Département des Technologies de l’Information et de la Communication

EIA-FR HTA-FR | Bd Pérolles 80 | 1705 Fribourg | francois.buntschu@hefr.ch | tél. +41 26 429 65 79

” How we did it ” Déploiement IPv6 à l’Ecole

d’Ingénieurs et d’Architectes de

Fribourg

François Buntschu francois.buntschu@hefr.ch

IPv6 Council F. Buntschu

Introduction

Pourquoi déployer IPv6 à l’EIA-FR ?

→ Nous possédons déjà une classe B IPv4 (160.98.0.0/16) !

→ Pas de fusion, de rachat à grande échelle prévu …

→ Augmentation du nombre d’étudiants ?

→ Challenge technologique

→ Connaissances pour l’enseignement et la recherche

→ Membre de la IPv6 Task Force dès sa création

→ Connectique IPv6 native disponible au travers de SWITCH

→ Support d’IPv6 par notre infrastructure en place

→ Passion des technologies réseaux

→ IPv6 natif pour connection vers îlots « IPv6 only »

→ Gagner la machine à café IPv6 offerte par SWITCH !

Déploiement IPv6 à l'EIA-FR 2

IPv6 Council F. Buntschu

Buts & challenges

– Déploiement natif d’IPv6, pas de tunneling

– Réseau dual-stack Services disponibles en IPv4 et IPv6

– Nom DNS identique ”foobar.eia-fr.ch” pour IPv4 et IPv6, pas de sous-

domaine temporaire tel que ”foobar.ipv6.eia-fr.ch”

– Obtention d’un bloc d’adresse

– Distribution des adresses aux terminaux clients

– Plan d’adressage

– Support de l’IPv6 par les éléments du réseau

– Sécurité & IPv6 : même combat que pour IPv4 ?

– Configuration du réseau

– Stabilité du réseau lors du déploiement

Déploiement IPv6 à l'EIA-FR 3

2001:620:40b::/48

Bloc reçu en avril 2003 !

IPv6 Council F. Buntschu

Situation initiale

Déploiement IPv6 à l'EIA-FR 4

SWITCH

AS 559

BGP EIA-FR

www.eia-fr.ch

UNI-FR www.unifr.ch

Fribourg

Lausanne

Bern

Zürich

Genève

160.98.0.0/16

134.21.0.0/16

AS 3303

Genève

Swisscom

Zürich

AS 20965 Genève

GEANT2

…

BGP

BGP

Cern CIXP Genève

0.0.0.0/0

OSPF

IPv6 Council F. Buntschu

Etapes du déploiement

Etapes choisies à l’EIA-FR:

1.Définition du plan d’adressage

2.Connectivité Internet

3.Configuration du réseau interne

4.Attribution des adresses IPv6

5.Services (DNS, Proxy, etc.)

6.Sécurité

7.Prochaines configurations

Finalement une approche incrémentale:

activation, test, amélioration, re-amélioration…

Déploiement IPv6 à l'EIA-FR 5

IPv6 Council F. Buntschu

Etape 1: Plan d’adressage

Déploiement IPv6 à l'EIA-FR 6

280 adresses à disposition

Réflexion sur l’attribution des adresses IPv6 (SLAAC ?, DHCPv6 ?)

Gestion des adresses fixes IPAM

Subnet /64 utilisé pour chaque VLAN/liaison/zone

2001:620:40b::/48

2001:620:40b:abcd:/64

Exemples:

•Backbone entrée: 2001:620:40b:6526::/64

•DMZ avec serveurs: 2001:620:40b:8::/64

•Laboratoire Télécom: 2001:620:40b:1030::/64

a : 0 (backbone)

1-4 (réseaux utilisateurs)

5 (réservé)

6 (réseau d’entrée)

bcd : vlan id et/ou IPv4 subnet

IPv6 Council F. Buntschu

Etape 2: Connectivité Internet

Déploiement IPv6 à l'EIA-FR 7

SWITCH

AS 559

EIA-FR

www.eia-fr.ch

UNI-FR

Fribourg 160.98.0.0/16

::/0 AS 65415

2001:620:40b::/48

BGP

BGP

2001:620:40b::/48

OSPFv3

::/0

IPv6 subnets/summary

AS 559

IPv6 Council F. Buntschu

Etape 3: Réseaux internes

Déploiement IPv6 à l'EIA-FR 8

DMZ -DNS server

-Web servers

-…

…

2001:620:40b::/48

160.98.30.0/23

2001:620:40b:1030::/64

Batiment C, 1er étage

::1 et .1

160.98.20.0/23

2001:620:40b:1020::/64

Batiment C, rez de chaussée

::/0

IPv6 subnets/summary

Server Farm: -DNS server

-File Server (SAN)

