Network IPv6::/104 multicast with locals links - Annonce NDP/RA

Tags: #<Tag:0x00007fc9dee128f0> #<Tag:0x00007fc9dee12738>

Bonjour,

Suite à cet article paru dans Developpez : IPv6 est un désastre, mais nous pouvons y remédier », le retour d’expérience d’un ingénieur DevOps. L’IPv6, serait une révolution incontournable, mais mal préparée

Pour Mathew Duggan, l’IPv6 est un désastre, mais « il faut le faire quand même, parce qu’il n’y a pas d’autre choix. » Il appelle les développeurs et les fournisseurs à se former et à se préparer à l’IPv6, puisqu’il s’agit d’une évolution inévitable.
Sources : Mathew Duggan’s blog post , Apnic

Je voudrais en connaître plus sur le multicast IPv6::/104 (pour comprendre sur un réseau plus petit « IPv6::/104 » que le réseau multicast « IPv6::/64 »).

Plus simple pour « commencer », avant de m’éparpiller sur de plus grand réseaux IPv6.

# ------------------------------------
# Network map : 2607:5300:60:9389::/64
# Network range : 
# 2607:5300:0060:9389:0000:0000:0000:0000-
# 2607:5300:0060:9389:ffff:ffff:ffff:ffff
# Calculator IPv6 : http://www.gestioip.net/cgi-bin/subnet_calculator.cgi
# ------------------------------------
# LAB3W
# brige0 <-> WAN
2607:5300:60:9389:0000:0000:0000:0001 / 128 # (l'adresse IPv6 de sortit/d'entrée pour l'Internet)
2607:5300:60:9389:00ff:00ff:00ff:ffff / 64 # (multicast) RADVD par ici ?? 
# ------------------------------------
# brige1 <-> LB1 (vm)
2607:5300:60:9389:eeee:eed1:00ff:ffff / 100 # RADVD par ici ?? 
# brige2 <-> LB2 (vm)
2607:5300:60:9389:eeee:eed2:00ff:ffff / 100 # RADVD par ici ?? 
# ------------------------------------

# ------------------------------------
# LB1 (vm)
# ------------------------------------
# brige0
2607:5300:60:9389:eeee:eed1:ff00:0001 / 104 (multicast)

# ------------------------------------
# brige1 <-> CTs
2607:5300:60:9389:eeee:ee01:0000:ffff / 112

# LB1 Containers LXC
2607:5300:60:9389:eeee:ee01:0000:1000 / 112 # (name server 1) - Pour commencer, j'ai configuré "1000" sur le bloc IPv6::/ "112" -> "1fff" pour le réseau (lui-même) "2607:5300:60:9389:eeee:ee02:0000:0000/112", pour que cela soit plus rapide.
2607:5300:60:9389:eeee:ee01:0000:0010 / 112 # (web server 1)
2607:5300:60:9389:eeee:ee01:0000:0dc1 / 108 # (domain controler 1) - L'AD (imaginons, un Active Directy, qui pourrait servir pour d'autres réseaux comme "2607:5300:60:9389:eeee:ee01:0000:0fff/120" ou encore "2607:5300:60:9389:eeee:ee01:beef:0fff/108" ou encore "2607:5300:60:9389:eeee:ee01:beef:c7a4/124")
2607:5300:60:9389:eeee:ee01:0000:0db1 / 112 # (data bases 1)

# ------------------------------------

# ------------------------------------
# LB2 (vm)
# ------------------------------------
# brige0
2607:5300:60:9389:eeee:eed2:ff00:0001 / 104 (multicast)

# ------------------------------------
# brige1 <-> CTs
2607:5300:60:9389:eeee:ee02:0000:ffff / 112
# LB2 Containers LXC
2607:5300:60:9389:eeee:ee02:0001:1000 / 118 ? # Service Location Protocol (SLP) - (name server 2)
2607:5300:60:9389:eeee:ee02:0000:0010 / 112 # (web server 2)
2607:5300:60:9389:eeee:ee02:0000:0dc2 / 108 # (domain controler 2) - L'AD (imaginons, un Active Directory, qui pourrait servir pour d'autres réseaux comme "2607:5300:60:9389:eeee:ee02:0000:0fff/120" ou encore "2607:5300:60:9389:eeee:ee02:beef:0000/108" ou encore "2607:5300:60:9389:eeee:ee02:beef:c7a4/124")
2607:5300:60:9389:eeee:ee02:0000:0db2 / 112 # (data bases 2)

# ------------------------------------

Ci-dessus, une présentation avec ma configuration d’adresses IPv6 Unicast (publique et accessible pour le « broadcast » IPv6 LAN.

Pour cette IP, j’ai une question :

2607:5300:60:9389:eeee:ee02:0001:1000 / 118 # Service Location Protocol (SLP) + (name server 2)

Certes, cette IP/serveur fait partit du « noeud » du réseau multicast / 104 / 64 mais avec une adresse « 02:ff01:1000/118 » (01:0000-01:13ff / 118) alors que mon /112 est un autre réseau « 02:ff00:000/112 » (00:0000-ffff / 112), peuvent t’il communiquer ?

Je souhaite lier ces machines automatiquement au WAN, d’une machine à l’autre avec des adresses de liens locals « fe80::/10 » pour elles-mêmes et ajouter les gateways.

En clair, je souhaite créer un « routeur » IPv6, sur ma machine connectée à Internet, pour qu’elle voit, et créée des liens locals et des passerelles sur tous mes sous réseaux, et sous sous réseaux.

Plus clair, je souhaite avoir qu’une et une seule adresse IPv6 qui sorte sur Internet - celle-ci : 2607:5300:60:9389:0:0:0:0001/128 et avoir des sous réseaux et des sous-sous réseaux cachés, donc, indisponible de l’internet en « entrée » mais avec lesquelles je puisse naviguer sur la toile.

