Project-Id-Version: Trac 0.12
Report-Msgid-Bugs-To: trac-dev@googlegroups.com
POT-Creation-Date: 2013-01-27 11:21+0900
PO-Revision-Date: 2010-07-19 23:05+0200
Last-Translator: Jeroen Ruigrok van der Werven <asmodai@in-nomine.org>
Language-Team: en_US <trac-dev@googlegroups.com>
Plural-Forms: nplurals=2; plural=(n != 1)
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Generated-By: Babel 0.9.6

IPv6 – Trac ResEl
wiki:IPv6

IPv6 au ResEl

Préfixes

Le ResEl a deux /52 attribué par la DISI.

  • À Brest il s'agit de 2001:660:7302:D000::/52 et
  • à Rennes de 2001:660:7301:4000::/52

Réseau à Brest

Sous réseaux

Deux /64 sont utilisés à Brest pour le moment, il s'agit de :

  • 2001:660:7302:D994::/64 Du Vlan 994, pour les utilisateurs. Le routage vers ce réseau est fait par Grandours.
  • 2001:660:7302:D999::/64 Du Vlan 999, pour les utilisateurs. L'attribution est effectué par un serveur DHCPv6? (le script de génération est ldap2dhcpv6). Le script ldap2dns génère une entrée DNS par machine, sur le principe de la génération d'adresses en fonction de l'adresse MAC.
    • 2001:660:7302:D999:aaXX::/80 C'est l'équivalent du subnet de l'IPv4, où XX représente le groupe auquel la machine appartient en IPv4, et les 48 bits suivants correspondent à l'adresse MAC.
    • 2001:660:7302:D999:C001::/80 C'est l'équivalent du subnet inscription en IPv4 (172.22.224.0/22) (pas encore en place)
  • 2001:660:7302:D996:B00B::/80 C'est l'équivalent du subnet contamination.
  • 2001:660:7302:D000::/64 Sous-réseau de connexion avec la DISI. L'adresse 2001:660:7302:D000::1/64 est utilisée par le routeur DISI, l'adresse 2001:660:7302:D000::2/64 est l'adresse ou la DISI envoie l'ensemble des paquets pour notre /52 (actuellement l'adresse est sur Loli eth0.990).

Il est également possible de définir une adresse IPv6 "statique" pour les serveurs. Pour cela il suffit de modifier la fiche LDAP de la machine et de lui rajouter un champ ipv6hostnumber (cf la fiche LDAP de gadget par exemple). Ce champ est notamment lu par ldap2dns.

Ports ouverts

En entrée

2011 une nouvelle année pour l'ipv6 au ResEl. il faut aller voir le ticket DISI n° 14333

  • 80 et 443 vers Cyric : 2001:660:7302:d994::80
  • 25, 993, 995 et 587, vers Mercure : 2001:60:7302:d994::25
  • 22 vers Spring : 2001:660:7302:d994::22
  • 53 (udp et tcp) vers Saintem : 2001:660:7302:d994::53
  • 5222 et 5223 vers Jabber? : 2001:660:7302:d994::5222

En sortie

  • 22/80/443 en sortie depuis tout le resel
  • 53 (tcp et udp) depuis Saintem : 2001:660:7302:d994::53
  • 25 depuis Mercure : 2001:660:7302:d994::25

Il faudrait demander à la DISI de cesser ce bridage en sortie, et d'ouvrir au moins pour un /64 certains ports (afin de fournir des services vers l'extérieur en IPV6, comme les mails/sites webs/jabber...).

À Rennes

Sous réseaux

Pessac est le routeur V6 du ResEl de Rennes. Les sous-réseaux correspondent à 2001:660:7301:4XXX::/52 ou XXX est le numéro de Vlan. On a ainsi :

  • 2001:660:7301:4999::/64 pour le vlan utilisateur. Le préfixe est annoncé par Pessac
  • le routage vers l'école de Rennes se fait par l'adresse globale 2001:660:7301:4000::1 (dans le vlan 990) entre pessac764 et l'ASR. .

