND: Certificate validated
*Jan 28 13:09:12.647: SEND: action: Start T1
*Jan 28 13:09:12.647: SEND: NEW STATE TR: CERT_VALIDATING
*Jan 28 13:09:12.647: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING
*Jan 28 13:09:12.647: SEND: action: Stop T1
*Jan 28 13:09:12.647: SEND: action: Set trust level in RA then deliver it
*Jan 28 13:09:12.647: SEND: action: Deliver RA packet to stack
*Jan 28 13:09:12.647: SEND: action: Start T2
*Jan 28 13:09:12.647: SEND: NEW STATE TR: CERT_VALIDATED
*Jan 28 13:09:18.443: SEND: Receive: ND_ROUTER_ADVERT
*Jan 28 13:09:18.447: SEND: src FE80::2038:148E:B9DF:FD6D
*Jan 28 13:09:18.447: SEND: dst FF02::1
*Jan 28 13:09:18.451: SEND: Received at: 0x4B618C7E73B9 = 13:09:18 UTC Jan 28 2010
*Jan 28 13:09:18.455: SEND: option 1 len 8: ND_OPT_SOURCE_LINKADDR
*Jan 28 13:09:18.455: SEND: option 5 len 8: ND_OPT_MTU
*Jan 28 13:09:18.455: SEND: option 3 len 32: ND_OPT_PREFIX_INFORMATION
*Jan 28 13:09:18.455: SEND: option 11 len 192: ND_OPT_CGA
*Jan 28 13:09:18.455: SEND: option 13 len 16: ND_OPT_TIMESTAMP
*Jan 28 13:09:18.455: SEND: option 12 len 152: ND_OPT_RSA
*Jan 28 13:09:18.455: SEND: Verifying address FE80::2038:148E:B9DF:FD6D
*Jan 28 13:09:18.455: SEND: sec is 1
*Jan 28 13:09:18.455: SEND: keylen is 1024

Commande de Test
ipv6 nd secured test <skip,cga,cpa,rsa> <params>
ü skip <nonce, rsa, cga, Timestamp>
ü cpa <badnumber>
ü cga <prefix, collision, modifier, key> <value>
ü rsa <badsig>
n NON DOCUMENTEE
Routeur(config-if)#ipv6 nd secured test cga ?
collision Corrupt CGA parameters (collision)
key Corrupt CGA parameters (key)
modifier Corrupt CGA parameters (modifier)
prefix Corrupt CGA parameters (prefix)

Conclusion
n SEND permet de sécuriser NDP
n Il devient quasiment impossible de voler une adresse
n Impossible de se faire passer pour un routeur pour capter des flux

Objectif
n Garantir un routeur par défaut disponible
n Transparent pour les hôtes

Sommaire
n Introduction
n Un Exemple HSRP
n Conclusions

Introduction
n Un protocol FHRP fournit une adresse virtuelle utilisée par les stations comme next hop.
n Cette adresse est attribuée à plusieurs routeurs
n 1 seul est actif a la fois
n Permet de tracker une interface

Les Protocoles FHRP
n HSRP
n GLBP
n VRRP
n La moins couteuse
n Neighbor Discovery (NDP)
n La plus couteuse
n Tourner un protocole de routage sur les hôtes
n Peut s’avérer moins performant (RIPng)

Introduction HSRPv6
n Portage d’HSRP sur IPv6
n Permet une adresse Link-Locale Virtuelle
n Hello UDP
n Priorité par défaut 100
n Tracker une interface pour basculer sur un routeur de secours si un lien tombe

HSRP pour IPv6 - Configuration
no ip address
ipv6 address FE80::3 link-local
ipv6 address 2000::1/100
standby version 2
standby 1 ipv6 FE80::5
end
unix1a#
no ip address
ipv6 address FE80::4 link-local
ipv6 address 2000::2/100
standby version 2
standby 1 ipv6 FE80::5
end

HSRP pour IPv6
unix1a#sh stand
Ethernet0/0 - Group 1 (version 2)
State is Standby
1 state change, last state change 00:00:19
Virtual IP address is FE80::5
Active virtual MAC address is 0005.73a0.0001
Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.816 secs
Preemption disabled
Active router is FE80::4, priority 100 (expires in 7.808 sec)
MAC address is aabb.cc03.ea00
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Et0/0-1" (default)
unix1b#sh stand
State is Active
2 state changes, last state change 00:08:37
Preemption disabled
Active router is local
Standby router is FE80::3, priority 100 (expires in 9.376 sec)
unix1b#

