How we did it Déploiement IPv6 à l Ecole d Ingénieurs et d Architectes de Fribourg

Transcription

1 Département des Technologies de l Information et de la Communication François Buntschu francois.buntschu@hefr.ch How we did it Déploiement IPv6 à l Ecole d Ingénieurs et d Architectes de Fribourg EIA-FR HTA-FR Bd Pérolles Fribourg francois.buntschu@hefr.ch tél

2 Introduction Pourquoi déployer IPv6 à l EIA-FR? Nous possédons déjà une classe B IPv4 ( /16)! Pas de fusion, de rachat à grande échelle prévu Augmentation du nombre d étudiants? Challenge technologique Connaissances pour l enseignement et la recherche Membre de la IPv6 Task Force dès sa création Connectique IPv6 native disponible au travers de SWITCH Support d IPv6 par notre infrastructure en place Passion des technologies réseaux IPv6 natif pour connection vers îlots «IPv6 only» Gagner la machine à café IPv6 offerte par SWITCH! Déploiement IPv6 à l'eia-fr 2

3 Buts & challenges Déploiement natif d IPv6, pas de tunneling Réseau dual-stack Services disponibles en IPv4 et IPv6 Nom DNS identique foobar.eia-fr.ch pour IPv4 et IPv6, pas de sousdomaine temporaire tel que foobar.ipv6.eia-fr.ch Obtention d un bloc d adresse Distribution des adresses aux terminaux clients Plan d adressage Support de l IPv6 par les éléments du réseau Sécurité & IPv6 : même combat que pour IPv4? Configuration du réseau Stabilité du réseau lors du déploiement 2001:620:40b::/48 Bloc reçu en avril 2003! Déploiement IPv6 à l'eia-fr 3

4 Situation initiale AS GEANT2 Genève BGP SWITCH EIA-FR Bern Cern CIXP Genève BGP Genève Zürich Lausanne Fribourg /0 OSPF /16 Genève Swisscom AS 3303 Zürich BGP AS 559 UNI-FR /16 Déploiement IPv6 à l'eia-fr 4

5 Etapes choisies à l EIA-FR: Etapes du déploiement 1.Définition du plan d adressage 2.Connectivité Internet 3.Configuration du réseau interne 4.Attribution des adresses IPv6 5.Services (DNS, Proxy, etc.) 6.Sécurité 7.Prochaines configurations Finalement une approche incrémentale: activation, test, amélioration, re-amélioration Déploiement IPv6 à l'eia-fr 5

6 Etape 1: Plan d adressage 2 80 adresses à disposition Réflexion sur l attribution des adresses IPv6 (SLAAC?, DHCPv6?) Gestion des adresses fixes IPAM Subnet /64 utilisé pour chaque VLAN/liaison/zone 2001:620:40b::/48 a : 0 (backbone) 1-4 (réseaux utilisateurs) 5 (réservé) 6 (réseau d entrée) bcd : vlan id et/ou IPv4 subnet 2001:620:40b:abcd:/64 Exemples: Backbone entrée: DMZ avec serveurs: Laboratoire Télécom: 2001:620:40b:6526::/ :620:40b:8::/ :620:40b:1030::/64 Déploiement IPv6 à l'eia-fr 6

7 Etape 2: Connectivité Internet AS 559 AS AS ::/0 2001:620:40b::/48 BGP Fribourg OSPFv3 2001:620:40b::/ /16 SWITCH BGP UNI-FR ::/0 IPv6 subnets/summary EIA-FR Déploiement IPv6 à l'eia-fr 7

8 Etape 3: Réseaux internes DMZ -DNS server -Web servers - Server Farm: -DNS server -File Server (SAN) -Domain Controller / :620:40b:2::/ :620:40b::/ / / :620:40b:8::/64 Batiment C, 1 er étage / :620:40b:1030::/64 Batiment C, rez de chaussée / :620:40b:1020::/64 ::1 et.1 OSPFv3 Area 1 ::/0 OSPFv3 Area0 IPv6 subnets/summary OSPFv3 Area 2 Déploiement IPv6 à l'eia-fr 8

9 Etape 4: Attribution des adresses IPv6 Attribution des adresses IPv6 Utilisation de SLAAC (StateLess Address AutoConfiguration) DHCPv6 pas encore «mature», actuellement en test Options DHCP encore incomplètes ou mal supportées DHCP Snooping indisponible sur les équipements DHCPv6 Relay pas disponible selon les IOS Cisco en place Déploiement IPv6 à l'eia-fr 9

10 Etape 5: Services (1) Configuration des entrées AAAA dans les serveurs DNS $ host is an alias for f5web.eia-fr.ch. f5web.eia-fr.ch has address f5web.eia-fr.ch has IPv6 address 2001:620:40b:8::50 Déploiement IPv6 à l'eia-fr 10

11 Etape 5: Services (2) Configuration des reverses-proxys (accès aux principaux sites web de l EIA-FR) IPv4 IPv4 IPv :620:40b:8::50 Web/Application Servers Déploiement IPv6 à l'eia-fr 11

12 Etape 5: Services (3) Google Opt-in Source: Déploiement IPv6 à l'eia-fr 12

13 Etape 6 : Sécurité Filtrage sur les équipements d entrée Règles sur le Firewall DNSSec actif sur IPv4 et IPv6 Priorisation des RA (Router Advertisment) Fake router advertisment filtering (ND/RA Guard) Inspection du trafic IPv6 sur l IPS (McAfee Intrushield) Chapter 9 Security Table 9-3 ICMPv6 Recommendations ICMPv6 Usage Echo request/reply Destination unreachable TTL Exceeded Parameter problem NS / NA RS / RA Packet too big MLD messages Debugging Debugging better indicators Error report Error report Important for IPv6 Neighbour Discovery. For Stateless Address Autoconfiguration Important for PATH MTU discovery Required for Multicast operations Source: IPv6 Deployment Guide, 6Net Note: Each IPv6 specific ICMP feature is in bold, each required ICMP feature is in italics. Déploiement IPv6 à l'eia-fr 13

14 Etape 7 : Prochaines étapes Aller chercher la machine à café Support du Multicast IPv6 IPv6 sur le VPN HSRPv2 DCHPv6 DNS Options NAT64 et DNS64 Déploiement IPv6 à l'eia-fr 14

15 Conclusion Ce déploiement a abouti sur : Plus de 50 sites web disponibles en IPv6 Serveur Exchange 2010 en IPv6 (en cours de test) Configuration DNS et DNSSec en IPv6 Transparence complète durant la mise en service! Les problèmes rencontrés: Les OS tels que OSX ou Windows 7 utilisent IPv6 prioritairement dès qu ils reçoivent une réponse DNS avec une adresse IPv6 les services doivent être prêts! Déploiement d IPv6 sur le Wifi impossible pour l instant, les contrôleurs WLC Cisco ne supportant pas le AAA override. Yes, we are IPv6 ready!! Déploiement IPv6 à l'eia-fr 15

16 Références [1] 6net, An IPv6 Deployment Guide, The 6NET Consortium, September 2005 [2] Results of a Security Assessment of the Internet Protocol version 6 (IPv6), Fernando Gont (SI6 Networks), Hack.lu 2011 Conference [3] [4] IPv6 Essential, ISBN , Sylvia Hagen Déploiement IPv6 à l'eia-fr 16

17 Merci pour votre attention! François Buntschu Professeur de réseaux & sécurité 026/ Olivier Beytrison Service Informatique 026/ Déploiement IPv6 à l'eia-fr 17