Par exemple :

# Ferme le "routeur association" pour la carte connectée au ISP (OVH) et désactive l'autoconfiguration.
sysctl net.ipv6.conf.vmbr0.forwarding = 1
sysctl net.ipv6.conf.vmbr0.autoconf = 0
sysctl net.ipv6.conf.vmbr0.accept_redirects = 0
sysctl net.ipv6.conf.vmbr0.accept_ra = 0
sysctl net.ipv6.conf.vmbr0.proxy_ndp = 0
sysctl net.ipv6.conf.vmbr0.accept_source_route = 0

# Sur mes cartes connectées aux machines
sysctl net.ipv6.conf.vmbr1.forwarding = 1 # transfert des paquets entre cartes réseaux
sysctl net.ipv6.conf.vmbr1.autoconf = 0
sysctl net.ipv6.conf.vmbr1.accept_redirects = 0
sysctl net.ipv6.conf.vmbr1.accept_ra = 2 # ici j'ai mis "2" puisque, j'ai activé le "forwarding" entre les cartes réseaux
sysctl net.ipv6.conf.vmbr1.proxy_ndp = 1 # activer les annonces de recherches d'ordi (carte réseaux) pour créer des liens entre eux/elles.
sysctl net.ipv6.conf.vmbr1.accept_source_route = 0

Note de Moi-même 18h40 GMT+2 : il faut peut-être que j’active « net.ipv6.conf.all.autoconf=1 » sur toutes mes cartes réseaux - je vais tester :slight_smile:

J’arrive bien à faire des liens « fe80::/64 » , sur les interfaces/cartes réseaux en lien direct et gateway « fe80::/64 » ; donc, des containers, et des machines (virtuelle), mais pas sur les cartes/interfaces « suivantes », des sous réseaux (pour les containers des autres machines, ou autres appareils connectés à elles) ; Et cela sans avoir besoin de "réinstaller d’autres démons RADvD sur chacunes de ces machines. Ce serait trop la galère.

Je crois que c’est sûrement l’option « AdvRASrcAddress » de RADvD, mais… :confused:

Pour cela j’utilise RADvD, en activant le NDP (Neighbor Discovery Protocol, protocole de découverte de voisins) sur les cartes, les Sollicitation du routeur (RS) et l’association RA (Routeur Association).

Qui connait RADvD (Router Advertisement Daemon, démon d’annonces de routeurs), et ICMPv6 ( Internet Control Message Protocol, protocole de messages de contrôle Internet) ?

Je ne souhaite pas avoir de serveur DHCPd (Dynamic Host Configuration Protocol, protocole de configuration dynamique de carte réseaux) version 6 - Pas besoin de configuration d’adresse IPv6 dynamique unicast (publique) ni d’adresse privée ULA, Unique local address).

Mes demandes de réflexions :

  1. Mes commentaires sur la « map réseaux » sont-ils plausibles ?
  2. Comment créer des liens, sur des liens, et encore des liens dynamiquement ?

Je sais que c’est possible :slight_smile:

J’ai déjà vu, çà, chez Online.net, ils font comme çà, dès qu’une machine (et cela même derrière un lien PPP IPsec), juste en configurant la passerelle du FAI/ISP (online.net) sur cette machine et en ajoutant une route IPv6 « 2000::/3 » pour Internet, j’arrivais à surfer en IPv6 depuis mes sous-sous réseaux ; sans ajouter des adresses IPv6 proxy de « neigh » (voisin) comme on doit le faire chez OVH pour pouvoir surfer, être connecté à Internet depuis un sous réseau IPv6 de leur bloc IPv6.

Je souhaiterais, avoir UNE est UNE seule paserelle pour tout mon réseau IPv6 « privé, local, vpn – ULA, et Unicast) » sans « attraper/toucher » à la passerelle de mon ISP (Internet Service Provider) OVH – pour qu’il ne voit rien (Le FAI verrait seulement la machine connectée à lui), dirais-je.


Ce serait préférable et logique de configurer RADvD sur l’interface « vmbr0 », le bloc « ::/64 » qui pourrait / devrait « commencer à créer des liens (ils sont créés oui) » sur les bridges « br1 » et « br2 », s’associer avec le routeur « global », et envoyer des annonces pour trouver les voisins, et les voisins des voisins.


Wikipédia :


RADvD prend également en charge les options recursive DNS server (RDNSS) et DNS search list (DNSSL) de NDP publiées dans la RFC 6106.

Configuration automatique d’une adresse IPv6 :

Sans état (Stateless Address Autoconfiguration, SLAAC) :

  • autoconfiguration avec tirage pseudo aléatoire, l’adresse change dans le temps (RFC 4941),
  • autoconfiguration basée sur une clé secrète et sur le préfixe réseau, ne dévoile pas l’adresse MAC et est stable pour chaque préfixe réseau, c’est l’usage recommandé pour une adresse fixe (RFC 8064, RFC 7217),
  • autoconfiguration basée sur l’adresse MAC (EUI-64), adresse stable mais machine facilement identifiable, usage déconseillé par l’IETF depuis 2017 (RFC 8064, RFC 4862),
  • utilisation d’adresses générées cryptographiquement (CGA, RFC 3972), qui lient l’adresse à la clé publique du client et qui peuvent être utilisées par SEND (SEcure Neighbor Discovery protocol).

Avec état :

  • attribution par un serveur DHCPv6 (RFC 3315).

:roll_eyes:

IANA : IPv6 Multicast Address Space Registry (Last Updated : 2023-08-21) et j’oubliais Internet Control Message Protocol version 6 (ICMPv6) Parameters.

J’ai une question en passant, sur la page d’adressage IPv6 du dessus, que signifie cette ligne ?

FF0X:0:0:0:0:0:0:101 Network Time Protocol (NTP) [RFC1119][RFC5905][David_Mills]

Que tous les serveurs NTP (Network Time Protocol ) doivent avoir « cette » adresse IPv6, la « 0101 » peut importe le bloc du dessus, tout les blocs (possible), n’importe quel bloc ?
Et cela pour que le NDP (Neighborhood :wink: Dicovery Protocol ), la découverte du réseau « global » ; et que toutes les applications qui devraient avoir besoin de contacter un « service du temps », puissent le trouver. C’est bien çà, nous sommes d’accord ?

