How we did it Déploiement IPv6 à l Ecole d Ingénieurs et d Architectes de Fribourg

Documents pareils
Déploiement IPv6 en entreprise. 13 pièges à éviter. IPv6 Experience Exchange Event. Fabien Broillet Consultant IT

Réseaux IUP2 / 2005 IPv6

Administration Avancée de Réseaux d Entreprises (A2RE)

Fiche descriptive de module

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Routeur VPN Wireless-N Cisco RV215W

Prototype dual-stack IPv4/6 sur un backbone MPLS-VPN (services et sécurité)

Programme formation pfsense Mars 2011 Cript Bretagne

Pare-feu VPN sans fil N Cisco RV110W

Compte-rendu du TP n o 2

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

7.3 : Ce qu IPv6 peut faire pour moi

Description des UE s du M2

Internet Group Management Protocol (IGMP) Multicast Listener Discovery ( MLD ) RFC 2710 (MLD version 1) RFC 3810 (MLD version 2)

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Pare-feu VPN sans fil N Cisco RV120W

Déployer des services en IPv6

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Travaux pratiques IPv6

CISCO, FIREWALL ASA, CONFIGURATION ET ADMIN.

P R O J E T P E R S O N N A L I S E E N C A D R E

DIFF AVANCÉE. Samy.

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Le protocole IPv6 sur le Réseau Académique Parisien

IPv6, BGP et plus si affinités

Travaux pratiques : configuration des routes statiques et par défaut IPv6

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Aperçu technique Projet «Internet à l école» (SAI)

EXPERT EN INFORMATIQUE OPTION Systèmes et réseaux

Déployer IPv6 petit guide à l usage des netadmins

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

Présentation et portée du cours : CCNA Exploration v4.0

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

Formation Informatique Systèmes Catalogue

Plan. Programmation Internet Cours 3. Organismes de standardisation

Gestion des identités Christian-Pierre Belin

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

! "# Exposé de «Nouvelles Technologies Réseaux»

Olympiades canadiennes des métiers et des technologies

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Wagendorp Jean-François

1 PfSense 1. Qu est-ce que c est

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

Découverte de réseaux IPv6

Configuration de l adressage IP sur le réseau local LAN

Menaces et sécurité préventive

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Cisco RV220W Network Security Firewall

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

IPv6. Pénurie d adresses IPv4

L3 informatique Réseaux : Configuration d une interface réseau

Figure 1a. Réseau intranet avec pare feu et NAT.

FICHE CONFIGURATION SERVICE DHCP

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Présentation et portée du cours : CCNA Exploration v4.0

Cisco RV220W Network Security Firewall

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

TCP/IP, NAT/PAT et Firewall

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Ingénierie des réseaux

IPv6: from experimentation to services

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

La sécurité IT - Une précaution vitale pour votre entreprise

CREER UN ENREGISTREMENT DANS LA ZONE DNS DU DOMAINE

Présentation du modèle OSI(Open Systems Interconnection)

Introduction. Adresses

Réseau - VirtualBox. Sommaire

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Exercice : configuration de base de DHCP et NAT

Internet Protocol. «La couche IP du réseau Internet»

Offre de stage. Un(e) stagiaire en informatique

Windows Server 2012 R2 Administration avancée - 2 Tomes

Le Multicast. A Guyancourt le

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Mise en place d un cluster NLB (v1.12)

WiFi Security Camera Quick Start Guide. Guide de départ rapide Caméra de surveillance Wi-Fi (P5)

Le Protocole DHCP. Module détaillé

DIGITAL NETWORK. Le Idle Host Scan

Sécurité des réseaux Firewalls

Projet Sécurité des SI

Administration de Réseaux d Entreprises

Le socle de sécurité nouvelle génération Consolider, virtualiser et simplifier les architectures sécurisées

Présentation du ResEl

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Configuration automatique

NON URGENTE TEMPORAIRE DEFINITIVE. OBJET : FONCTIONNEMENT OmniVista 4760 SUR UN RÉSEAU VPN / NAT

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Au cœur des innovations Réseaux et Télécoms INTÉGRATION, OPTIMISATION, EXPLOITATION ET SÉCURISATION DES RÉSEAUX LAN & WAN

