loader image

Gate Training

logo-png
Réseau

Formation IPv6 concepts, mise en oeuvre, migration, sécurité

3 Jours

Description de la formation IPv6

Cette formation IPv6 à été construite en partant du constat suivant: Quels changements introduit IPv6 ? En premier lieu, IPv6 est prévu pour remplacer complètement IPv4. Mais le cahier des charges disait « Pas de jour J ». Une stratégie de transition a donc été prévue afin de permettre aux deux protocoles de coexister. C’est heureux car en se souvenant qu’IPv6 était disponible dès 1999, on devine que cette transition pose problème, ne serait-ce que celui de son coût, estimé par exemple à 25 milliards de dollars sur 25 ans pour l’ensemble des Etats-Unis. En second lieu, l’adresse est toujours de longueur fixe mais celle-ci a été portée à 16 octets soit 128 bits. C’est 96 bits de plus que l’adresse IPv4 et chacun de ces 96 bits multiplie par 2 l’espace d’adressage initial. On arrive ainsi à 3,4 x 1038 adresses ce qui n’évoque rien, adoptons donc une image parlante, c’est aussi plus de 667 132 000 milliards d’adresses par millimètre carré de surface terrestre. On parle d’un espace d’adressage infini !
La sécurité est intégrée à IPv6 de façon native, les deux services authentification et confidentialité sont assurés mais ces travaux ont été récupérés par IPv4 pour élaborer le protocole appelé « IP sec » (IP secured).
On étudiera également lors de cette formation IPv6 comment IPv6 parvient à se passer de serveur DHCP, les hôtes étant capables dans une certaine mesure de s’auto configurer. Quant à la qualité de service, IPv6 n’est pas déterminant dans ce domaine à un point près : puisque chaque hôte peut disposer d’une adresse IPv6 publique, la translation d’adresse vers des adresses privées devient inutile, ce qui fait disparaître le goulet d’étranglement constitué par le serveur mandataire (le proxy). Les deux technologies « IPv6 – killer » qui avaient jusqu’ici permis de repousser l’urgence, d’une part la translation d’adresses associée aux adresses privées, d’autre part la redistribution des blocs d’adresses et l’agrégation de routes permises par CIDR, montrent désormais leurs limites. La cohabitation IPv4 – Ipv6 durera vraisemblablement encore quelque temps mais il est temps pour l’administrateur avisé de se former à IPv6.

Objectifs

Objectifs pédagogiques :

  • Réussir la transition de votre réseau vers IPv6
  • Simplifier la gestion des réseaux et l’attribution de configurations IP en ayant recours à l’auto configuration
  • Construire un inter réseau IPv6 à l’aide de tunnels établis sur le réseau IPv4 existant
  • Déployer la version modernisée et adaptée à IPv6 des protocoles de routage
  • Sécuriser la communication IPv6 en utilisant IPsec.

À qui s’adresse cette formation ?

Public :

Cette formation IPv6, s’adresse aux techniciens et ingénieurs réseaux, administrateurs, développeurs d’application.

 

Prérequis :

Disposer de très bonnes connaissances de TCP/IP et des réseaux.

 

Contenu du cours IPv6

Introduction à IPv6

IPv4, 30 ans de succès
Les raisons de la remise en cause, l’explosion des tables de routage, l’épuisement de l’espace d’adresses
Les mesures d’urgence : CIDR, adressage privé

Vue d’ensemble du nouveau protocole IPv6

Comparaison du format des paquets IPv4/IPv6
Le chaînage des en-têtes d’extension
Les extensions majeures : Proche en proche (Hop-by-Hop), Destination, Routage, Fragment, Authentification (AH – Authentication Header), Chiffrement (ESP – Encryption Security Payload), Mobilité
Impact de IPv6 sur la couche Transport, TCP, UDP et ICMP

Plan d’adressage IPv6

Typage des adresses, représentation, durée de vie
L’espace unicast global
Identifiants d’interface et notamment la formation des identifiants CGA – Cryptographically Generated
Addresses utiles au protocole SEND
L’espace lien-local
Les adresses uniques locales
L’espace multicast
Les adresses anycast
Les adresses spéciales
Activités d’allocation des adresses, l’IANA, les RIR. Affectations déjà réalisées

Atelier :

Vérification de l’activation d’IPv6 sur un hôte Windows 7. Analyse de la configuration du poste. Observation de la formation des identifiants d’interface sur un hôte IPv6. La commande ping dans un contexte IPv6. La commande netsh. Les commandes ip sous Linux

