abdelhakim chattaoui - ccktest via similator gns3 formation exécution par phase test...
TRANSCRIPT
Déploiement d’IPv6 au niveau du Réseau National Universitaire
RNU
Abdelhakim Chattaoui
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 1
Plan Statistiques de déploiement de l’IPv6
Le protocole IPv6
Le Schéma de transition pour le déploiement de l’IPv6
Etude de faisabilité
Le plan de transition/déploiement de l’IPv6 au RNU
Etat d’Implémentation de l’IPv6 au niveau du RNU
Conclusion
08/03/2017 2Déploiement d'IPv6 au niveau du RNU 2017
08/03/2018 Déploiement d'IPv6 au niveau du RNU 2017 3
Source: https://www.google.com/intl/en/ipv6/statistics.html
Statistiques de déploiement de l’IPv6 Dans le monde
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 4
Source: https://www.google.com/intl/en/ipv6/statistics.html
Statistiques de déploiement d’IPv6 Dans le monde
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 5
Statistiques d’allocation de plages IPv6 en Afrique
Source: http://6spots.afrinic.net/
Statistiques d’adressage IPv6 en Afrique par république
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 6
Source: http://6spots.afrinic.net/
Histogramme annuel de l’allocation d’adresses IPv6 en Afrique
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 7
Source: http://6spots.afrinic.net/
Plan Statistiques de déploiement de l’IPv6
Le protocole IPv6
Le Schéma de transition pour le déploiement de l’IPv6
Etude de faisabilité
Le plan de transition/déploiement de l’IPv6 au RNU
Etat d’Implémentation de l’IPv6 au niveau du RNU
Conclusion
14/02/2018 8Déploiement d'IPv6 au niveau du RNU 2018
Le protocole IPv6 - Espace d’adressage
Espace d’adressage important IPv4 : 32 bits, soit 232 adresses = 4.3 109 = 4.3
milliards
IPv6 : 128 bits soit 2128 adresses = 344 1036 = 344 milliards de milliards de milliards de milliards
674 1015 adresses par mm² de la surface de la terre y compris les océans
Soit 674 000 000 000 000 000
14/02/2018 Stratégie de déploiement d'IPv6 au CCK 2018 9
Le protocole IPv6 – l’Entête Meilleure structure de l’en-tête : simplification pour un traitement plus rapide (taille fixe)
Entête IPv4 Entête IPv6
champ gardé d'IPv4 à IPv6
champ non conservé dans IPv6
changement de nom et position dans IPv6
nouveau champ dans IPv614/02/2018 Stratégie de déploiement d'IPv6 au CCK 2018 10
Le protocole IPv6 - Allocation d’adresses
2001 0410
ISP prefix
Site prefix
Subnet prefix
/32 /48 /64
Registry
/23
Interface ID
Le processus d'attribution a été récemment mis à jour par les registres:
IANA alloue à partir de 2001 :: / 16 aux registres régionaux (RIR)
Chaque allocation registre régional est un :: / 23
Allocations FAI à partir du Registre régional est un :: / 36 (affectation immédiate) ou :: / 32
(dotation initiale) ou plus court avec la justification
L'attente politique que d'un FAI attribue un préfixe :: / 48 à chaque client
Exemple : le bloc suivant a été attribué pour le CCK 2001:4350:ffff::/48
14/02/2018 Stratégie de déploiement d'IPv6 au CCK 2018 11
IPv6 reconnait 3 types d'adresses :
• L'adresse UNICAST : elle correspond à une interface.
Le paquet sera remis à une et une seule interface.
• L'adresse MULTICAST : elle correspond à un ensemble d'interfaces.
Le paquet sera remis à toutes les interfaces qui peuvent être n'importe où sur
l'Internet.
une interface peut rejoindre un groupe ou le quitter.
• L'adresse ANYCAST : elle correspond à un ensemble d'interfaces mais le paquet
n'est délivré qu'à une seule interface (la plus proche en général).
Elle permet d'obtenir une information détenue par plusieurs interfaces
(routeurs par exemple).
Note : Le BROADCAST d'IPv4 disparaît dans IPv6.