Documentation : Réseau

Transcription:

Département des Technologies de l Information et de la Communication François Buntschu francois.buntschu@hefr.ch How we did it Déploiement IPv6 à l Ecole d Ingénieurs et d Architectes de Fribourg EIA-FR HTA-FR Bd Pérolles 80 1705 Fribourg francois.buntschu@hefr.ch tél. +41 26 429 65 79

Introduction Pourquoi déployer IPv6 à l EIA-FR? Nous possédons déjà une classe B IPv4 (160.98.0.0/16)! Pas de fusion, de rachat à grande échelle prévu Augmentation du nombre d étudiants? Challenge technologique Connaissances pour l enseignement et la recherche Membre de la IPv6 Task Force dès sa création Connectique IPv6 native disponible au travers de SWITCH Support d IPv6 par notre infrastructure en place Passion des technologies réseaux IPv6 natif pour connection vers îlots «IPv6 only» Gagner la machine à café IPv6 offerte par SWITCH! Déploiement IPv6 à l'eia-fr 2

Buts & challenges Déploiement natif d IPv6, pas de tunneling Réseau dual-stack Services disponibles en IPv4 et IPv6 Nom DNS identique foobar.eia-fr.ch pour IPv4 et IPv6, pas de sousdomaine temporaire tel que foobar.ipv6.eia-fr.ch Obtention d un bloc d adresse Distribution des adresses aux terminaux clients Plan d adressage Support de l IPv6 par les éléments du réseau Sécurité & IPv6 : même combat que pour IPv4? Configuration du réseau Stabilité du réseau lors du déploiement 2001:620:40b::/48 Bloc reçu en avril 2003! Déploiement IPv6 à l'eia-fr 3

Situation initiale AS 20965 GEANT2 Genève BGP SWITCH EIA-FR Bern Cern CIXP Genève BGP Genève Zürich Lausanne Fribourg 0.0.0.0/0 www.eia-fr.ch OSPF 160.98.0.0/16 Genève Swisscom AS 3303 Zürich BGP AS 559 UNI-FR www.unifr.ch 134.21.0.0/16 Déploiement IPv6 à l'eia-fr 4

Etapes choisies à l EIA-FR: Etapes du déploiement 1.Définition du plan d adressage 2.Connectivité Internet 3.Configuration du réseau interne 4.Attribution des adresses IPv6 5.Services (DNS, Proxy, etc.) 6.Sécurité 7.Prochaines configurations Finalement une approche incrémentale: activation, test, amélioration, re-amélioration Déploiement IPv6 à l'eia-fr 5

Etape 1: Plan d adressage 2 80 adresses à disposition Réflexion sur l attribution des adresses IPv6 (SLAAC?, DHCPv6?) Gestion des adresses fixes IPAM Subnet /64 utilisé pour chaque VLAN/liaison/zone 2001:620:40b::/48 a : 0 (backbone) 1-4 (réseaux utilisateurs) 5 (réservé) 6 (réseau d entrée) bcd : vlan id et/ou IPv4 subnet 2001:620:40b:abcd:/64 Exemples: Backbone entrée: DMZ avec serveurs: Laboratoire Télécom: 2001:620:40b:6526::/64 2001:620:40b:8::/64 2001:620:40b:1030::/64 Déploiement IPv6 à l'eia-fr 6

Etape 2: Connectivité Internet AS 559 AS 559 www.eia-fr.ch AS 65415 ::/0 2001:620:40b::/48 BGP Fribourg OSPFv3 2001:620:40b::/48 160.98.0.0/16 SWITCH BGP UNI-FR ::/0 IPv6 subnets/summary EIA-FR Déploiement IPv6 à l'eia-fr 7

Etape 3: Réseaux internes DMZ -DNS server -Web servers - Server Farm: -DNS server -File Server (SAN) -Domain Controller - 160.98.2.0/23 2001:620:40b:2::/64 2001:620:40b::/48 160.98.0.0/16 160.98.8.0/23 2001:620:40b:8::/64 Batiment C, 1 er étage 160.98.30.0/23 2001:620:40b:1030::/64 Batiment C, rez de chaussée 160.98.20.0/23 2001:620:40b:1020::/64 ::1 et.1 OSPFv3 Area 1 ::/0 OSPFv3 Area0 IPv6 subnets/summary OSPFv3 Area 2 Déploiement IPv6 à l'eia-fr 8

