IPv6 pour les Nuls

10 fvrier 2011
Marc Michault

Arnaud Lheureux

Technologist Lead PFE- Security

Sidem Systems Solutions Microsoft France
4

Ils avaient
raison!
Cest la

fin!!!!!

FoxNews
26 jan 201
1

Cest quoi ce beODLZ?

?
?
?
?

Agenda

Le paquet et les adresses IPv6

Configuration (et Auto-Configuration)
Rsolution de Noms
Technologies de Transition
Dernires penses
7

I Le Paquet et les Adresses

IPv6

Le Paquet IPv6
Comment rdiger des adresses IPv6
Sous-Rseautage
Types dadresses

Monodiffusion (Unicast)
Multidiffusion (Multicast)

Paquet IPv6

IPv6 utilise des adresses codes sur 128 bit

En-tte rduit et fixe pour un routage rapide
Options dans les en-ttes dextensions
Support de lIPSec (en-ttes dextensions
spcifiques)
Support du QoS
(Identifiant
de flux dans len-tte)
Extensi
Extensi
En-Tte
IPv6
40-octets

on
x8octets

on
x8octets

Protocol Data Unit

(PDU)

Adresses IPv6
Des : sparent huit blocs de 4 chiffres
1111
1101 0000 0000 0000 0000 0000

0000
hexadcimaux
0000 0000 0000 0000 0000 0000 0010 0001
Les zros de gauche sont ts
0000
0000 0000 0001 0000 0000 0000 0000
Les groupes
de zros
compresss
0000
0000 0000
0000sont
0101
0001 0100 0011
Une seule fois

FD00::21:1::5143
FD00::21:1:0:0:5143
FD00:0:0:21:1:0:0:5143
FD000000000000210001000000005143
FD00:0000:0000:0021:0001:0000:0000:5143
FD00:0000:0000:0021:0001:0000:0000:5143

10

Sous-Rseautage

Par dfaut:
Identifiant de rseau de 48-bit
Identifiant de sous-rseau de 16-bit
Identifiant dinterface de 64-bit
Prfixe en notation CIDR:
Adresse/Prfixe:FD00::21:1:0:0:5143/96
Rsea
u
48-bit

Interface
ID
64-bit

S-R
16bit

11

Types dAdresses IPv6

Photo de famille
Un nud a typiquement plusieurs adresses IPv6:
Adresses de Mono-Diffusion
Link-Local Unicast
Identifiant dInterface
Global Unicast
Unique Local Unicast
Interfaces de Tunnels
Spciales (Rserves)
Adresses de Multi-Diffusion
Solicited Node
Link-Layer multicast addresses
12

Adresses IPv6 Link-Local

Bienvenue chez vous

FE80::/64
Chaque interface rseau IPv6 DOIT avoir une
adresse link-local
Permet un priphrique de communiquer avec
les autres priphriques IPv6 sur la mme liaison.

1111111010
FE
80

13

Identifiants de Zones
(Scope)
Les adresses Link-Local peuvent tre dupliques et

Recyclez!

ambigues
Pour clarifier une ZONE ID indique le lien
Sur Windows elle reprsente lindex dinterface
Syntaxe:
ADDRESS%ZONE_ID
Exemple:
FE80::C582:1680:D349:A6BF%13
14

Identifiants de Zones
(Scope)
Recyclez! Quelle carte?

Je dois envoyer
un paquet
fe80::1:2:3:4

E80::CD87:5DD6:CF39:DD08
%12

FE80::80D4:29C9:2B3C:A0E2
%13
15

Adresses Global Unicast

IPv6
Utilisation similaire aux adresses IPv4 publiques
Internet Publique
IPv6

2000::/3 (= 2000-3FFF)
2001 utilis pour Teredo et 2002 pour 6to4
(solutions de compatibilit IPv4)
Prfixe de routage global de 45-bit,
Identifiant de sous-rseau de 16-bit
001
2

16

Adresses IPv6 Unique Local

Intranets privs IPv6

Utilisation similaire aux adresses IPv4 prives (RFC

1918)
Adresses Site-Local (FEC0::) retires
FC::/7
Mais le 8me bit dfinit local donc FD::
1 1 1 1 1 1 0 1 loca
l
FD
..
17

Adresses IPv6 de MultiDiffusion

Utilises pour les oprations link-local (segment)
group
Tir

Pas de broadcast en IPv6!