Réponse :

La « signification » d’une adresse de diffusion groupée (multicast) allouée de façon permanente est indépendante de la valeur de la portée. Par exemple, si « groupe de serveurs NTP » reçoit une adresse de diffusion groupée permanente avec un identifiant de groupe de 101 (hex), alors :

  • FF01:0:0:0:0:0:0:101 signifie tous les serveurs NTP sur la même interface (c’est-à-dire le même nœud) que l’envoyeur,
  • FF02:0:0:0:0:0:0:101 signifie tous les serveurs NTP sur la même liaison que l’envoyeur,
  • FF05:0:0:0:0:0:0:101 signifie tous les serveurs NTP sur le même site que l’envoyeur,
  • FF0E:0:0:0:0:0:0:101 signifie tous les serveurs NTP dans l’Internet.

CF : RFC4291 section 2.7. Multicast Addresses (FR)

Donc, il me semble bien que les serveurs NTP (Network Time Protocol) doivent obligatoirement avoir cette « IP », qu’on appelle « un identifiant de groupe ».

Depuis quelque part sur mon site 01 :

ping ff05::101 pour trouver les serveurs NTP de mon site 01
ping ff08::101 pour trouver les serveurs NTP de mon organisation (plusieurs sites locals liés entre eux).
ping ff0e::101 pour trouver les serveurs NTP internet ? – il faut être en haut de la chaine style taper le ping depuis ce serveur « 2001:db8::1 » par exemple :wink:

Çà doit être çà :smiley:


J’ajoute ces pages de :sparkling_heart: Stéphane Bortzmeyer :

Blog de Stéphane Bortzmeyer : RFC 4291 : IP Version 6 Addressing Architecture !
Blog de Stéphane Bortzmeyer : RFC 1035 : Domain names - implementation and specification

Blog de Stéphane Bortzmeyer : RFC 7772 : Reducing energy consumption of Router Advertisements

Lorsque des machines parlent IPv6 , elles reçoivent fréquemment des messages RA ( Router Advertisment ), que les routeurs émettent souvent avec trop d’enthousiasme. […]
À l’époque où IPv6 avait été conçu, on ne pensait pas vraiment à l’ Internet des Objets , […] Un RA ( Router Advertisement ) peut être sollicité ou pas (RFC 4861). Un RA sollicité est typiquement dû à l’arrivée d’une machine dans le réseau. Elle émet alors un RS ( Router Solicitation ) et le ou les routeurs, en le recevant, répondent par un RA. […] ce RA est envoyé à une adresse multicast, ce qui fait que toutes les machines le recevront et devront le traiter. […]
La possibilité de répondre aux RS par un RA unicast est autorisée par le RFC 4861 mais ce n’est pas obligatoire. […]
Enfin, la section 8 du RFC, portant sur la sécurité, rappelle qu’un routeur méchant peut ignorer ces conseils et envoyer beaucoup de RA exprès pour vider les batteries. Il faut donc prendre des mesures contre de tels routeurs (par exemple celle du RFC 6105).

:wink:

Et pour vous aider à bien travailler, je vous ajoute cette page, sur le blog de Stéphane Bortzmeyer, Considerations for Transitioning Content to IPv6 et Le cours « Hacking IPv6 » :wink: :grin: :relaxed:

Liens personnels

Comment-faire un réseau IPv6 ? address category ¿Howto?
Configuration d’IPV6 avec RADVD / DHCPDv6 ¿Howto?

  • radvd.conf - Traduction française du fichier de configuration du démon d’annonces du routeur radvd
  • dhcpd.conf - Traduction française du fichier de configuration du serveur dhcpd

Mon LAC / SWAN :-: xLayer 2 tunneling protocol Access Concentrator / Secure Wide Area Networks actuel :wink:

J'aime bien celle-ci..

Mon concentrateur IPSec/xL2TP « xwan.ipv10.net » et les inter-sites sécurisés - « swan.XXX.ipv10.net » :slight_smile:

root@lab3w:~ # host xwan.ipv10.net
xwan.ipv10.net has IPv6 address 2607:5300:60:9389:0:1:0:137
xwan.ipv10.net has IPv6 address 2607:5300:60:9389:0:2:0:137
xwan.ipv10.net has IPv6 address 2607:5300:60:9389:0:3:0:137
root@lab3w:~ #
root@lab3w:~ # host 2607:5300:60:9389:0:1:0:137
7.3.1.0.0.0.0.0.1.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer xwan.ipv10.net.
root@lab3w:~ # host 2607:5300:60:9389:0:2:0:137
7.3.1.0.0.0.0.0.2.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer xwan.ipv10.net.
root@lab3w:~ # host 2607:5300:60:9389:0:3:0:137
7.3.1.0.0.0.0.0.3.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer xwan.ipv10.net.
root@lab3w:~ #
root@lab3w:~ #
root@lab3w:~ # host swan.std.ipv10.net
swan.std.ipv10.net has IPv6 address 2607:5300:60:9389:0:1:0:1
root@lab3w:~ # host 2607:5300:60:9389:0:1:0:1
1.0.0.0.0.0.0.0.1.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer swan.std.ipv10.net.
root@lab3w:~ #
root@lab3w:~ # host swan.nice.ipv10.net
swan.nice.ipv10.net has IPv6 address 2607:5300:60:9389:0:2:0:1
root@lab3w:~ # host 2607:5300:60:9389:0:2:0:1
1.0.0.0.0.0.0.0.2.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer swan.nice.ipv10.net.
root@lab3w:~ #
root@lab3w:~ # host swan.germ.ipv10.net
swan.germ.ipv10.net has IPv6 address 2607:5300:60:9389:0:3:0:1
root@lab3w:~ # host 2607:5300:60:9389:0:3:0:1
1.0.0.0.0.0.0.0.3.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer swan.germ.ipv10.net.
root@lab3w:~ #

Pour le fun :

root@lab3w:~ # host swan.nice.ipv01.net
ipv01.net has DNAME record ipv10.net.
swan.nice.ipv01.net is an alias for sWAn.NIcE.ipv10.net.
sWAn.NIcE.ipv10.net has IPv6 address 2607:5300:60:9389:0:2:0:1

Merci.
Romain.

