MOOC:Correction Exo Act14
From Livre IPv6
Eléments de correction étude de cas : Construisez le plan d'adressage de la chaîne de restaurants "La Bio Stifaille"
Préambule
Les éléments proposés dans ce document ne constituent pas l'unique solution valide pour la construction du plan d'adressage IPv6 de la société « La Bio Stiffaille », d'autres choix peuvent être légitiment proposés.
Nota : Ce document, reprend le formalisme adopté dans le document compagnon de l'activité 14 au paragraphe « Convention de notation binaire du champ SID ».
Plan d'adressage du réseau interne
Choix de la structuration du champ SID
Le plan d'adressage interne de « La Bio Stiffaille » est construit sur la base du préfixe local unique (ULA) de 48 bits retenu pour la société, à savoir le préfixe fd1a:b105:71fa::/48. Le champ d'identification des sous réseaux (SID) d'un tel préfixe est de 16 bits, nous disposons donc d'un espace de 65536 valeurs distinctes pour identifier l'ensemble des sous réseaux de cette entreprise.
L'infrastructure réseau de « La Bio Stifaille » fait apparaître une structuration en deux niveaux.
- Un niveau d'interconnexion assurant la connectivité de l'ensemble des sites, dont la tâche principale est l'acheminement. Ce niveau est pris en charge par l'opérateur, qui par le routage sur son infrastructure partagée MPLS assure la connectivité « any to any » de l'ensemble des sites de « La Bio Stifaille », en dédiant à son client un espace de routage cloisonné (VRF).
- Un second niveau, qui sur chaque site vise à partager l'infrastructure locale en espaces de connectivité logiques (VLAN TOIP, VLAN direction, VLAN employés, VLAN administratif, VLAN cariste, etc) cloisonnés et contrôlés par la fonction de routage locale ainsi que par la fonction de filtrage du pare-feu (Firewall).
Cette structuration, nous incite à hiérarchiser le plan d'adressage en deux niveaux (le document de référence de l'activité 16, indique de manière générale la construction d'un plan d'adressage en structurant le champ SID sur trois niveaux logiques, sur des bits 'L', 'T' et 'B', on peut s'interroger sur la pertinence d'introduire un troisième niveau dans le cas de « La Bio Stiffaille », la question reste ouverte et ne sera pas abordée dans le reste de ce document). Compte tenu, de l'éparpillement géographique de l'ensemble des sites de cette entreprise, et de la présence d'équipements de contrôle et de filtrage sur l'ensemble des sites, il paraît pertinent de privilégier la localisation (bits 'L' sur la partie haute du SID), sur le découpage logique et fonctionnel des espaces de connectivité locaux (les VLAN sur chaque site). Ce choix facilitera, la fonction de routage, qui dans le cas de « La Bio Stiffaille » est déléguée à l'opérateur de VPN MPLS. Le champ SID sera donc de la forme {LLLLL-------TTTT}.
Dimensionnement du champ SID
D'une manière générale, comme indiqué dans le document compagnon de l'activité 14, l'alignement des références de localisation ou de type de sous réseau sur une frontière de quartet, facilitera la lecture et la reconnaissance de préfixes par l'administrateur humain. Dans le mesure du possible, cette convention sera privilégiée dans ce document.
« La Bio Stifaille » a aujourd'hui un périmètre des 175 sites (siége, entrepôts, restaurants et points de vente). La société est en croissance soutenue avec une ouverture moyenne annuelle d'une quinzaine de points de vente. Réserver les quartets de poids fort du SID pour identifier les sites privilégiera la fonction de routage sur les préfixes les plus courts (/56, /60), et facilitera la définition de la VRF mise en place sur le réseau de l'opérateur. En codant la localisation sur 1 octet, on peut identifier 255 sites distincts, ce qui au rythme actuel de développement, nous laisse environ 5 années si la croissance économique de l'entreprise se maintenait à un tel niveau.
Le cloisonnement logique en VLAN fonctionnels, tel qu'il est présenté dans le cahier des charges de « La Bio Stifaille » distingue, à ce jour, de l'ordre de 5 à 6 types de sous réseaux. En codant le type des sous réseaux sur un quartet, soit 16 valeurs distinctes (15, si on réserve la valeur 0 pour le VLAN par défaut), on conserve une marge de manœuvre confortable pour la définition de nouveaux sous réseau fonctionnels. En réservant, le quartet de poids faible du SID, le type de sous réseau sera donc directement lisible par l'administrateur à la lecture d'une adresse. Par souci d'homogénéité, il peut être élégant et pertinent d'attribuer le même identifiant pour les VLAN fonctionnels communs (tel le VLAN TOIP) présents sur tous les sites..