-Domain Controller

-…

160.98.0.0/16 160.98.2.0/23

2001:620:40b:2::/64

160.98.8.0/23

2001:620:40b:8::/64

OSPFv3

Area 1

OSPFv3

Area0

OSPFv3

Area 2

IPv6 Council F. Buntschu

Etape 4: Attribution des adresses IPv6

Attribution des adresses IPv6

Utilisation de SLAAC (StateLess Address AutoConfiguration)

DHCPv6 pas encore « mature », actuellement en test

Options DHCP encore incomplètes ou mal supportées

DHCP Snooping indisponible sur les équipements

DHCPv6 Relay pas disponible selon les IOS Cisco en place

Déploiement IPv6 à l'EIA-FR 9

IPv6 Council F. Buntschu

Etape 5: Services (1)

Configuration des entrées AAAA dans les serveurs DNS

Déploiement IPv6 à l'EIA-FR 10

$ host www.eia-fr.ch www.eia-fr.ch is an alias for f5web.eia-fr.ch. f5web.eia-fr.ch has address 160.98.8.50 f5web.eia-fr.ch has IPv6 address 2001:620:40b:8::50

IPv6 Council F. Buntschu

Etape 5: Services (2)

Configuration des reverses-proxys (accès aux principaux sites web de l’EIA-FR)

Déploiement IPv6 à l'EIA-FR 11

IPv4 IPv4

IPv6 160.98.8.50

2001:620:40b:8::50 Web/Application Servers

IPv6 Council F. Buntschu

Etape 5: Services (3)

Google Opt-in

Déploiement IPv6 à l'EIA-FR 12

Source: http://www.google.com/intl/en/ipv6/

IPv6 Council F. Buntschu

Etape 6 : Sécurité

Filtrage sur les équipements d’entrée

Règles sur le Firewall

DNSSec actif sur IPv4 et IPv6

Priorisation des RA (Router Advertisment)

Fake router advertisment filtering (ND/RA Guard)

Inspection du trafic IPv6 sur l’IPS (McAfee Intrushield)

Déploiement IPv6 à l'EIA-FR 13

Chapter 9 Security

244

Table 9-3 ICMPv6 Recommendations

ICMPv6 Usage

Echo request/reply Debugging

Destination unreachable Debugging – better indicators

TTL Exceeded Error report

Parameter problem Error report

NS / NA Important for IPv6 Neighbour Discovery.

RS / RA For Stateless Address Autoconfiguration

Packet too big Important for PATH MTU discovery

MLD messages Required for Multicast operations

Note: Each IPv6 specific ICMP feature is in bold, each required ICMP feature is in italics.

Source: IPv6 Deployment Guide, 6Net

IPv6 Council F. Buntschu

Etape 7 : Prochaines étapes

Aller chercher la machine à café

Support du Multicast IPv6

IPv6 sur le VPN

HSRPv2

DCHPv6 DNS Options

NAT64 et DNS64

Déploiement IPv6 à l'EIA-FR 14

IPv6 Council F. Buntschu

Conclusion

Ce déploiement a abouti sur :

Plus de 50 sites web disponibles en IPv6

Serveur Exchange 2010 en IPv6 (en cours de test)

Configuration DNS et DNSSec en IPv6

Transparence complète durant la mise en service !

Les problèmes rencontrés:

Les OS tels que OSX ou Windows 7 utilisent IPv6 prioritairement dès qu’ils reçoivent

une réponse DNS avec une adresse IPv6 les services doivent être prêts !

Déploiement d’IPv6 sur le Wifi impossible pour l’instant, les contrôleurs WLC Cisco

ne supportant pas le AAA override.

Déploiement IPv6 à l'EIA-FR 15

Yes, we are IPv6 ready !!

IPv6 Council F. Buntschu

Références

[1] 6net, An IPv6 Deployment Guide, The 6NET Consortium, September

2005

[2] Results of a Security Assessment of the Internet Protocol version 6 (IPv6),

Fernando Gont (SI6 Networks), Hack.lu 2011 Conference

[3] https://wikispaces.psu.edu/display/ipv6/DHCPv6

[4] IPv6 Essential, ISBN 978- 0-596-10058-2, Sylvia Hagen

Déploiement IPv6 à l'EIA-FR 16

IPv6 Council F. Buntschu

Merci pour votre attention !

Déploiement IPv6 à l'EIA-FR 17

François Buntschu

Professeur de réseaux & sécurité

francois.buntschu@hefr.ch

026/429 65 79

Olivier Beytrison

Service Informatique

olivier.beytrison@hefr.ch

026/429 69 49