J’ajoute cette ligne :

FF0X:0:0:0:0:0:1:1000/118 Service Location, Version 2 [RFC3111]

Le Service Location Protocol (SLP) fournit un cadre évolutif pour la découverte et la sélection de services réseau. Grâce à ce protocole, les ordinateurs utilisant des réseaux IP n’ont plus besoin d’une configuration statique des services réseau pour les applications réseau. Ceci est particulièrement important à mesure que les ordinateurs deviennent plus portables et que les utilisateurs sont moins tolérants ou moins capables de répondre aux exigences de l’administration réseau.

A oui, c’est :

Le Service Location Protocol est un « protocole de découverte de services » qui permet aux ordinateurs et autres dispositifs de trouver des services dans un réseau local sans aucune configuration préalable.

Calculator IP : IPv4/IPv6 subnet calculator and addressing planner :

IP address ff00::1:1000/118
type MULTICAST (reserved [rfc4291][IANA])
network ff00::1:1000
Prefix length 118
network range ff00:0000:0000:0000:0000:0000:0001:1000-ff00:0000:0000:0000:0000:0000:0001:13ff
total IP addresses 1024
IP address (full) ff00:0000:0000:0000:0000:0000:0001:1000
integer ID 338953138925153547590470800371487936512
hexadecimal ID 0xff000000000000000000000000011000
dotted decimal ID 255.0.0.0.0.0.0.0.0.0.0.0.0.1.16.0
base 85 ID =sn{MV>qN+t=l9x}vXVh
binary ID 11111111000000000000000000000000…
ip6.arpa Format 0.0.0.1.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.f.ip6.arpa
MS ipv6.literal.net ff00--1-1000.ipv6-literal.net

Et quand il y a écrit :

Type → MULTICAST (reserved [rfc4291][IANA]) - Est-ce que cela signifie qu’elle permettrait à l’IANA (Internet Assigned Numbers Authority, l’autorité d’assignation des numéros internet) d’interrogerait sur cette adresse, le protocole (SLP) pour chercher qui est connecté - En espérant que l’administrateur ai laissé tout son parc disponible de l’Internet et en ai créait un, sur son réseau ?

Plus sérieusement, c’est important pour son « local » et pour les applications « matériels » et « logicielles » aussi !

:slight_smile:

J’ajoute ces lignes :

FF0X:0:0:0:0:0:0:FD All CoAP Nodes [RFC7252]
FF0X:0:0:0:0:0:0:FE All CoRE Resource Directories [RFC9176]

Je lis la RFC pour comprendre :wink:

Ce document spécifie les interfaces Web qu’un RD prend en charge pour les serveurs Web permettant de découvrir le RD et d’enregistrer, de maintenir, de rechercher et de supprimer des informations sur les ressources. De plus, de nouveaux attributs cibles utiles en conjonction avec un RD sont définis. Bien que les exemples de ce document montrent l’utilisation de ces interfaces avec le protocole d’application contraint (CoAP) [RFC7252], elles peuvent être appliquées de manière équivalente à HTTP [RFC7230].

Les RD serait encapsulés et locales, transmisent et mise à jour en RESTfull…

Blog Stéphane Bortzmeyer: RFC 7252 : Constrained Application Protocol (CoAP)


Et celle-ci :

FF02:0:0:0:0:0:0:E RSVP-ENCAPSULATION

RFC2746 : Fonctionnement de RSVP sur tunnels IP

2 → Link-Local scope (FF02::)
E → RSVP Encapsulation.

E sur 1 bit ou plusieurs bits – peut importe le bloc, ou le bit, je penserais.

:wink:

La calculatrice IPv6 : IPv4/IPv6 subnet calculator and addressing planner

Donc, sur un bloc multicast FF00:0000/104 ; celui-ci AB00:0000/104 pour l’exemple :

Original network
2607:5300:0060:9389:0000:0001:AB00:0000 /104 → X networks /XXX

Network range
De 2607:5300:0060:9389:0000:0001:AB00:0000 à 2607:5300:0060:9389:0000:0001:ABFF:FFFF

Exemple networks
2607:5300:0060:9389:0000:0001:AB00:0000 /104 → 16 networks /108
2607:5300:0060:9389:0000:0001:AB00:0000 /104 → 2 networks /105

Je choisis de configurer 2 réseaux (par block) les « 0-7 » et les « 8-f » :

  1. pour les adresses « plubliques » → les « 0-7 » → 2607:5300:0060:9389:0000:0001:AB00:0000/105
  2. pour les adresses « sécurisées » → les « 8-F » → 2607:5300:0060:9389:0000:0001:AB80:0000/105

Networks (2 total)
2607:5300:0060:9389:0000:0001:AB00:0000/105
2607:5300:0060:9389:0000:0001:AB80:0000/105

Original network
2607:5300:0060:9389:0000:0001:AB00:0000/105 → 8 networks /108

Networks (8 total)
2607:5300:0060:9389:0000:0001:AB00:0000/108
2607:5300:0060:9389:0000:0001:AB10:0000/108
2607:5300:0060:9389:0000:0001:AB20:0000/108
2607:5300:0060:9389:0000:0001:AB30:0000/108
2607:5300:0060:9389:0000:0001:AB40:0000/108
2607:5300:0060:9389:0000:0001:AB50:0000/108
2607:5300:0060:9389:0000:0001:AB60:0000/108
2607:5300:0060:9389:0000:0001:AB70:0000/108

Ces réseaux vont me servir à avoir mes IPv6 unicast publiques.