FF suivi par 4 bits pour les qualifiants et 4 bits pour

ltendue
Qualif.

11111111

Etend
ue

1=InterfaceLocal
2=Link-Local
5=Site-Local

FF.
.
18

1=Tous
Noeuds
2=Tous
Routeurs

Adr. de Multicast
Frquentes
Exemples
Nuds/Lien

FF01::1 Interface-Local tous les Nuds

FF02::1 Link-Local tous les Nuds
FF02::1:2 Tous les serveurs DHCP
FF02::1:3 Rsolution de noms Link-Local
(LLMNR)
Routeurs
FF01::2 Interface-Local tous les Routeurs
FF02::2 Link-Local tous les Routeurs
19

Solicited Node
Adresse de multidiffusion associe ladresse de
monodiffusion
Les noeuds enregistrent des adresses de

multidiffusion associes leurs adresses IPv6

Syntax:
FF02::1:FF00:0/104 + <derniers 24 bits de
lInterface-ID IPv6 >
Utilis pour obtenir ladresse physique dun hte
(remplace ARP)

FF02::1:FF49:A6BF
FE80::C582:1680:D349:A6BF
20

Adr. MAC de MultiDiffusion

Pour recevoir le traffic, les noeuds enregistrent les adresses

Adresses
enregistres
par linterface
MAC deMAC
multi-diffusion
associes
leurs multi-diffusions IPv6
Syntaxe:
33-33 + <Derniers 32 bit de ladresse IPv6 multi-diffusion>
Utilises pour rpondre aux multi-diffusions IPv6 la couche
physique
Adresses IPv6
multicast

Associated MAC
multicast addresses

Solicited node

FF02::1:FF49:A6BF

Link-local tous

FF02::1

21

33-33-FF-49-A6-BF
33-33-00-00-00-01

Adresses Rserves et
Routage
::1 : Localhost (le stack local)
vais-je?
O

:: : Adresse indfinie (lensemble du rseau)

Le routage fonctionne de la mme manire que sur
IPv4
La passerelle (routeur)
Peut tre dfinie automatiquement par annonce
Sollicitation et annonce de routeur ICMPv6

22

II Configuration
Automatique

Configuration Stateful ou Stateless

Dcouverte de Voisinage (Neighbor Discovery)
Allocation automatique dadresse
Dcouverte de Routeur (Router Discovery)

23

Recherche dAdresses
IPv6
Stateless
veux, jen veux!
Jen

Link-Local Neighbor Discovery

Router Advertisement

Stateful
Manuelle
DHCPv6

24

Dcouverte des Voisins

Enqute de Voisinage

ICMPv6 Options Types:

1-127: Codes derreur
128-255: Codes dinformation

Neighbor Discovery utilise des paquets ICMPv6

Avec des options types dinformation spcifiques
Envoys sur des adresses de multidiffusion

Les annonces sont envoyes:

Rgulirement ( la multidiffusion de tous les nuds link-local)
En rponse une demande ( ladresse du demandeur)
25

Neighbor Discovery Vert

IPv6:
Bonjour voisin

MAC:

ghbor Advertisement

Neighbor Solicitation

6 Options Type: 136

t.

ICMPv6
MAC
Src:
Dest.
IPv6:
Src:
Dest:
Target:
Option:

00-AA-00-BB-BB-BB
Blanc Adr. MAC
00-AA-00-AA-AA-AA
Vert Adr. MAC

FE80::2AA:FF:FE22:2222
Blanc Adr. IPv6
t: FE80::2AA:FF:FE11:1111
Vert Adr. IPv6
: FE80::2AA:FF:FE22:2222
Blanc Adr. IPv6
n: 00-AA-00-BB-BB-BB
Blanc Adr. MAC

Blanc
IPv6:
MAC:

FE80::2AA:FF:FE11:1111
00-AA-00-AA-AA-AA

FE80::2AA:FF:FE22:2222
00-AA-00-BB-BB-BB
26

Options Type: 135

00-AA-00-AA-AA-AA
Vert
Adr. MAC
Blanc Solicited. Adr.
33-33-FF-22-22-22
FE80::2AA:FF:FE11:1111
Vert
Adr. IPv6
Blanc Solicited Adr.
FF02::1:FF22:2222
Blanc Adr. IPv6
FE80::2AA:FF:FE22:2222
Source Link-Layer Address

Auto-Attribution dAdresse
IPv6
Sollicitation de voisin avec une adresse auto-attribue

Jveux la mienne!
Mais la source est :: (adresse indfinie)
Ladresse est dfinie comme Tentative
Ne peux pas encore recevoir de paquets adresss cette
adresse

Si un conflit existe, la machine en conflit rpond

Sinon, ladresse est maintenue
Ladresse est dfinie comme Valide
Lhte peux recevoir des paquets adresss cette adresse
27

Router Discovery

Vert

Par ici la sortie

uter Advertisement

v6 Options Type: 134

: 00-AA-00-CC-CC-CC
Routeur Adr. MAC
st. 33-33-00-00-00-01
Nodes Multicast

: FE80::2AA:FF:FE33:3333
Routeur Adr. IPv6
st: FF02::1
Link-Local Nodes Multicast
et: FE80::2AA:FF:FE33:3333
Routeur Adr. IPv6
on:00-AA-00-CC-CC-CC,
Routeur Adr. IPv6, MTU,
MTU,
Prfixes
Prfixes

Routeur
IPv6:
MAC:
28

FE80::2AA:FF:FE33:3333
00-AA-00-CC-CC-CC

IPv6 Natif

Router Advertisement sur DA01

netsh int ipv6 set route
2001:DB8:ABCD:1111::/64
"Local Area Connection"
publish=yes
Netsh int ipv6 set int "Local Area
Connection" advertise=enable

Router Discovery
(Demande)

uter
JeAdvertisement
veux sortir!

v6 Options Type: 134

Vert
IPv6:
MAC:

FE80::2AA:FF:FE11:1111
00-AA-00-AA-AA-AA

Router Solicitation

: 00-AA-00-CC-CC-CC
Routeur Adr. MAC
st. 00-AA-00-AA-AA-AA
Vert Adr. MAC

ICMPv6
MAC
Src:
: FE80::2AA:FF:FE33:3333
Routeur Adr. IPv6
Dest.
st: FE80::2AA:FF:FE11:1111
Vert Adr. IPv6
IPv6:
Routeur
et: FE80::2AA:FF:FE33:3333
Routeur Adr. IPv6
on: 00-AA-00-CC-CC-CC,
IPv6:
FE80::2AA:FF:FE33:3333Src:
Routeur IPv6 Adr., MTU,
MTU,
Dest:
MAC:
00-AA-00-CC-CC-CC
Prfixes
Prfixes
Target:
Option:

30

Options Type: 133

00-AA-00-AA-AA-AA
Vert Adr. MAC
33-33-00-00-00-02
Routeur Multicast
FE80::2AA:FF:FE11:1111
Vert Adr. IPv6
FF02::2
Routeur Multicast Local
FE80::2AA:FF:FE22:2222
Routeur Adr. IPv6
Source
Source Link-Layer
Link-Layer Address
Address

Atttribution dadr. IPv6

Stateful
Manuelle

Configuration
gre

Refusez, la vie est trop courte!

DHCPv6
IPv6 Scope
Configuration IP additionnelle
DNS, etc

31

III Rsolution de Noms

Link-Local Multicast Name Resolution (LLMNR)

Domain Name Service (DNS)

32

Rsolution de Noms
Quest-ce qui se cache derrire un nom?