14/02/2018 Stratégie de déploiement d'IPv6 au CCK 2018 12
Le protocole IPv6 – Type d’adresses
Le protocole IPv6 – préfixe
Type d'adresses IPv6
Préfixe Description
::/8 Adresses réservées
::1/128 Adresses Loopback
2000::/3
(2000-3FFF)
Adresses unicast
routables sur Internet
fe80::/10 Adresses liens locaux
ff00::/8 Adresses multicast
Certains préfixes d'adresses IPv6 jouent des
rôles particuliers :
14/02/2018 Stratégie de déploiement d'IPv6 au CCK 2018 13
14/02/2018 Stratégie de déploiement d'IPv6 au CCK 2018 14
14/02/2018 Stratégie de déploiement d'IPv6 au CCK 2018 15
14/02/2018 Stratégie de déploiement d'IPv6 au CCK 2018 16
https://www.afrinic.net/
STATISTIQUES D’ADRESSAGE IPv4 CHEZ L’AFRINIC
14/02/2018 17Déploiement d'IPv6 au niveau du RNU 2018
https://www.afrinic.net/en/services/statistics/ipv4-exhaustion
14/02/2018 18Déploiement d'IPv6 au niveau du RNU 2018
https://www.afrinic.net/
Quel est le problème ?
14/02/2018 19Déploiement d'IPv6 au niveau du RNU 2018
https://
Quel est le problème ?
14/02/2018 20Déploiement d'IPv6 au niveau du RNU 2018
https://www.afrinic.net/
Plan Statistiques de déploiement de l’IPv6
Le protocole IPv6
Le Schéma de transition pour le déploiement de l’IPv6
Etude de faisabilité
Le plan de transition/déploiement de l’IPv6 au RNU
Etat d’Implémentation de l’IPv6 au niveau du RNU
Conclusion
14/02/2018 21Déploiement d'IPv6 au niveau du RNU 2018
Le Schéma de transition pour le déploiement de l’IPv6 dans le RNU
Etude de
faisabilité
« Quels sont
les objectifs?»
Plan de
déploiement «Comment les
implémenter? »
Evaluation si l’objectif
est atteint ?« Quel changement à faire ?»
Projet exécutables •Architecture détaillée
•Configuration
•Script d’exécution
•Planification
•Allocation de ressources
•Plan de retour
14/02/2018 22Déploiement d'IPv6 au niveau du RNU 2018
Plan Statistiques de déploiement de l’IPv6
Le protocole IPv6
Le Schéma de transition pour le déploiement de l’IPv6
Etude de faisabilité
Le plan de transition/déploiement de l’IPv6 au RNU
Etat d’Implémentation de l’IPv6 au niveau du RNU
Conclusion
14/02/2018 23Déploiement d'IPv6 au niveau du RNU 2018
Etude de faisabilité: pour déploiement de l’IPv6 au niveau du RNU Quel est le problème?
L’évaluation :
des changements
des standards
des constructeurs / vendeurs
du risque
des coûts
des temps
14/02/2018 24Déploiement d'IPv6 au niveau du RNU 2018
Quel est le problème ?
L’IPv6 n’est pas un objectif mais une solution potentielle et une urgence à un problème actuel.
Quelles sont les problèmes?
Epuisement d’adresses IPv4 dans le monde!!!
Trop de Segmentation du réseau et augmentation de
la taille de la table de routage
Mobilité réduite
Sécurité du protocole IPv4 non native
Existe-t-il des solutions alternatives?
Mécanisme du NAT
Résumé des tables de routages
Implémentation des composantes de sécurité au niveau du protocole IPv4
Les solutions sont partielles
14/02/2018 25Déploiement d'IPv6 au niveau du RNU 2018
Quel est le problème ?
Critères de choix de la solution: Coût d’implémentation réduit
Maturité technologique confirmée
Expertise locale des employés : acquise pour certains
Expertise sous-traitée : avec Afrinic, ATI, ICANN, … etc
Support matériel et logiciel de l’IPv6
Décision prise => Déployer le protocole IPv6 au niveau du RNU touten assurant l’automatisation de déploiement, la sécurité, la mobilité et la fiabilité.
14/02/2018 26Déploiement d'IPv6 au niveau du RNU 2018
L’évaluation des changements Quoi changer?
Les réseaux Le protocole de routage Les systèmes
Facteurs à considérer: Peering externe ( ATI est en IPv6 ready) L’opérateur TT est en IPv4 only Nouveaux logiciels et matériels à acquérir Mise à niveau des matériels et logiciels Configurations des systèmes existants Education et formation du personnel technique
14/02/2018 27Déploiement d'IPv6 au niveau du RNU 2018
L’évaluation des standards, constructeurs/vendeurs, risques, coût, temps
L’évaluation du risque sur le réseau et les systèmes
Les risques (perturbation de services, dégradation de performances, vulnérabilités liées au protocole IPv6, etc…)
Les contrôles et l’’atténuation des risques
Des problèmes résolus: support des vendeurs, standards, coûts
D’autres problèmes persistants: interopérabilité, dépendance avec l’Opérateur et Upstream provider, etc…
L’évaluation des coûts
L’évaluation du temps nécessaire
Temps de formation
Temps d’acquisition
Temps d’implémentation/test et validation
14/02/2018 28Déploiement d'IPv6 au niveau du RNU 2018
Comprendre et accepter le risque du changement
Chaque changement dans le réseau /les systèmes et les services Internet créera un risque!!!!!