Original network
2607:5300:0060:9389:0000:0001:AB80:0000/105 → 8 networks /108

Networks (8 total)
2607:5300:0060:9389:0000:0001:AB80:0000/108
2607:5300:0060:9389:0000:0001:AB90:0000/108
2607:5300:0060:9389:0000:0001:ABa0:0000/108
2607:5300:0060:9389:0000:0001:ABb0:0000/108
2607:5300:0060:9389:0000:0001:ABc0:0000/108
2607:5300:0060:9389:0000:0001:ABd0:0000/108
2607:5300:0060:9389:0000:0001:ABe0:0000/108
2607:5300:0060:9389:0000:0001:ABf0:0000/108

Ces réseaux vont me servir à avoir mes IPv6 unicast sécurisées (les adresses pour les utilisateurs du réseau « privé »).


Les « 5 » correspondent au lien « site local »
Les « 8 » correspondent au lien « organisation »

Logiquement, si les liens sont en « f » ou « e » ils sont prioritaire aux liens « globals », les « 0 » puisqu’ils sont « réservés », ne s’ont pas définit, qu’il pourraient être facilement joingnable pour tous les réseaux du dessous.

Je vais créer sur ce site « 0001:AB » un sous sous-réseau ::/112 ce sera celui-ci, le « 00 », donc « 0001:AB00:0000 » qui contient toutes ces IPs « 0000-FFFF »


Original network
2607:5300:0060:9389:0000:0001:AB00:0000/108 → 2 networks /109

Je choisis de configurer 2 réseaux :

  1. pour les adresses « plubliques » → les « 0-7 » → 2607:5300:0060:9389:0000:0001:AB00:0000/109
  2. pour les adresses « sécurisées » → les « 8-F » → 2607:5300:0060:9389:0000:0001:AB08:0000/109

Networks (2 total)
2607:5300:0060:9389:0000:0001:AB00:0000/109
2607:5300:0060:9389:0000:0001:AB08:0000/109

Original network
2607:5300:0060:9389:0000:0001:AB00:0000/109 → 8 networks /112

Networks (8 total)
2607:5300:0060:9389:0000:0001:AB00:0000/112
2607:5300:0060:9389:0000:0001:AB01:0000/112
2607:5300:0060:9389:0000:0001:AB02:0000/112
2607:5300:0060:9389:0000:0001:AB03:0000/112
2607:5300:0060:9389:0000:0001:AB04:0000/112
2607:5300:0060:9389:0000:0001:AB05:0000/112
2607:5300:0060:9389:0000:0001:AB06:0000/112
2607:5300:0060:9389:0000:0001:AB07:0000/112

Ces réseaux vont me servir à avoir mes IPv6 unicast publiques.

Original network
2607:5300:0060:9389:0000:0001:AB08:0000/109 → 8 networks /112

Networks (8 total)
2607:5300:0060:9389:0000:0001:AB08:0000/112
2607:5300:0060:9389:0000:0001:AB09:0000/112
2607:5300:0060:9389:0000:0001:AB0a:0000/112
2607:5300:0060:9389:0000:0001:AB0b:0000/112
2607:5300:0060:9389:0000:0001:AB0c:0000/112
2607:5300:0060:9389:0000:0001:AB0d:0000/112
2607:5300:0060:9389:0000:0001:AB0e:0000/112
2607:5300:0060:9389:0000:0001:AB0f:0000/112

Ces réseaux vont me servir à avoir mes IPv6 unicast sécurisées (les adresses pour les utilisateurs du réseau « privé »).


Sur chaque réseau « ::/112 » on peut attribuer 65536 adresses IPv6.

Largement de quoi faire.

C’est trop grand, je créais d’autres sous-réseaux plus petits.

Donc, toujours pareil, par tranche de 16 (0123456789ABCDEF) diviser en 2 je continue à « imaginer » mes réseaux.


Original network
2607:5300:0060:9389:0000:0001:AB00:0000/112

Networks (2 total)
2607:5300:0060:9389:0000:0001:AB00:0000/113
2607:5300:0060:9389:0000:0001:AB00:8000/113

Je choisis de configurer 2 réseaux :

  1. pour les adresses « plubliques » → les « 0-7 » → 2607:5300:0060:9389:0000:0001:AB00:0000/113
  2. pour les adresses « sécurisées » → les « 8-F » → 2607:5300:0060:9389:0000:0001:AB00:8000/113

Original network
2607:5300:0060:9389:0000:0001:AB00:0000/113 → 8 networks /116

Networks (8 total)
2607:5300:0060:9389:0000:0001:AB00:0000/116
2607:5300:0060:9389:0000:0001:AB00:1000/116
2607:5300:0060:9389:0000:0001:AB00:2000/116
2607:5300:0060:9389:0000:0001:AB00:3000/116
2607:5300:0060:9389:0000:0001:AB00:4000/116
2607:5300:0060:9389:0000:0001:AB00:5000/116
2607:5300:0060:9389:0000:0001:AB00:6000/116
2607:5300:0060:9389:0000:0001:AB00:7000/116

Original network
2607:5300:0060:9389:0000:0001:ab00:8000/113 → 8 networks /116

Networks (8 total)
2607:5300:0060:9389:0000:0001:AB00:8000/116
2607:5300:0060:9389:0000:0001:AB00:9000/116
2607:5300:0060:9389:0000:0001:AB00:a000/116
2607:5300:0060:9389:0000:0001:AB00:b000/116
2607:5300:0060:9389:0000:0001:AB00:c000/116
2607:5300:0060:9389:0000:0001:AB00:d000/116
2607:5300:0060:9389:0000:0001:AB00:e000/116
2607:5300:0060:9389:0000:0001:AB00:f000/116

Sur chaque réseau « ::/116 » on peut attribuer 4096 adresses IPv6.