Ports ouverts

  • Tous les ports TCP en sortie,
  • en entrée
    80/443/22 vers le conteneur openVZ de l'ader
    53(udp et tcp) vers loupiac : 2001:660:7302:4994::53

ToDo?

Configuration des noeuds

Serveurs

Annonces RADV

Pour connaitre les paramètre, voir la RFC 2461 Neighbor Discovery for IP Version 6 (IPv6)

interface eth1
{
       AdvSendAdvert on;
       AdvOtherConfigFlag on;
       prefix 2001:660:7302:D999::/64
       {
              AdvOnLink on;
              AdvAutonomous on;
              AdvRouterAddr on;
              AdvPreferredLifetime 240;
              AdvValidLifetime 480;
       };
};

Réserver une adresse en renseignant le LDAP.

Manuellement

ifconfig eth994 del  2001:660:7302:d994:216:3eff:fe16:2ae5/64 
ifconfig eth994 add 2001:660:7302:d994::3/64

sysctl -w net.ipv6.conf.eth994.autoconf=0

De façon statique

Ajouter la conf suivante dans /etc/network/interfaces en adaptant le nom de l'interface :

iface eth0.994 inet6 static
    pre-up  sysctl -w net.ipv6.conf.eth994.autoconf=0 > /dev/null || true
    address 2001:660:7302:d994::3
    netmask 64
    gateway 2001:660:7302:d994::1

Test

On tente de joindre GO puis Internet

loli:~$ ping6 2001:660:7302:d994::1
PING 2001:660:7302:d994::2(2001:660:7302:d994::2) 56 data bytes
64 bytes from 2001:660:7302:d994::2: icmp_seq=1 ttl=63 time=1.17 ms 

# ping6 ipv6.google.com
PING ipv6.google.com(2a00:1450:8002::93) 56 data bytes
64 bytes from 2a00:1450:8002::93: icmp_seq=1 ttl=51 time=19.2 ms

Routage interne

sur GranOurs?

interface Vlan994
 description "VLAN 994 : Services publics"
 ipv6 address 2001:660:7302:D994::1/64
 ipv6 enable
end

interface Vlan999
 description "VLAN 999 : Zone utilisateurs a Brest"
 ipv6 address 2001:660:7302:D999::1/64
 ipv6 unnumbered Port-channel1
 ipv6 enable
 ipv6 nd prefix default no-advertise
 ipv6 nd managed-config-flag
 ipv6 nd other-config-flag
 ipv6 nd router-preference High
 ipv6 nd ra suppress
 ipv6 dhcp relay destination FE80::216:3EFF:FE16:C7E5 Port-channel1
end

On fait du Multicast, donc on activer le MLD snooping en v6 :

Grandours(config)# ipv6 mld snooping

Débogage

Serveurs

Dump

 tcpdump -i eth2 ip6 or proto ipv6

Routers discovery

Pour voir les ND router advertisements recus sur une interface :

$ rdisc6 eth2
Solicitation de ff02::2 (ff02::2) sur eth2...

Limite de saut (TTL)      :           64 (      0x40)
Conf. d’adresse par DHCP  :          Non
Autres réglages par DHCP  :          Non
Préférence du routeur     :        moyen
Durée de vie du routeur   :         1800 (0x00000708) secondes
Temps d’atteinte          :        30000 (0x00007530) millisecondes
Temps de retransmission   :         1000 (0x000003e8) millisecondes
 Adresse source de lien   : 00:23:EB:F9:60:00
 MTU                      :         1500 octets (valide)
 Préfixe                  : 2001:660:7302:d000::/64
  Durée de validité       :      2592000 (0x00278d00) secondes
  Durée de préférence     :       604800 (0x00093a80) secondes
 de fe80::223:ebff:fef9:6000