En première approximation, le champ SID peut donc être structuré sous la forme suivante : {LLLLLLLL----TTTT}. L'octet de poids fort identifiant le site, le quartet de poids faible identifiant localement le VLAN.
Extensibilité
Si l'identification des types de VLAN fonctionnels sur le quartet de poids faible (bits 'T') peut simplement s'appuyer sur une numérotation séquentielle démarrant à 1 (si l'on souhaite conserver la valeur zéro pour le VLAN par défaut) ; quelle stratégie de numérotation doit on adopter pour l'identification de la localisation? La stratégie de « frontières flexibles » telles qu'elle est recommandée dans les RFC 1219 et RFC 3531 (cf paragraphe « Extensibilité » du document de référence de l'activité 16), conserve une possibilité de débordement sur le troisième quartet, lorsque dans 5 ans « La Bio Stifaille » dépassera les 255 sites. Cependant elle nécessite, une gymnastique intellectuelle peu naturelle, quant à l'incrémentation des identifiants. En effet les champs dont l'agrandissement s'effectue vers la droite, encode les nombres selon un ordonnancement inhabituel. Ainsi l'identifiant 1, sera codé en binaire 0b1000000 (0x80 en hexadécimal), l'identifiant 2 sera codé 0b01000000 (0x40), l'identifiant 3 0b1100000 (0xc0), et ainsi de suite. De même si à l'avenir le nombre de VLAN fonctionnels sur un site venait à dépasser 15, l'utilisation du bit de poids faible du quartet disponible, permettrait un doublement des identifiants de VLAN.
Une stratégie, moins flexible mais plus directement lisible, consiste, compte tenu de la croissance de l'entreprise, à réserver immédiatement trois quartets pour la localisation et un quartet pour le type de VLAN. Les deux champs peuvent alors conserver un ordonnancement naturel directement lisible à la lecture du préfixe /64 d'une adresse. La structuration du SID est alors de cette forme {LLLLLLLLLLLLTTTT}. Ainsi l'identifiant du sous réseau 1 (VLAN TOIP sur chacun des sites par exemple) sur le site identifié 3 sera codé {0000000000110001} soit 0x0031 en hexadécimal. Le VLAN TOIP du site identifié 65 sera lui codé {0000010000010001} soit 0x0411. La référence du site 64 est directement lisible par le code hexadécimal 0x41 du SID. Avec cette structuration le fonction de routage sur l'interconnexion de l'opérateur sera basée sur les préfixe de longueur 60, alors que le routage et le filtrage local sur chacun des sites se fera sur les préfixes de longueur 64.
Site | Identifiant du site | Préfixe de routage sur l'interconnexion | Préfixe de routage/filtrage local sur le site |
Siége « La Bio Stifaille » Villeneuve d'Ascq | 1 | fd1a:b105:71fa:10::/60 | |
VLAN TOIP | fd1a:b105:71fa:10::/60 | fd1a:b105:71fa:11::/64 | |
VLAN employés du siége | fd1a:b105:71fa:10::/60 | fd1a:b105:71fa:12::/64 | |
VLAN serveurs du siége | fd1a:b105:71fa:10::/60 | fd1a:b105:71fa:1a::/64 | |
VLAN ... | fd1a:b105:71fa:10::/60 | ... | |
Entrepôt de Dourges | 10 | fd1a:b105:71fa:a0::/60 | |
VLAN TOIP | fd1a:b105:71fa:a0::/60 | fd1a:b105:71fa:a1::/64 | |
VLAN employés de Dourges | fd1a:b105:71fa:a0::/60 | fd1a:b105:71fa:a2::/64 | |
VLAN caristes de Dourges | fd1a:b105:71fa:a0::/60 | fd1a:b105:71fa:a5::/64 | |
VLAN ... | fd1a:b105:71fa:a0::/60 | ... | |
Entrepôt de Rennes | 11 | fd1a:b105:71fa:b0::/60 | |
VLAN TOIP | fd1a:b105:71fa:b0::/60 | fd1a:b105:71fa:b1::/64 | |
VLAN employés de Rennes | fd1a:b105:71fa:b0::/60 | fd1a:b105:71fa:b2::/64 | |
VLAN caristes de Rennes | fd1a:b105:71fa:b0::/60 | fd1a:b105:71fa:b5::/64 | |