Mais quand on estime le risque et quand on le comprend
on pourra l’atténuer
14/02/2018 29Déploiement d'IPv6 au niveau du RNU 2018
Plan Statistiques de déploiement de l’IPv6
Le protocole IPv6
Le Schéma de transition pour le déploiement de l’IPv6
Etude de faisabilité
Le plan de transition/déploiement de l’IPv6 au RNU
Etat d’Implémentation de l’IPv6 au niveau du RNU
Conclusion
14/02/2018 30Déploiement d'IPv6 au niveau du RNU 2018
Le Schéma de transition pour le déploiement de l’IPv6 dans le RNU
Etude de
faisabilité
« Quels sont les
objectifs?»
Plan de
déploiement «Comment les
implémenter? »
Evaluation si l’objectif
est atteint ?« Quel changement à faire ?»
Projets exécutables •Architecture détaillée
•Configuration
•Script d’exécution
•Planification
•Allocation de ressources
•Plan de retour
14/02/2018 31Déploiement d'IPv6 au niveau du RNU 2018
Plan de déploiement de l’IPv6 au RNU Inventaire
Plan d’adressage IPv6
Formation et acquisitions de compétences
Méthodologie
14/02/2018 32Déploiement d'IPv6 au niveau du RNU 2018
Inventaire réseaux et systèmes Routeurs et switchs cores:
- Routeurs frontaux avec le Upstream provider (ATI): adressage IPv6, routage BGP, AS number
- Routeurs frontaux avec l’Opérateur TT au Kasbah: adressage IPv6, Tunnel GRE, routage OSPF
- FW au Kasbah: adressage, routage , policy
- Core switch et FW POP au CCK Manouba: adressage IPv6, routage, Tunnel, politique d’accès,
Systèmes de sécurité :
- IPS/IDS, WAF, caméra, control d’accès, authentification, solutions antivirales, VPN-SSL
Systèmes d’exploitation
- Unix, Linux (les différentes distributions), Solaris, Windows
Systèmes / applications de gestion :
- SGBD (SQL, MYSQL), solution de gestion des points d’accès WiFi, load balancing, Pointeuse
Systèmes périphériques:
- Fax, imprimantes
Systèmes d’authentification:
- LDAP, Radius, identité fédéré
Services à usage PUBLIC:
- accès Web (HTTP, HTTPS) et Web services, transfert de fichiers (FTP, SFTP), interfaçage avec la passerelle de paiement électronique, résultat par SMS, résolution DNS, accès à la messagerie par Webmail et clients mail (SMTP, SMTPS, IMAPS, POPS, POP), VisioConférence, grid computing
Systèmes backoffice:
- archivage, backup, sauvegarde, monitoring, API , statistiques
14/02/2018 33Déploiement d'IPv6 au niveau du RNU 2018
Plan d’adressage IPv6 Bloc IPv6 : 2001:4350:ffff::/48 (ATI)
Bloc IPv6: 2C0F:ZZZZ::/32 (AFRINIC)
Modèle Hiérarchique selon les régions (universités), Sous-région/Site (différentes institutions),
Extensible
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 34
Formation et acquisition de compétences Qui devra être formé:
Architecte réseau et sécurité
Les administrateurs des systèmes et services
Comment la formation se déroule:
Auto-Développement
Programme interne
Formation sous traitée
Lab de test recommandé
14/02/2018 35Déploiement d'IPv6 au niveau du RNU 2018
Méthodogie Approche core-to-edge
Core en premier lieu
Systèmes et services en deuxième lieu
Implémentation doit être incrémentale Test via Similator GNS3
Formation
Exécution par phase
Test d’implémentation , site pilote, généralisation
Vérification et Validation
Monitoring et Suivi
14/02/2018 36Déploiement d'IPv6 au niveau du RNU 2018
Le Schéma de transition pour le déploiement de l’IPv6 dans le RNU
Etude de
faisabilité
« Quels sont
les objectifs?»
Plan de
déploiement «Comment les
implémenter? »
Evaluation si l’objectif
est atteint ?« Quel changement à faire ?»