Sous-rseau local
Link-Local Multicast Name Resolution
Internet
Peer Name Resolution Protocol
DNSv6
AAAA records
Reverse pointer
33

Link-Local Multicast
Name Resolution
(LLMNR)

au DNS sont envoys en multidiffusion

Paquets
Mes
copainssimilaire
du quartier
FF02::1:3 sous IPv6
224.0.0.252 pour IPv4
Port UDP 5355 (peux aussi utiliser TCP)

Remplaces le service Browser

34

DNSv6
Notation AAAA

Les enregistrements IPv6 sont inscrit avec AAAA

Les enregistrements inverss son inscrit dans IP6.IANA
Notation inverse par chiffre hexadcimal
Par exemple, pointeur 2001:0DB8:DADA::BEEF:1:
1.0.0.0.F.E.E.B.0.0.0.0.0.0.0.0.0.0.0.0.A:D:A:D.8.B:D.0.1.0.0.2.ip6.ar
pa. IN PTR

Le DNS essaiera de rpondre avec ladresse approprie

IPv6 or IPv4
37

Sommaire
Alors, a me sert quoi tout cela?

HomeGroup
DirectAccess
Peer-to-Peer Name Resolution (PPNR)
EasyConnect
People Near Me
Meeting Space (snif, snif, Vista )
Etc

38

IV Technologies de
Transition

Tunneling
ISATAP
6to4

39

Tunneling
Encapsuler un paquet IPv6 dans de lIPv4

IPv6 (inclus len-tte avec les adresses) est la

charge IPv4
IPv6 Extension
Extension
Type de paquet dfinit
comme
41 Protocol
pourData
indiquer
un
Unit
Header Header Header
paquet IPv6 encapsul

IPv4
Header

IPv6 ExtensionExtension
Protocol
IPv4 Protocol Data
Unit Data Unit
Header Header Header

40

ISATAP
Intra-Site Automatic Tunnel Addressing Protocol

But: Fournir un support aux applications IPv6 dans un rseau IPv4

Adresses IPv6 pour des htes IPv4
Lintranet IPv4 est prsent comme un seul segment
Adresse
IPv4

Interface ID:

::0:5EFE:w.x.y.z (adresse IPv4 prive)

::200:5EFE:w.x.y.z (adresse IPv4 publique)
Avec soit comme Network ID:
FE80::/64 Link-Local
Un prfixe annonc par un routeur ISATAP
Les paquets de/ ces adresses sont transports en IPv4
41

ISATAP
Attribution dadresses
192.168.41.30
FE80::5EFE:192.168.41.30
2001:DB8:0:7:0:5EFE:192.168.41.30
Annonce de Routeur
2001:DB8:0:7::/64
IPv6 Network
IPv4 Intranet

Routeur ISATAP

10.40.1.29
FE80::5EFE:10.40.1.29
2001:DB8:0:7:0:5EFE:10.40.1.29

42

IPv6 et ISATAP en Action!

Annonce du prfixe 2001:FEFE::/64 pour ISATAP

6to4
Utilisation et fonctionnement

But: Permettre des rseaux IPv6 de communiquer

au travers de lInternet IPv4
LInternet IPv4 est encapsul dans la plage
2002:WWXX:YYZZ::
6to4 Relay offre des adresses dans la plage
2002:WWXX:YYZZ::
des htes de lintranet IPv6
Bases sur ladresse IPv4 externe WW.XX.YY.ZZ
du relais 6to4
44

6to4
Attribution dadresses
FE80::CD87:5DD6:CF39:DD08
2002:836B:1759:5::1
Annonce de Routeur
2002:836B:1759:5::/64
Rseau IPv6

Adresse externe:
131.107.23.89
En Hex=
Relais 6to4 836B:1759
Internet IPv4

FE80::80D4:29C9:2B3C:A0E2
2002:836B:1759:5::2

45

V Dernires penses

Ressources
Arnaud
Marc

46

Resources
WWW.Microsoft.Com/IPv6
Introduction to IPv6 & IPv6 Transition
Technologies
MSPress Understanding IPv6, Second Edition,
Joseph Davies
Wikipedia

47

Dernires penses dArnaud

Non, une adresse IPv6 nest pas base sur

ladresse MAC de la carte!

Dsactiver IPv6 nacclre pas votre machine
IPv6 activ par dfaut nest pas dangereux pour la
sant
IPv6 nest pas plus secure quIPv4

48

Dernires penses de Marc

IPv6 est prvu pour des machines

Pas des tre humains!
IPv6 est finalis depuis 2006 mais
les choses changent entre les versions de Windows
Les technologies de transition
sont transitoires!
Vous stressez pas,
ce ne sont que des uns et de zros !
49