VLAN ... | fd1a:b105:71fa:b0::/60 | ... | |
Restaurant de Lille | 30 | fd1a:b105:71fa:1e0::/60 | |
VLAN TOIP | fd1a:b105:71fa:1e0::/60 | fd1a:b105:71fa:1e1::/64 | |
VLAN employés de Lille | fd1a:b105:71fa:1e0::/60 | fd1a:b105:71fa:1e2::/64 | |
VLAN ... | fd1a:b105:71fa:1e0::/60 | ... | |
Point de vente "Drive" de Villeneuve d'Ascq | 31 | fd1a:b105:71fa:1f0::/60 | |
VLAN TOIP | fd1a:b105:71fa:1f0::/60 | fd1a:b105:71fa:1f1::/64 | |
VLAN employés Drive de Villeneuve d'Ascq | fd1a:b105:71fa:1f0::/60 | fd1a:b105:71fa:1f2::/64 | |
VLAN ... | fd1a:b105:71fa:1f0::/60 | ... | |
Restaurant de St Denis de la Réunion | 135 | fd1a:b105:71fa:870::/60 | |
VLAN TOIP | fd1a:b105:71fa:870::/60 | fd1a:b105:71fa:871::/64 | |
VLAN employés de St Denis de la Réunion | fd1a:b105:71fa:870::/60 | fd1a:b105:71fa:872::/64 | |
VLAN ... | fd1a:b105:71fa:870::/60 | ... |
Nota ; Le siége est identifié par la référence 1, le premier entrepôt par la référence 10, et le premier restaurant point de vente par la référence 30. Les références libres intermédiaires (2 à 9) restent disponibles pour de futures éventuelles "directions régionales", et les références 14 à 29 pour de futurs entrepôts.
Trois quartets étant réservés pour la localisation des sites, on peut également envisager de leur faire porter des nombres décimaux à trois chiffres. On obtient alors une lisibilité directe de la référence décimale du site dans le champ SID. Certes on réduit le nombre de références qui peuvent ainsi être codées (on passe de 2 puissance 12, soit 4096 références, à 999); cependant cela n'est pas vraiment pénalisant dans le cas de "La Bio Stifaille". En effet, au taux de croissance annuelle, d'un quinzaine de sites nouveaux par an, plus d'une cinquantaine d'années seraient nécessaires pour épuiser le champ SID. De plus, ce taux de croissance excpetionnel ne saurait être maintenu au dela de quelques années, et les enseignes à mille points de vente ne sont pas très courantes.
Site | Identifiant du site | Préfixe de routage sur l'interconnexion | Préfixe de routage/filtrage local sur le site |
Siége « La Bio Stifaille » Villeneuve d'Ascq | 1 | fd1a:b105:71fa:10::/60 | |
VLAN TOIP | fd1a:b105:71fa:10::/60 | fd1a:b105:71fa:11::/64 | |
VLAN employés du siége | fd1a:b105:71fa:10::/60 | fd1a:b105:71fa:12::/64 | |
VLAN serveurs du siége | fd1a:b105:71fa:10::/60 | fd1a:b105:71fa:1a::/64 | |
VLAN ... | fd1a:b105:71fa:10::/60 | ... | |
Entrepôt de Dourges | 10 | fd1a:b105:71fa:100::/60 | |
VLAN TOIP | fd1a:b105:71fa:100::/60 | fd1a:b105:71fa:101::/64 | |
VLAN employés de Dourges | fd1a:b105:71fa:100::/60 | fd1a:b105:71fa:102::/64 | |
VLAN caristes de Dourges | fd1a:b105:71fa:100::/60 | fd1a:b105:71fa:105::/64 | |
VLAN ... | fd1a:b105:71fa:100::/60 | ... | |
Entrepôt de Rennes | 11 | fd1a:b105:71fa:110::/60 | |
VLAN TOIP | fd1a:b105:71fa:110::/60 | fd1a:b105:71fa:111::/64 | |
VLAN employés de Rennes | fd1a:b105:71fa:110::/60 | fd1a:b105:71fa:112::/64 | |
VLAN caristes de Rennes | fd1a:b105:71fa:110::/60 | fd1a:b105:71fa:115::/64 | |
VLAN ... | fd1a:b105:71fa:110::/60 | ... | |
Restaurant de Lille | 30 | fd1a:b105:71fa:300::/60 | |
VLAN TOIP | fd1a:b105:71fa:300::/60 | fd1a:b105:71fa:301::/64 | |
VLAN employés de Lille | fd1a:b105:71fa:300::/60 | fd1a:b105:71fa:302::/64 | |
VLAN ... | fd1a:b105:71fa:300::/60 | ... | |
Point de vente "Drive" de Villeneuve d'Ascq | 31 | fd1a:b105:71fa:310::/60 | |
VLAN TOIP | fd1a:b105:71fa:310::/60 | fd1a:b105:71fa:311::/64 | |