Par exemple pour le réseau : « AB00:0000/116 » :

Network range
De 2607:5300:0060:9389:0000:0001:AB00:0000 à 2607:5300:0060:9389:0000:0001:AB00:0fff

Je réduis encore, c’est encore trop grand.


Original network
2607:5300:0060:9389:0000:0001:AB00:0000/116

Networks (2 total)
2607:5300:0060:9389:0000:0001:AB00:0000/117
2607:5300:0060:9389:0000:0001:AB00:0800/117

Je choisis de configurer 2 réseaux :

  1. pour les adresses « plubliques » → les « 0-7 » → 2607:5300:0060:9389:0000:0001:AB00:0000/117
  2. pour les adresses « sécurisées » → les « 8-F » → 2607:5300:0060:9389:0000:0001:AB00:0800/117

Original network
2607:5300:0060:9389:0000:0001:AB00:0000/117 → 8 networks /120

Networks (8 total) → 8 networks /120
2607:5300:0060:9389:0000:0001:AB00:0000/120
2607:5300:0060:9389:0000:0001:AB00:0100/120
2607:5300:0060:9389:0000:0001:AB00:0200/120
2607:5300:0060:9389:0000:0001:AB00:0300/120
2607:5300:0060:9389:0000:0001:AB00:0400/120
2607:5300:0060:9389:0000:0001:AB00:0500/120
2607:5300:0060:9389:0000:0001:AB00:0600/120
2607:5300:0060:9389:0000:0001:AB00:0700/120

Original network
2607:5300:0060:9389:0000:0001:AB00:0800/117 → 8 networks /120

Networks (8 total) → 8 networks /120
2607:5300:0060:9389:0000:0001:AB00:0800/120
2607:5300:0060:9389:0000:0001:AB00:0900/120
2607:5300:0060:9389:0000:0001:AB00:0a00/120
2607:5300:0060:9389:0000:0001:AB00:0b00/120
2607:5300:0060:9389:0000:0001:AB00:0c00/120
2607:5300:0060:9389:0000:0001:AB00:0d00/120
2607:5300:0060:9389:0000:0001:AB00:0e00/120
2607:5300:0060:9389:0000:0001:AB00:0f00/120

Sur chaque réseau « ::/120 » on peut attribuer 256 adresses IPv6.

Ici, on commence à arriver à quelques choses de bien.


Original network
2607:5300:0060:9389:0000:0001:ab00:0000/120

Networks (2 total)
2607:5300:0060:9389:0000:0001:ab00:0000/121
2607:5300:0060:9389:0000:0001:ab00:0080/121

Original network
2607:5300:0060:9389:0000:0001:ab00:0000/121 → 8 networks /124

Networks (8 total)
2607:5300:0060:9389:0000:0001:ab00:0000/124
2607:5300:0060:9389:0000:0001:ab00:0010/124
2607:5300:0060:9389:0000:0001:ab00:0020/124
2607:5300:0060:9389:0000:0001:ab00:0030/124
2607:5300:0060:9389:0000:0001:ab00:0040/124
2607:5300:0060:9389:0000:0001:ab00:0050/124
2607:5300:0060:9389:0000:0001:ab00:0060/124
2607:5300:0060:9389:0000:0001:ab00:0070/124

Original network
2607:5300:0060:9389:0000:0001:ab00:0080/121 → 8 networks /124

Networks (8 total)
2607:5300:0060:9389:0000:0001:ab00:0080/124
2607:5300:0060:9389:0000:0001:ab00:0090/124
2607:5300:0060:9389:0000:0001:ab00:00a0/124
2607:5300:0060:9389:0000:0001:ab00:00b0/124
2607:5300:0060:9389:0000:0001:ab00:00c0/124
2607:5300:0060:9389:0000:0001:ab00:00d0/124
2607:5300:0060:9389:0000:0001:ab00:00e0/124
2607:5300:0060:9389:0000:0001:ab00:00f0/124

Sur chaque réseau « ::/124 » on peut attribuer 16 adresses IPv6.


Maintenant, que je visualise bien les (possible) réseaux, je vais pouvoir « construire » mes petits réseaux, avec mes adresses et comment les faire s’entendre, s’écouter et correspondre entre-eux.

Je ne sais pas trop comment, mais je vous pose çà déjà, si çà vous intéresse.
Je pense que c’est une bonne base de travail pour s’éclairer un peu :wink:


Je vous ajoute la portée des adresse IPv6 multicast RFC 4291: IP Version 6 Addressing Architecture - 2.7. Multicast Addresses :

« scop » est une valeur de portée de diffusion groupée de 4 bits utilisée pour limiter la portée du groupe de diffusion groupée.

Les valeurs sont :

  • 0 : réservé
  • 1 : portée d’interface locale
  • 2 : portée de liaison locale
  • 3 : réservé
  • 4 : portée d’administration locale
  • 5 : portée de site local
  • 6 : (non allouée)
  • 7 : (non allouée)
  • 8 : portée d’organisation locale
  • 9 : (non allouée)
  • A : (non allouée)
  • B : non allouée)
  • C : (non allouée)
  • D : (non allouée)
  • E : portée mondiale
  • F : réservé

Salutations,
Romain

Bonne fin d’journée.


PS : Je modifirai ce commentaire avec d’autres informations.

