Difference between revisions of "Bonnes pratiques de la configuration automatique"

From Livre IPv6

(Alternative à DHCP)
(Alternative à DHCP)
Line 23: Line 23:
 
L'utilisation d'un serveur DHCP pour connaître des paramètres statiques comme l'adresse du serveur DNS récursif (RDNSS) permet de centraliser la gestion sur un nombre limité d'équipement. Par contre, elle impose la mise en œuvre dans les équipements de deux protocoles (Neighbor Discovery pour la configuration sans état de l'adresse IPv6 et DHCPv6). Le RFC 5006 propose de manière expérimentale, la possibilité d'utiliser une option supplémentaire dans les messages RA pour indiquer le serveur. Cela permet également de réduire les temps de configuration d'un équipement, ce qui peut être utile en situation de mobilité.
 
L'utilisation d'un serveur DHCP pour connaître des paramètres statiques comme l'adresse du serveur DNS récursif (RDNSS) permet de centraliser la gestion sur un nombre limité d'équipement. Par contre, elle impose la mise en œuvre dans les équipements de deux protocoles (Neighbor Discovery pour la configuration sans état de l'adresse IPv6 et DHCPv6). Le RFC 5006 propose de manière expérimentale, la possibilité d'utiliser une option supplémentaire dans les messages RA pour indiquer le serveur. Cela permet également de réduire les temps de configuration d'un équipement, ce qui peut être utile en situation de mobilité.
  
 +
<tikz title="Valeur du champ option">
 +
\clip (0.2, 0) rectangle (11.1, 7);
 +
% \draw[help lines] (0,0) grid (11,6);
  
 +
\draw (0.5, 6.5) node  [right] {\tiny{\tt{0..................7...................15...................23....................31}}};
 +
 +
\draw (0.5, 6) node (context) [right, shade, top color=blue!15, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=2.4cm]{\tiny{Type=25}};
 +
\draw (2.9, 6) node (context) [right, shade, top color=blue!15, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=2.4cm]{\tiny{length $\geqslant$ 3 }};
 +
\draw (5.3, 6) node (addr) [right, shade, top color=blue!15, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=4.8cm] {\tiny{Reserved}};
 +
\draw (0.5, 5.5) node (addr) [right, shade, top color=blue!15, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{Lifetime}};
 +
 +
\draw (0.5, 5) node (addr1) [right, shade, top color=blue!15, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{}};
 +
\draw (0.5, 4.5) node (addr2) [right, shade, top color=blue!15, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{}};
 +
\draw (0.5, 4) node (addr3) [right, shade, top color=blue!15, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{Prefix}};
 +
\draw (0.5, 3.5) node (addr4) [right, shade, top color=blue!15, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{}};
 +
\draw [color=blue!10, very thick] (addr1.south east) --  (addr1.south west);
 +
\draw [color=blue!10, very thick] (addr2.south east) --  (addr2.south west);
 +
\draw [color=blue!10, very thick] (addr3.south east) --  (addr3.south west);
 +
 +
\draw (0.5, 3) node (addr1) [right, shade, dotted, top color=blue!5, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{}};
 +
\draw (0.5, 2.5) node (addr2) [right, shade, dotted, top color=blue!5, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{}};
 +
\draw (0.5, 2) node (addr3) [right, shade, dotted, top color=blue!5, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{Prefix}};
 +
\draw (0.5, 1.5) node (addr4) [right, shade, dotted, top color=blue!5, bottom color=blue!5, draw, minimum height=0.5cm, minimum width=9.6cm] {\tiny{}};
 +
\draw [color=blue!10, very thick] (addr1.south east) --  (addr1.south west);
 +
\draw [color=blue!10, very thick] (addr2.south east) --  (addr2.south west);
 +
\draw [color=blue!10, very thick] (addr3.south east) --  (addr3.south west);
 +
 +
</tikz>
 +
L'option peut contenir plusieurs adresses de serveur DNS récursifs, mais obligatoirement 1. Le champ durée de vie (''Lifetime'') permet d'indiquer en secondes, le temps maximum pendant laquelle ces informations peuvent être prises en considération. Elle doit être au supérieur à la période d'émission des RA périodiques. La valeur <tt>0xFFFFFFFF</tt> indique une durée infinie et la valeur <tt>0</tt> informe que des paramètres précédemment annoncés ne doivent plus être pris en compte.
  
 
=Changer les bonnes pratiques=
 
=Changer les bonnes pratiques=

Revision as of 03:04, 19 March 2010

Alternative à DHCP

option RDNSS in RA
Figure : option RDNSS in RA

L'utilisation d'un serveur DHCP pour connaître des paramètres statiques comme l'adresse du serveur DNS récursif (RDNSS) permet de centraliser la gestion sur un nombre limité d'équipement. Par contre, elle impose la mise en œuvre dans les équipements de deux protocoles (Neighbor Discovery pour la configuration sans état de l'adresse IPv6 et DHCPv6). Le RFC 5006 propose de manière expérimentale, la possibilité d'utiliser une option supplémentaire dans les messages RA pour indiquer le serveur. Cela permet également de réduire les temps de configuration d'un équipement, ce qui peut être utile en situation de mobilité.

Valeur du champ option
Figure : Valeur du champ option
L'option peut contenir plusieurs adresses de serveur DNS récursifs, mais obligatoirement 1. Le champ durée de vie (Lifetime) permet d'indiquer en secondes, le temps maximum pendant laquelle ces informations peuvent être prises en considération. Elle doit être au supérieur à la période d'émission des RA périodiques. La valeur 0xFFFFFFFF indique une durée infinie et la valeur 0 informe que des paramètres précédemment annoncés ne doivent plus être pris en compte.

Changer les bonnes pratiques

Les administrateurs réseaux ont développer au cours du temps un certains nombres de règles qui permettent d'administrer un réseau. IPv6 semble remettre en question ces règles en particulier au niveau de la sécurité, puisque n'importe quel équipement peut facilement s'intégrer dans le réseau grâce au procotole de découverte des voisins. Pour bien analyser le problème, il faut distinguer deux cas de figure. Lé premier concerne les utilisateurs "distraits" qui commettent une erreur de configuration de leur machine et qui peuvent mettre en péril la configuration du réseau. Le second est lié aux attaques qui pourraient profiter des mécanismes d'auto-configuration pour s'insérer plus facilement dans le réseau.

Insertion dans le réseau

Fausses annonces de RA

Liens avec le DNS

Personal tools