VLAN employés Drive de Villeneuve d'Ascq | fd1a:b105:71fa:310::/60 | fd1a:b105:71fa:312::/64 | |
VLAN ... | fd1a:b105:71fa:310::/60 | ... | |
Restaurant de St Denis de la Réunion | 135 | fd1a:b105:71fa:1350::/60 | |
VLAN TOIP | fd1a:b105:71fa:1350::/60 | fd1a:b105:71fa:1351::/64 | |
VLAN employés de St Denis de la Réunion | fd1a:b105:71fa:1350::/60 | fd1a:b105:71fa:1352::/64 | |
VLAN ... | fd1a:b105:71fa:1350::/60 | ... |
Nota ; Le siége est identifié par la référence 1, le premier entrepôt par la référence 10, et le premier restaurant point de vente par la référence 30. Les références libres intermédiaires (2 à 9) restent disponibles pour de futures éventuelles "directions régionales", et les références 14 à 29 pour de futurs entrepôts.
Plan d'adressage pour le préfixe public (GUA) de « La Bio Stifaille »
L'opérateur a délégué à « La Bio Stifaille » le préfixe public (GUA) 2001:db8:b10:6600 ::/56, qui sera utilisé pour l'adressage des zones démilitarisées (DMZ) où sont localisés les services accessibles depuis l'Internet (site web vitrine de l'enseigne, serveurs DNS publics, relais publics de messagerie, proxy web, ...). En effet, il est de bonne pratique, d'un point de vue sécurisation de l'infrastructure des réseaux d'entreprise de confiner les serveurs directement accessibles depuis l'Internet dans des VLAN isolés et contrôlés par les équipements spécialisés et dédiés à la sécurité (typiquement les firewalls). Les zones contrôlées, accessibles depuis l'Internet, sont couramment appelées « zones démilitarisées » (DMZ), à l'inverse des réseaux internes, non directement accessibles depuis l'espace public, qui sont en zones strictement contrôlées (militarisées).
Avec un préfixe GUA de 56 bits, nous disposons d'un champ SID de 8 bits pour identifier différentes (jusqu'à 255) zones démilitarisées, dans lesquels pourront être déployés différents services publiquement accessibles. En effet les firewalls modernes ont la capacité des gérer plusieurs DMZ, ce qui permet de confiner les accès ; ainsi une DMZ peut être dédiée aux serveurs web vitrines et aux relais externes de messagerie, alors que les réseaux VPN d'accès des partenaires économiques de « La Bio Stifaille » pourront être confinés dans des DMZ dédiées. Ainsi dans le cas de « La Bio Stifaille » la DMZ vitrine pourrait être identifiées avec le SID positionné à la valeur 1 (préfixe 2001:db8:b10:6601::/64)...Alors que la DMZ confinant les serveurs VPN des partenaires commerciaux et fournisseurs, pourrait être identifiée par la valeur 16 (2001:db8:b10:6610::/64), la DMZ confinant les serveurs VPN d'accès aux services dématérialisés de l'Etat (déclarations fiscales et sociales diverses,...) pourraient être confinées dans la DMZ 160 (préfixe 2001:db8:b10:66a0::/64) par exemple.
Cas des liaisons ponctuelles de secours
Par simplification, on fera l'hypothèse que les liaisons de secours ponctuelles en cas de défaillance des accès au réseau d'interconnexion MPLS de l'opérateur, sont basées sur une technique de routage dans des tunnels IPSec, (encapsulation IP dans IP, les datagrammes IPv6 des flux internes, sont alors encapsulés dans des datagrammes IP (v6 ou v4) authentifiés et chiffrés selon les mécanismes IPSec). La mise en œuvre de telles techniques, sur les firewalls des sites, dépasse le cadre de cette étude de cas. Cette technique d'encapsulation IP dans IP s'appuie sur le reroutage des flux IPv6 internes dans le tunnel IPSec préétabli qui ne nécessite à priori pas de plan d'adressage complémentaire.
-----oOo-----