:wink:


Donc, j’ai un serveur DNS, un serveur de bases de données, un serveur de « controller de domaine » et un serveur Web – pour chacun de mes sites « physique » – plus le serveur « dédié » pour les connexions mondial :wink:

Imaginons des IPv6 comme çà :

Résumé

#----------------
# SITE0 (server)
#---------
# NETWORK
#---------
2607:5300:0060:9389:0000:0000:0000:0000/64 (2607:5300:60:9389::0:0)
#---------
# ADDRESS
#---------

# GLOBAL : DNS
2607:5300:0060:9389:0000:0000:0000:1000/112 (2607:5300:60:9389::1000)

# GLOBAL : WWW
2607:5300:0060:9389:0000:0000:0000:0010/120 (2607:5300:60:9389::10)

# « LAN » : DB
2607:5300:0060:9389:0000:0000:0000:0db0/124 (2607:5300:60:9389::db0)
2607:5300:0060:9389:0000:0000:eeee:0db0/124 (2607:5300:60:9389::eeee:db0)

# « LAN » : DC
2607:5300:0060:9389:0000:0000:0000:0dc0/124 (2607:5300:60:9389::dc0)
2607:5300:0060:9389:0000:0000:eeee:0dc0/124 (2607:5300:60:9389::eeee:dc0)

#----------------

#----------------
# SITE1
#---------
# NETWORK
#---------
2607:5300:0060:9389:0000:0000:0001:0000/104 (2607:5300:60:9389::1:0)
#---------
# ADDRESS
#---------

# GLOBAL : NS1
2607:5300:0060:9389:0000:0000:0001:1000/112 (2607:5300:60:9389::1:1000)

# GLOBAL : WW1
2607:5300:0060:9389:0000:0000:0001:0010/120 (2607:5300:60:9389::1:10)

# « LAN » : DB2
2607:5300:0060:9389:0000:0000:0001:0db0/124 (2607:5300:60:9389::1:db0)
2607:5300:0060:9389:0000:0000:eeee:1db0/124 (2607:5300:60:9389::eeee:1db0)

# « LAN » : DC1
2607:5300:0060:9389:0000:0000:0001:0dc1/124 (2607:5300:60:9389::1:dc1)
2607:5300:0060:9389:0000:0000:eeee:1dc1/124 (2607:5300:60:9389::eeee:1dc1)

# « LAN » : DC2
2607:5300:0060:9389:0000:0000:0001:0db2/124 (2607:5300:60:9389::1:dc2)
2607:5300:0060:9389:0000:0000:eeee:1dc2/124 (2607:5300:60:9389::eeee:1dc2)
2607:5300:006f:e85f:e80f:e80f:e80f:e80f/124 (n’existe pas)

#----------------

#----------------
# SITE2 (LAN2)
#---------
# NETWORK
#---------
2607:5300:0060:9389:0000:0000:0002:0000/104 (2607:5300:60:9389::2:0)
#---------
# ADDRESS
#---------

# GLOBAL : NS2
2607:5300:0060:9389:0000:0000:0002:1000/112 (2607:5300:60:9389::2:1000)

# GLOBAL : WW2
2607:5300:0060:9389:0000:0000:0002:0010/120 (2607:5300:60:9389::2:10)

# « LAN » : DB2
2607:5300:0060:9389:0000:0000:0002:0db0/124 (2607:5300:60:9389::2:db0)
2607:5300:0060:9389:0000:0000:eeee:2db0/124 (2607:5300:60:9389::eeee:2db0)

# « LAN » : DC1
2607:5300:0060:9389:0000:0000:0002:0dc1/124 (2607:5300:60:9389::2:dc1)
2607:5300:0060:9389:0000:0000:eeee:2dc1/124 (2607:5300:60:9389::eeee:2dc1)

# « LAN » : DC2
2607:5300:0060:9389:0000:0000:0002:0dc2/124 (2607:5300:60:9389::2:dc2)
2607:5300:0060:9389:0000:0000:eeee:2dc2/124 (2607:5300:60:9389::eeee:2dc2)

#----------------

Est-ce que cela vous semble acceptable ?

Je ne sais pas trop à quoi cela va me servir de « couper » ces réseaux mais je vais voir çà.


En utilisant le calculateur IP je m’aperçois des « networks » facilement en plus de « connaître la range d’adresses IP », par exemple :

 
Networks IPv6::/72

Site 0
IP address 2607:5300:60:9389:1ab::10/72
IP address (full) 2607:5300:0060:9389:01ab:0000:0000:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:100::
Prefix length 72
network range 2607:5300:0060:9389:0100:0000:0000:0000-2607:5300:0060:9389:01ff:ffff:ffff:ffff
total IP addresses 72,057,594,037,927,936
Site 1
IP address 2607:5300:60:9389:1ab:1:0:10/72
IP address (full) 2607:5300:0060:9389:01ab:0001:0000:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:100::
Prefix length 72
network range 2607:5300:0060:9389:0100:0000:0000:0000-2607:5300:0060:9389:01ff:ffff:ffff:ffff
total IP addresses 72,057,594,037,927,936
Site 2
IP address 2607:5300:60:9389:1ab:2:0:10/72
IP address (full) 2607:5300:0060:9389:01ab:0002:0000:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:100::
Prefix length 72
network range 2607:5300:0060:9389:0100:0000:0000:0000-2607:5300:0060:9389:01ff:ffff:ffff:ffff
total IP addresses 72,057,594,037,927,936

 
Networks IPv6::/100

Site 0
IP address 2607:5300:60:9389:1ab::10/100
IP address (full) 2607:5300:0060:9389:01ab:0000:0000:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:0:0:0
Prefix length 100
network range 2607:5300:0060:9389:01ab:0000:0000:0000-2607:5300:0060:9389:01ab:0000:0fff:ffff
total IP addresses 268,435,456
Site 1
IP address 2607:5300:60:9389:1ab:1:0:10/100
IP address (full) 2607:5300:0060:9389:01ab:0001:0000:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:1:0:0
Prefix length 100
network range 2607:5300:0060:9389:01ab:0001:0000:0000-2607:5300:0060:9389:01ab:0001:0fff:ffff
total IP addresses 268,435,456
Site 2
IP address 2607:5300:60:9389:1ab:2:ff00:10/100
IP address (full) 2607:5300:0060:9389:01ab:0002:ff00:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:2:f000:0
Prefix length 100
network range 2607:5300:0060:9389:01ab:0002:f000:0000-2607:5300:0060:9389:01ab:0002:ffff:ffff
total IP addresses 268,435,456

