docLe déploiement d`IPv6 dans le réseau métropolitain OSIRIS
download 
Plainte Transcription
Le déploiement d`IPv6 dans le réseau métropolitain OSIRIS
Le déploiement d’IPv6 dans le réseau métropolitain OSIRIS JTR 2008 Philippe Pegon Ordre du jour 1- Introduction 2- Historique 3- L'infrastructure réseau 4- Les services 5- Formations 6- Problèmes rencontrés 7- Conclusion JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 2 Introduction ►Le réseau Osiris en quelques chiffres ■ créé en 1989 ■ 17 établissements ■ ~ 25 000 machines connectées ■ près de 50 000 utilisateurs ■ plus de 120 bâtiments (points de présence) ►2 équipes ■ réseau (8 ingénieurs, 3 techniciens) ■ téléphone (1 ingénieur, 2 techniciens, 7 standardistes) ■ + 1 directeur et 2 administratifs JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 3 Introduction ►Conditions favorables pour IPv6 en 2001 ■ maturité des implémentations ■ renouvellement des équipements actifs ■ proximité d'un laboratoire de recherche en réseau ►Mot d'ordre IPv6 = IPv4 ■ volonté politique du directeur ►Mobilisation de l'ensemble de l'équipe ■ pour chaque projet ►Objectif : généralisation d'IPv6 sur Osiris JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 4 Ordre du jour 1- Introduction 2- Historique 3- L'infrastructure réseau 4- Les services 5- Formations 6- Problèmes rencontrés 7- Conclusion JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 5 Historique ►Préhistoire : tunnels, 6-Bone ►199x : ■ vlan transporté par le CRC vers le LSIIT ■ routage sur un routeur BSD au LSIIT ►2001 : ■ ELAN ATM de backbone pour le projet Wifi-IPv6 ■ routage sur un Cisco 2611 au LSIIT ■ routage pour les réseaux CRC sur un routeur FreeBSD ▪ Début du déploiement IPv6 sur Osiris JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 6 Ordre du jour 1- Introduction 2- Historique 3- L'infrastructure réseau 4- Les services 5- Formations 6- Problèmes rencontrés 7- Conclusion JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 7 L'infrastructure réseau ►Préfixe IPv4 (/16) affecté à Osiris ►Pas de pénurie d'adresses ►Choix d'une transition double pile (dual-stack) JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 8 La dorsale ►Appel d'offres « Osiris 2 » en 2003 ■ IPv6 = élément clé de l'appel d'offres ►Choix du matériel en octobre 2003 ■ routeurs Juniper M20 pour le niveau 3 ■ commutateurs Cisco pour le niveau 2 ►IPv6 sur le backbone en décembre 2003 ■ plan d'adressage préalablement défini JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 9 Plan d'adressage 48 bits : préfixe d'établissement 4 bits : numéro de communauté d'usage - 0x0 dorsale - 0x1 recherche - 0x2 enseignement - 0x3 administration - 0x4 gestion technique (supervision,téléphone, etc) - 0x5-0xE réservé - 0xF expérimentation 4 bits : réservés pour utilisation future 8 bits : sous-réseau attribué séquentiellement (0x01 → 0xff) 0 48 64 64 bits : - 00FF:0000:0000:0000 → 00FF:FFFF:FFFF:FFFF : équipements réseau du CRC - 00FF:0000:0000:0000 (= FF:: ) : passerelle par défaut JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 10 Protocoles de routage ►Protocole de routage intérieur : IS-IS ■ un seul protocole de routage pour IPv4 et IPv6 ■ protocole plus simple... ►Protocole de routage extérieur : BGP4+ ■ deux peerings (v4 et v6) distincts JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 11 Sans fil ►Projet initié en 2001 ►But : couvrir tous les établissements strasbourgeois intéressés ►Exploitation délégué au CRC ►IPv6 pris en compte dès le départ ►57 bâtiments couverts aujourd'hui ■ JTR 2008 - Nancy 469 bornes Centre Réseau Communication - Strasbourg 12 Sans fil ►2 modes de connexion ■ 802.1X (mode « sécurisé ») ■ portail captif (mode « rapide ») ►Pas de problème pour IPv6 en 802.1X ■ = réseau classique routé sur un Juniper ►Développement d'un portail captif « maison » pour le support d'IPv6 ■ ■ JTR 2008 - Nancy pas de solution existante à l'époque basé sur FreeBSD/PF Centre Réseau Communication - Strasbourg 13 Sans fil @IPv4 : 192.168.254.254/16 @IPv6 : 2001:660:2402:2001:ff::/64 ajout d'un rêgle IPv4 + ajout d'une règle IPv6 pour l'adresse autoconfigurée si dans le cache NDP req uê te LD AP Client HTTPS n P o i C t a H c tifiD authen NDP Portail captif @MAC : 00:12:34:56:78:9A @IPv4 : 192.168.X.Y @IPv6 autoconfigurée : 2001:660:2402:2001:0212:34ff:fe56:789a/64 JTR 2008 - Nancy Centre Réseau Communication - Strasbourg Annuaire LDAP 14 VPN ►Projet initié en 2004 ►En remplacement du serveur RTC ►Permet d'accéder à des ressources privées ►IPv6 pris en compte dès le départ ►Matériel Cisco 3845 ■ pas de support IPv6 natif ►Utilisation d'ISATAP ►Packaging d'un client spécifique ■ pour FreeBSD, Linux et Windows JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 15 VPN client tunnel IPSEC Osiris serveur VPN tunnel ISATAP JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 16 Filtrage ►Filtrage : élément indispensable pour « ouvrir » le robinet IPv6 ►Deux types de filtrage ■ ■ JTR 2008 - Nancy filtrage par machine : en place sur tous les serveurs Osiris firewalls hébergés au CRC : en place sur les réseaux v6-fiés Centre Réseau Communication - Strasbourg 17 Métrologie ►Spécifique Juniper + MRTG ►Besoin d'un outil de métrologie plus évolué JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 18 Ordre du jour 1- Introduction 2- Historique 3- L'infrastructure réseau 4- Les services 5- Formations 6- Problèmes rencontrés 7- Conclusion JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 19 DNS ►Deux étapes : ■ répondre à des requêtes AAAA : préhistoire ■ transporter sur IPv6 : passage à Bind 9 en 2004 ►Migration de VRRPv2 à CARP pour la redondance en 2005 ►Application WebDNS v6-fiée en 2004 ■ JTR 2008 - Nancy facilitée par l'intégration d'IPv6 dans les types de PostgreSQL 7.4 Centre Réseau Communication - Strasbourg 20 Autres services ►Transport SMTP ■ 8 serveurs regroupés sous un seul nom ■ 16 adresses (8 IPv4 et 8 IPv6) ►Hébergement des boîtes aux lettres ■ utilisation de courier-imap qui supporte IPv6 ■ webmail v6-fié par le passage à apache 2 en 2004 ►Serveur FTP public en 2004 ■ lors du support d'IPv6 par ProFTPD JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 21 Load-balancer ►Évolution de la redondance des services ■ avant : basée sur CARP (compatible IPv6) ■ en cours de déploiement : partage de charge (load balancer) basé sur OpenBSD et relayd ▪ compatible IPv6... ▪ ... sauf pour le DNS en UDP ■ JTR 2008 - Nancy migration des différents services au fur et à mesure Centre Réseau Communication - Strasbourg 22 Ordre du jour 1- Introduction 2- Historique 3- L'infrastructure réseau 4- Les services 5- Formations 6- Problèmes rencontrés 7- Conclusion JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 23 Formations ►Généralisation d'IPv6 ■ nécessite l'adhésion des ~100 correspondants ■ problématique = poste client (≠opérateur réseau) ►Conception de 2 formations ► La première : « IPv6 principes et mise en œuvre » ■ durée : 1 journée (avec TP) ■ but : « dé-sacraliser » IPv6 ■ prérequies pour ouvrir le « robinet » IPv6 ▪ 47 préfixes de labos/services/établissements alloués et routés ■ à cette date : 93 personnes formées / 11 sessions JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 24 Formations ►La deuxième « IPv6 services avancés » ■ durée : 1 journée (avec TP) ■ but : accompagner les administrateurs à migrer leurs services réseaux ▪ apache, proftpd, postgresql, vlc, firewall (netfilter) ■ JTR 2008 - Nancy à cette date : 25 personnes formées / 3 sessions Centre Réseau Communication - Strasbourg 25 Ordre du jour 1- Introduction 2- Historique 3- L'infrastructure réseau 4- Les services 5- Formations 6- Problèmes rencontrés 7- Conclusion JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 26 Problèmes rencontrés (couche réseau) ►Pas de connectivité IPv6 de bout en bout ■ exemples : panne d'un routeur intermédiaire, filtrage d'IPv6 par un firewall, îlot IPv6 isolé ■ ⇒ lenteurs ▪ timeout « trèèèèèèèèès long » ▪ bascule en IPv4 ►Machine émettant des RA dans un réseau ■ ⇒ perte de connectivité IPv6 pour les autres machines ■ solution : filtrage des RA sur les commutateurs JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 27 Problèmes rencontrés (DNS) ►Pas d'autoconfiguration du serveur DNS ■ pénalisant pour les réseaux uniquement en IPv6 ■ RFC 5006 depuis septembre 2007 (RA option) ►Timeout de la requête AAAA (firewall) ■ échec et fin pour certaines applications ►Réponse DNS fausse (implémentation ou configuration) ■ ■ JTR 2008 - Nancy « le nom n'existe pas » au lieu de « aucun enregistrement de ce type » échec et fin pour certaines applications Centre Réseau Communication - Strasbourg 28 Problèmes rencontrés (services) ►Client ■ quelle adresse l'application cliente doit-elle choisir ? ■ chaque application se comporte différemment... ►Serveur ■ adresse IPv6 déclarée ■ services écoutant uniquement en IPv4 ■ ⇒ rejet des clients IPv6 (certains ré-essaient en IPv4) JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 29 Problèmes rencontrés (supervision) ►Support du RFC 4001 pour SNMP ■ sinon lancement de scripts pour récupérer des valeurs ►Métrologie ■ différenciation du trafic IPv6 et IPv4 sur les routeurs ■ netflow IPv6 (IPFIX ?) JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 30 Ordre du jour 1- Introduction 2- Historique 3- L'infrastructure réseau 4- Les services 5- Formations 6- Problèmes rencontrés 7- Conclusion JTR 2008 - Nancy Centre Réseau Communication - Strasbourg 31 Conclusion ►Objectif IPv6 = IPv4 ■ atteint sur l'infrastructure (sauf BGP et VRRPv3) ■ progresse sur les postes clients ►Quelques chiffres ■ ~ 800 adresses distinctes aujourd'hui (4% d'IPv4) ■ 47 préfixes routés (50%) ►Malgré tout le trafic vers l'extérieur stagne ►Notre infrastructure est prête pour une montée en puissance ■ JTR 2008 - Nancy il manque juste les serveurs (Google, Yahoo, etc.)... et les sites institutionnels... Centre Réseau Communication - Strasbourg 32