Configuration automatique d’IPv6

Les nouvelles attributions du protocole ICMP dans sa version v6
Le protocole de découverte de voisinage NDP (Neighbor Discovery)
– Les différents messages utiles au protocole NDP
– Le protocole SEND de découverte des voisins sécurisé
Les différentes phases d’une configuration automatique sans état
– Création de l’adresse lien-local
– Mécanisme de détection d’adresse dupliquée
– Construction de l’adresse globale unique
Comment une station découvre-t-elle un serveur DNS approprié dans une configuration automatique sans état ?
Configuration avec état, le protocole DHCPv6

Atelier :

Dans un réseau complet intégrant routeurs, serveur DNS et DHCPv6, stations IPv6 (Windows 7, Linux), vous configurerez les différents éléments afin que la station acquière une configuration IP …
– Dans un mix auto-configuration sans état / DHCP
– Dans une situation où l’administrateur a préféré l’auto-configuration avec état, mise en oeuvre à l’aide d’un serveur DHCPv6
– Dans un cadre stateless uniquement, à l’aide du RFC 6106, les annonces RA intègrent les options RDNSS et DNSSL
Remarque : de façon à éviter que la manipulation de l’IOS sur les routeurs CISCO soit un prérequis de cette formation, les parties correspondantes de la configuration sont réalisées de façon guidée par le formateur.

Support des applications en IPv6

DNS et DDNS
– L’enregistrement AAAA
– La résolution inverse
– Les logiciels serveurs
– Les résolveurs
Telnet, SSH, TFTP, SNMP

Atelier :

Test de la résolution de noms pour les adresses IPv6

Les protocoles de routage du premier saut (FHRP)

HSRP
GLBP

Atelier :

Configuration de HSRPv6 sur une paire de routeurs.
Note : Partie réalisée si stage 4 jours.

Implémentation du routage IPv6

Routage statique
RIPng
OSPFv3
EIGRP pour IPv6

Atelier :

Mise en oeuvre d’un protocole de routage dynamique

Sécurité IPv6

IPv6, un vaste et nouveau terrain de jeu pour les pirates
– Fragilité du protocole NDP
– Etude de cas, le rebinding
Les mécanismes intégrés d’IPsec
La sécurité de premier saut, RAguard, PACLs IPv6

Atelier :

Mise en oeuvre d’IPsec en mode transport entre deux hôtes. Déploiement d’un tunnel IPsec entre deux routeurs.

Cohabitation IPv4 – IPv6, mécanismes de transition et de migration vers IPv6

Double pile, l’approche Happy eyeballs
Interconnexion IPv6 réalisée à l’aide de tunnels construits dans un réseau IPv4 (protocole 41)
– Tunnel manuel, GRE
– Tunnel automatique 6to4, 6RD
– Tunnel ISATAP
Solution d’attente ou de maquettage : le tunnel broker. Création d’un tunnel chez HE.
Rendre IPv6 et IPv4 compatibles avec NAT64/DNS64
Etude de cas : construction collective d’un plan de migration. Est-il réellement possible de ne conserver qu’IPv6 sur le LAN d’entreprise ?

Atelier :

Réalisation d’un tunnel automatique 6to4 entre deux routeurs CISCO en bordure d’un réseau IPv4. Réalisation d’une translation NAT64/DNS64 avec LINUX ou avec des boîtiers CISCO ASA.

Travaux Pratiques

Les concepts sont validés à l’aide d’une série d’ateliers pratiques : – Installation et configuration d’IPv6 sur des hôtes (Windows 7, Linux, Windows 2008 R2) et des routeurs (CISCO) – Analyse des protocoles avec Wireshark – Conception d’un plan d’adressage IPv6 – Mise en oeuvre et dépannage de la configuration sans état (stateless) sur un LAN d’entreprise connecté via un routeur CISCO – Mise en oeuvre et dépannage de la configuration avec état (statefull / DHCP) sur un LAN d’entreprise. Configuration d’un serveur DHCPv6 et d’un serveur DNS IPv6 (Windows 2008 R2 ou LINUX CentOS). Impact sur la configuration des routeurs – Mise en oeuvre d’un tunnel point à point puis d’un tunnel automatique (6to4, ISATAP) pour interconnecter des sites IPv6 au travers d’un réseau IPv4 – Mise en oeuvre d’une translation NAT64/DNS64 – Déploiement d’un tunnel IPv6 IPsec entre deux passerelles de sécurité.

Réf:

0037

Tarif:

600 Dt

Niveau:

Intermédiaire

Classe à distance:

Possible

Pas de sessions disponibles