Limite de saut (TTL)      :           64 (      0x40)
Conf. d’adresse par DHCP  :          Non
Autres réglages par DHCP  :          Oui
Préférence du routeur     :        moyen
Durée de vie du routeur   :         1800 (0x00000708) secondes
Temps d’atteinte          :  non indiqué (0x00000000)
Temps de retransmission   :  non indiqué (0x00000000)
 Préfixe                  : 2001:660:7302:d999::/64
  Durée de validité       :          480 (0x000001e0) secondes
  Durée de préférence     :          240 (0x000000f0) secondes
 Adresse source de lien   : 00:01:01:F7:2F:90
 de fe80::201:1ff:fef7:2f90

Aussi, un programme appelé "radvdump" peut vous aider à observer les annonces émises ou reçues. Simple à utiliser:

sudo radvdump
interface eth1
{
        AdvSendAdvert on;
        # Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
        AdvManagedFlag off;
        AdvOtherConfigFlag on;
        AdvReachableTime 0;
        AdvRetransTimer 0;
        AdvCurHopLimit 0;
        AdvDefaultLifetime 65535;
        AdvHomeAgentFlag off;
        AdvDefaultPreference medium;
        AdvSourceLLAddress on;
        AdvLinkMTU 1500;
}; # End of interface definition

Routeur Advertisement sauvage par Windows

cf http://superuser.com/questions/433691/why-is-windows-7-announcing-itself-as-an-ipv6-router

en utilisant netsh on peut supprimer l'annonce de la route par defaut

Routeurs

c'est GrandOurs? qui est le routeur Ipv6. Il annonce le préfix utilisateur dans le 999 : 2001:660:7302:d999::0

Afficher les routeurs IPv6

grandours#show ipv6 routers
Router FE80::A955:F1D3:2E40:161E on Vlan999, last update 1027 min
  Hops 0, Lifetime 65535 sec, AddrFlag=0, OtherFlag=1, MTU=1500
  HomeAgentFlag=0, Preference=Medium
  Reachable time 0 (unspecified), Retransmit time 0 (unspecified)

Ce qui donne :

grandours#sh ipv6 interface vlan 999
Vlan999 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::21E:F6FF:FE7F:4D49
  No Virtual link-local address(es):
  Description: "VLAN 999 : Zone utilisateurs a Brest"
  Interface is unnumbered. Using address of Port-channel1
  Global unicast address(es):
    2001:660:7302:D999::1, subnet is 2001:660:7302:D999::/64
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:2
    FF02::1:FF00:1
    FF02::1:FF7F:4D49
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Output features: Check hwidb
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is High
  ND RAs are suppressed
  Hosts use DHCP to obtain routable addresses.
  Hosts use DHCP to obtain other configuration.

Attribution des adresses

Tout comme en IPv4, l'attribution est effectué par un serveur DHCP installé sur Saintem (cette utilisation d'un serveur DHCP est cependant contraire au principe d'autoconfiguration d'IPv6, mais répond à des contraintes tel que l'identification des utilisateurs et le système de log). Contrairement au V4, l'identifiant de la machine utilisée n'est pas l'adresse MAC, mais le DUID, qui est un identifiant dérivée de l'adresse MAC mais qui peut faire intervenir une notion de temps. La récupération des DUID est effectuée par un script de scan sur echelon, qui insère les DUID dans le ldap. Un script de rechargement de la configuration du DHCP recrée la configuration du serveur tel qu'en v4.

Texte au dessus toujours valide ?

13/18:28:46 < Alex`> dites, elle est calculée comment l'ipv6 au resel ?
13/18:29:50 <@ttdx> prefix + adresses mac
13/18:30:53 <@ttdx> prefix = 2001:660:7302: + zone (dVLAN) + ton groupe ipv4 en exa
13/18:31:15 < Alex`> groupe ipv4 = ?
13/18:31:28 <@ttdx> euh aa + groupe v4
13/18:31:46 <@ttdx> groupe v4 = 3e octet de ton adresse ipv4
13/18:31:56 <@ttdx> t'as une ip de type 172.22.X.Y , c'est le X
13/18:32:02 <@ttdx> (X variant de 200 à 223)

Page créée par ffourcot et modifiée par amanoury le 11/02/2015 08:24:56

Last modified 3 years ago Last modified on Feb 11, 2015, 8:24:56 AM