 
Networks IPv6::/104

Site 0
IP address 2607:5300:60:9389:1ab::10/104
IP address (full) 2607:5300:0060:9389:01ab:0000:0000:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:0:0:0
Prefix length 104
network range 2607:5300:0060:9389:01ab:0000:0000:0000-2607:5300:0060:9389:01ab:0000:00ff:ffff
total IP addresses 16,777,216
Site 1
IP address 2607:5300:60:9389:1ab:1:0:10/104
IP address (full) 2607:5300:0060:9389:01ab:0001:0000:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:1:0:0
Prefix length 104
network range 2607:5300:0060:9389:01ab:0001:0000:0000-2607:5300:0060:9389:01ab:0001:00ff:ffff
total IP addresses 16,777,216
Site 2
IP address 2607:5300:60:9389:1ab:2:ff00:10/104
IP address (full) 2607:5300:0060:9389:01ab:0002:ff00:0010
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:2:ff00:0
Prefix length 104
network range 2607:5300:0060:9389:01ab:0002:ff00:0000-2607:5300:0060:9389:01ab:0002:ffff:ffff
total IP addresses 16,777,216

 
Network IPv6::/112

Site 2 exemple
IP address 2607:5300:60:9389:1ab:2:0:abcd/112
IP address (full) 2607:5300:0060:9389:01ab:0002:0000:abcd
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:2:0000:0000
Prefix length 112
network range 2607:5300:0060:9389:01ab:0002:0000:0000-2607:5300:0060:9389:01ab:0002:0000:ffff
total IP addresses 65,536

 
Network IPv6::/120

Site 2 exemple
IP address 2607:5300:60:9389:1ab:2:beef:cafe/120
IP address (full) 2607:5300:0060:9389:01ab:0002:beef:cafe
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:2:beef:ca00
Prefix length 120
network range 2607:5300:0060:9389:01ab:0002:beef:ca00-2607:5300:0060:9389:01ab:0002:beef:caff
total IP addresses 256

 
Network IPv6::/124

Site 2 exemple
IP address 2607:5300:60:9389:1ab:2:ff00:dc2/124
IP address (full) 2607:5300:0060:9389:01ab:0002:ff00:0dc2
type GLOBAL-UNICAST
network 2607:5300:60:9389:1ab:2:ff00:dc0
Prefix length 124
network range 2607:5300:0060:9389:01ab:0002:ff00:0dc0-2607:5300:0060:9389:01ab:0002:ff00:0dcf
total IP addresses 16

Bonjour,

je me demandais pourquoi personne ne répondez.

Je sais pourquoi maintenant .

FF02:0:0:0:0:0:0:A1F7 ALL_V6_RIFT_ROUTERS (TEMPORARY - registered 2023-02-17, expires 2024-02-17) [draft-ietf-rift-rift-16] 2023-02-17

Vous êtes sur le « Routage dans les gros arbres » (RIFT: Routing in Fat Trees)…

Un peut lien : HE 3D Network Map avec une photo pour le plaisir :wink:

he-on-net-data-centers-equinix-pa2-saint-denis-france

À bientôt :smiley:

CF : IPv6 Multicast Address Space Registry document mis à jour ce mois-ci, le 21 :slight_smile:

Good job.

C’est juste que tes fils sont rebutants (fouillis et on ne peu plus chargé d’information inutiles), il faut sacrément être motivé pour répondre …

1 J'aime

Pour me décourager, je vais installer un MulticatsDNS Avahi pour voir :blush:

MulticatsDNS su node, sur site local, quelque part
FF01:0:0:0:0:0:0:FB mDNSv6 [RFC6762]
FF05:0:0:0:0:0:0:FB mDNSv6 [RFC6762]
FF0X:0:0:0:0:0:0:FB mDNSv6 [RFC6762]

Et après je m’attaque aux :

Serveur and relay DHCPd sur site local, sur lien local
FF02:0:0:0:0:0:1:2 All_DHCP_Relay_Agents_and_Servers [RFC8415]
FF05:0:0:0:0:0:1:3 All_DHCP_Servers [RFC8415]
Nodes/routeurs sur node, sur liens locals
FF01:0:0:0:0:0:0:1 All Nodes Address [RFC4291]
FF02:0:0:0:0:0:0:1 All Nodes Address [RFC4291]
FF01:0:0:0:0:0:0:2 All Routers Address [RFC4291]
FF02:0:0:0:0:0:0:2 All Routers Address [RFC4291]

Donc, pour que vous me confirmiez cela :

  • si j’installe un mDNS il faut qu’il réponde à l’adresse « 00FB » ?

N’est-ce pas ?

:slight_smile:

Salutations Romain.

Bonne fin de journée.


Parce que à priori @Clochette, c’est assez explicite dans le RFC 4291, même s’ils parlent d’adresse accessible sur leur adresse multicast FF:: - MAIS peut-être que IPv6 reconnait simplement en pinguant sur l’adresse multicast « FF01::101 » le protocol NTP sur une node, un site, un lien pour importe l’adresse Unicast du serveur NTP ?

C’est justement la réponse que je souhaite avoir ?

Personne n’a de serveur de temps dans leur parc, et qui peut répondre à cette question ?

Est-ce qu’en faisant un :

ping FF01::101

Est-ce que le ping renvoie l’adresse votre serveur NTP, même ayant une adresse adresse Unicast « 2001:DB8:0:0:8:800:200C:417A » par exemple, ou une adresse ULA « F(c|d)XX:: »


J’ajoute cette information :wink:

Par exemple, les adresses suivantes (tjours dans la RFC 4291 :

      2001:DB8:0:0:8:800:200C:417A une adresse unicast
      FF01:0:0:0:0:0:0:101 une adresse multicast
      0:0:0:0:0:0:0:1 l'adresse de bouclage
      0:0:0:0:0:0:0:0 l'adresse non spécifiée

peut être représenté comme :

      2001:DB8::8:800:200C:417A une adresse unicast
      FF01::101 une adresse multicast
      ::1 l'adresse de bouclage
      :: l'adresse non précisée

Cordialement,
Romain