Projet exécutables •Architecture détaillée
•Configuration
•Script d’exécution
•Planification
•Allocation de ressources
•Plan de retour
14/02/2018 37Déploiement d'IPv6 au niveau du RNU 2018
Plan d’implémentation Etat d’implémentation de l’IPv6 au niveau du RNU
Date majeure de réalisation
Formations et tests réalisés
Architecture du backbone du CCK en IPv6
Prochaines étapes
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 38
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 39
Etat d’Implémentation de l’IPv6 au niveau du RNU Préparation d’un plan d’adressage IPv6: par PoP, par Université,
par Institution Technologies choisies
Dual Stack (cohabitation des deux protocoles IPv6 et IPv4) Technique de tunneling (GRE) dans le backbone de l’opérateur qui est
uniquement IPv4 Conserver les protocoles de routage utilisés (statique, OSPFv3, BGPv4)
Migration des routeurs/FW du core au niveau de la Kasbah Migration des routeurs/FW à Manouba Configuration du routeur Institution et test de fonctionnement
du site client ISET Charguia : routage et accès vers un site web http://jst.tn
Monitoring et suivi du trafic IPv6 (lenteur, blocage, plan de retour)
14/02/2018 40Déploiement d'IPv6 au niveau du RNU 2018
Evolution de l’IPV6 dans l’RNU Le 12 février 2018: réalisation du deuxième site institutionnel:
ISET Nabeul
Le 25 mars 2016: réalisation du premier site pilote institutionnel:
Test de bout en bout avec une institution universitaire ISET Charguia :
Accès depuis le réseau local du CCK et de ISET-Charguia vers Internet depuis un poste de travail en IPV6
Test de navigation vers Internet
Accès en HTTP vers un site Web de JST Iset Charguia ayant une adresse IPv6 et hébergé sur un server web: http://jst.tn
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 41
Evénements Liés à l’IPv6 Le 8 Mars 2017 : Vers une feuille de route pour l’IPv6 en
Tunisie
Le 7 avril 2016 : Workshop sur le déploiement de l’IPv6.
Le 15 et 16 avril 2015: Workshop IPv6 For ISP organisé par CCK et ISET Charguia: adressage IPv6, routage IPv6, AS numbers, BGP basics
En 2016, 2015, 2012: Encadrement et Test d’IPv6 dans le cadre de stage PFE des élèves ingénieurs
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 42
43
BB –TT
EL Kasbah
CCK
POP El
Manar
CCK
POP Manouba
CCK
POP Kasbah
STM1 (155 Mbps)
(backup link)1Gbps
1Gbps
POP CCK
Ouerdia
Backup
ATI Ouerdia
ATI El Kasbah
Internet
BB-TT
Ouerdia
Institutions
FO 20-100Mb/s
ADSL 20Mb/s
FO 20-100Mb/s
ADSL 20Mb/s …
…
Architecture du Backbone du CCK
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018
10Gbps
10Gbps
10Gbps
10Gbps
10Gbps
Institutions
44
BB –TT
EL kasbah
CCK
POP Manouba
POP CCK
Ouerdia
Backup POP
Kasbah
1Gbps
CCK
POP Kasbah
ATI ELKasbah
ATI Ouerdia
Internet
FO 20-100Mb/s
ADSL 20Mb/s
10Gbps
…
1Gbps
Architecture du Backbone du CCK en IPv6 en
2016
14/02/2018 déploiement d'IPv6 au CCK 2018
CCK STAFF
CCK DMZ
ISET
Chargua
http://jst.tn/
Institutions
10Gbps
10Gbps
10Gbps
Prochaines étapes Généralisation du déploiement pour d’autres
Institutions et universités
Migrer certains services publics :
Le site web du CCK http://www.cck.rnu.tn
Le serveur de messagerie
D’autres services
Sécurité
Monitoring
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 45
Sites web de références
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 46
https://www.afrinic.net/https://ipv6.he.net http://www.internetsociety.org/deploy360/fr/ statistiques-ipv6/ http://ipv6forum.com/ https://www.tutorialspoint.com/ipv6/ https://www.vyncke.org/ipv6status/ http://www.rmv6tf.org http://www.ipv6.test-ipv6.com
Conclusion IPv6 une solution et une nécessité immédiate
On devra suivre les nouvelles technologies
La transition vers IPv6 devra être progressive
La transition peut durer des années mais il faut démarrer
Mettre quelque chose de fonctionnel en IPv6 vaut mieux que de perdre un temps fou dans la planification : celui qui ne tente rien n’aura rien !!!!
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 47
14/02/2018 Déploiement d'IPv6 au niveau du RNU 2018 49