HSRP pour IPv6
unix1a#sh ipv6 int et0/0
IPv6 is enabled, link-local address is FE80::3 [UNA]
Virtual link-local address(es):
FE80::5 [UNA/OOD/INIT]
2000::1, subnet is 2000::/100
FF02::1
FF02::2
FF02::66
FF02::1:FF00:1
FF02::1:FF00:3
MTU is 1500 bytes
unix1a#
unix1b#sh ipv6 int et0/0
IPv6 is enabled, link-local address is FE80::4 [UNA]
Virtual link-local address(es):
FE80::5 [OOD]
2000::2, subnet is 2000::/100
FF02::1
FF02::2
FF02::66
FF02::1:FF00:2
FF02::1:FF00:4
FF02::1:FF00:5
MTU is 1500 bytes
unix1b#

HSRP pour IPv6
Apr 24 07:02:34.483 BST: IPV6: source FE80::4 (local)
Apr 24 07:02:34.483 BST: dest FF02::66 (Ethernet0/0)
Apr 24 07:02:34.483 BST: traffic class 224, flow 0x0, len 100+0, prot 17, hops 255, originating
Apr 24 07:02:34.483 BST: IPv6-Fwd: Sending on Ethernet0/0
Apr 24 07:02:34.747 BST: IPV6: source FE80::3 (Ethernet0/0)
Apr 24 07:02:34.747 BST: dest FF02::66
Apr 24 07:02:34.747 BST: traffic class 224, flow 0x0, len 100+14, prot 17, hops 255, forward to ulp
Apr 24 07:02:34.747 BST: HSRP: Et0/0 Grp 1 Hello in FE80::3 Standby pri 100 vIP FE80::5
unix1b#

HSRP Standby take over
pagent1a#ping
Protocol [ip]: ipv6
Target IPv6 address: fe80::3
Repeat count [5]: 23323333
Datagram size [100]:
Timeout in seconds [2]:
Extended commands? [no]: y
UDP protocol? [no]:
Verbose? [no]:
Precedence [0]:
DSCP [0]:
Include hop by hop option? [no]:
Include destination option? [no]:
Sweep range of sizes? [no]:
Output Interface: Ethernet0/0
Sending 23323333, 100-byte ICMP Echos to FE80::3, timeout is 2 seconds:
Packet sent with a source address of FE80::5
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!......!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
pagent1a#X

HSRP track une interface
unix1a#sh stand
State is Standby
Preemption enabled
Track interface Ethernet1/0 state Down decrement 10
Current configuration : 194 bytes#
!#
interface Ethernet0/0#
no ip address#
ipv6 address FE80::3 link-local#
ipv6 address 2000::1/100#
standby version 2#
standby 1 ipv6 FE80::5#
standby 1 preempt
standby 1 track Ethernet1/0
#
unix1a#unix1a#conf t
Enter configuration commands, one per line. End with CNTL/Z.
unix1a(config)# int et 1/0
unix1a(config-if)#no shut
unix1a(config-if)#^Z
unix1a#sh stand
State is Standby
Preemption enabled
Track interface Ethernet1/0 state Up decrement 10

Conclusion
n IPv6 fournit avec ND un moyen de configurer automatiquement un routeur par défaut
n Insuffisant pour un basculement rapide en cas de problème
n Autres solutions:
n tourner un protocole de routage sur la station
n utiliser un FHRP (HSRPv6, GLBP)

Objectif
n Les protocoles de routages IPv6 permettent:
n le routage intra AS
- RIPv2, OSPFv3, ISIS, EIGRP
n Le routage inter Autonomous System
- BGP

Sommaire
n Introduction
n Les Protocoles de routages Intra-AS
n RIPv2
n OSPFv3
n ISIS
n EIGRP
n Les Protocoles de routages Inter AS
n BGP
n Conclusions

Introduction
n Les protocoles de routages permettent de remplir les tables de routages de façons
automatiques
n Les protocoles intra et inter AS n’ont pas le même cahier des charges
n Les protocoles intra AS ont pour vocation d’échanger un maximum d’information topologique
pour permettre la construction de tables de routages les plus optimisées possible dans un
AS
n Les protocoles inter AS permettent de contrôler au mieux les informations échangées de
façon à construire un routage stratégique entre les divers AS.

Les Protocoles Intra AS
n RIPv2
n EIGRP
n OSPFv3
n ISIS

RIPng
n RFC 2080
n Basé sur RIPv2
n Distance Vector
n Routage par rumeur
n Spit-horizon, poison reverse
n Metric: Hop Count
- Meme limitation que RIP
- Maximum Hop=15
n Utilise les Link-Local Address
n UDP Port 521
n Annonces multicast FF02::9
n Cisco IOS supporte 4 instances de RIPv2
n Configuré par interface et non par réseau

IPv6 training

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a IPv6 training

Semelhante a IPv6 training (20)

Mais de Fred Bovy

Mais de Fred Bovy (20)

IPv6 training