Etape 4: Attribution des adresses IPv6 Attribution des adresses IPv6 Utilisation de SLAAC (StateLess Address AutoConfiguration) DHCPv6 pas encore «mature», actuellement en test Options DHCP encore incomplètes ou mal supportées DHCP Snooping indisponible sur les équipements DHCPv6 Relay pas disponible selon les IOS Cisco en place Déploiement IPv6 à l'eia-fr 9

Etape 5: Services (1) Configuration des entrées AAAA dans les serveurs DNS $ host www.eia-fr.ch www.eia-fr.ch is an alias for f5web.eia-fr.ch. f5web.eia-fr.ch has address 160.98.8.50 f5web.eia-fr.ch has IPv6 address 2001:620:40b:8::50 Déploiement IPv6 à l'eia-fr 10

Etape 5: Services (2) Configuration des reverses-proxys (accès aux principaux sites web de l EIA-FR) IPv4 IPv4 IPv6 160.98.8.50 2001:620:40b:8::50 Web/Application Servers Déploiement IPv6 à l'eia-fr 11

Etape 5: Services (3) Google Opt-in Source: http://www.google.com/intl/en/ipv6/ Déploiement IPv6 à l'eia-fr 12

Etape 6 : Sécurité Filtrage sur les équipements d entrée Règles sur le Firewall DNSSec actif sur IPv4 et IPv6 Priorisation des RA (Router Advertisment) Fake router advertisment filtering (ND/RA Guard) Inspection du trafic IPv6 sur l IPS (McAfee Intrushield) Chapter 9 Security Table 9-3 ICMPv6 Recommendations ICMPv6 Usage Echo request/reply Destination unreachable TTL Exceeded Parameter problem NS / NA RS / RA Packet too big MLD messages Debugging Debugging better indicators Error report Error report Important for IPv6 Neighbour Discovery. For Stateless Address Autoconfiguration Important for PATH MTU discovery Required for Multicast operations Source: IPv6 Deployment Guide, 6Net Note: Each IPv6 specific ICMP feature is in bold, each required ICMP feature is in italics. Déploiement IPv6 à l'eia-fr 13

Etape 7 : Prochaines étapes Aller chercher la machine à café Support du Multicast IPv6 IPv6 sur le VPN HSRPv2 DCHPv6 DNS Options NAT64 et DNS64 Déploiement IPv6 à l'eia-fr 14

Conclusion Ce déploiement a abouti sur : Plus de 50 sites web disponibles en IPv6 Serveur Exchange 2010 en IPv6 (en cours de test) Configuration DNS et DNSSec en IPv6 Transparence complète durant la mise en service! Les problèmes rencontrés: Les OS tels que OSX ou Windows 7 utilisent IPv6 prioritairement dès qu ils reçoivent une réponse DNS avec une adresse IPv6 les services doivent être prêts! Déploiement d IPv6 sur le Wifi impossible pour l instant, les contrôleurs WLC Cisco ne supportant pas le AAA override. Yes, we are IPv6 ready!! Déploiement IPv6 à l'eia-fr 15

Références [1] 6net, An IPv6 Deployment Guide, The 6NET Consortium, September 2005 [2] Results of a Security Assessment of the Internet Protocol version 6 (IPv6), Fernando Gont (SI6 Networks), Hack.lu 2011 Conference [3] https://wikispaces.psu.edu/display/ipv6/dhcpv6 [4] IPv6 Essential, ISBN 978-0-596-10058-2, Sylvia Hagen Déploiement IPv6 à l'eia-fr 16

Merci pour votre attention! François Buntschu Professeur de réseaux & sécurité francois.buntschu@hefr.ch 026/429 65 79 Olivier Beytrison Service Informatique olivier.beytrison@hefr.ch 026/429 69 49 Déploiement IPv6 à l'eia-fr 17

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back