Configuration de tunnels pour la prise en charge d'IPv6

Les réseaux IPv6 sont souvent des entités isolées au sein d'un univers IPv4 de plus grande taille. Les nœuds situés sur votre réseau IPv6 peuvent avoir besoin de communiquer avec des nœuds situés sur des réseaux IPv6 isolés, soit au sein de votre entreprise, soit à distance. En règle générale, un tunnel se configure entre routeurs IPv6, mais les hôtes IPv6 peuvent également fonctionner en tant qu'extrémités de tunnels. Pour obtenir des informations relatives à la planification de tunnels, reportez-vous à la section Planification de tunnels dans la topologie réseau.

Vous pouvez définir des tunnels configurés automatiquement ou manuellement pour les réseaux IPv6. L'implémentation de Oracle Solaris IPv6 prend en charge les types d'encapsulation de tunnel suivants :

• tunnels IPv6 sur IPv4 ;

• tunnels IPv6 sur IPv6 ;

• tunnels IPv4 sur IPv6 ;

• tunnels 6to4.

Pour obtenir des descriptions conceptuelles de tunnels, reportez-vous à la section Tunnels IPv6.

Procédure de configuration manuelle de tunnels IPv6 sur un réseau IPv4

Cette procédure permet de configurer un tunnel entre un noeud IPv6 et un noeud IPv6 distant faisant partie d'un réseau IPv4.

1. Connectez-vous au point d'extrémité local du tunnel en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Créez le fichier /etc/hostname6.ip.tun n.

   Remplacez n par le numéro du tunnel (le premier tunnel possédant le numéro zéro). Ajoutez les entrées suivantes :

   1. Ajoutez l'adresse source et l'adresse cible du tunnel.

      tsrc IPv4-source-address tdst IPv4-destination-address up

   2. (Facultatif) Ajoutez une interface logique pour l'adresse source et l'adresse cible du tunnel IPv6.

      addif IPv6-source-address IPv6-destination-address

      Ignorez cette étape si vous souhaitez que ces adresses soient configurées automatiquement. Il n'est pas nécessaire de configurer les adresses locales des liens pour le tunnel.

3. Redémarrez le système.

4. Répétez cette procédure sur l'autre point d'extrémité du tunnel.

Exemple 7–7 Entrée à saisir dans le fichier /etc/hostname6.ip.tun pour configurer manuellement un tunnel IPv6 sur IPv4

L'exemple de fichier /etc/hostname6.ip.tun suivant est celui d'un tunnel dont les adresses source et cible globales ont été configurées manuellement.

tsrc 192.168.8.20 tdst 192.168.7.19 up
addif 2001:db8:3c4d:8::fe12:528 2001:db8:3c4d:7:a00:20ff:fe12:1234 up

Procédure de configuration manuelle de tunnels IPv6 sur un réseau IPv6

Cette procédure permet de configurer un tunnel entre un nœud IPv6 et un nœud IPv6 distant faisant partie d'un réseau IPv6.

1. Connectez-vous au point d'extrémité local du tunnel en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Créez le fichier /etc/hostname6.ip6.tunn.

   Remplacez n par les valeurs 0, 1, 2, etc. Ajoutez les entrées suivantes :

   1. Ajoutez l'adresse source et l'adresse cible du tunnel.

      tsrc IPv6-source-address tdst IPv6-destination-address IPv6-packet-source-address IPv6-packet-destination-address up

   2. (Facultatif) Ajoutez une interface logique pour l'adresse source et l'adresse cible du tunnel IPv6.

      addif IPv6-source-address IPv6-destination-address up

      Ignorez cette étape si vous souhaitez que ces adresses soient configurées automatiquement. Il n'est pas nécessaire de configurer les adresses locales des liens pour le tunnel.

3. Redémarrez le système.

4. Répétez cette procédure sur l'autre point d'extrémité du tunnel.

Exemple 7–8 Entrée à saisir dans le fichier /etc/hostname6.ip6.tun pour configurer un tunnel IPv6 sur IPv6

Cet exemple décrit la commande à saisir pour configurer un tunnel IPv6 sur un réseau IPv6.

tsrc 2001:db8:3c4d:22:20ff:0:fe72:668c tdst 2001:db8:3c4d:103:a00:20ff:fe9b:a1c3
fe80::4 fe80::61 up

Procédure de configuration de tunnels IPv4 sur un réseau IPv6

Cette procédure permet de configurer un tunnel entre deux hôtes IPv4 sur un réseau IPv6. Elle s'applique aux réseaux hétérogènes possédant des sous-réseaux IPv4 séparant des sous-réseaux IPv6.

1. Connectez-vous au point d'extrémité local du tunnel IPv4 en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Créez le fichier /etc/hostname.ip6.tunn.

   Remplacez n par les valeurs 0, 1, 2, etc. Ajoutez les entrées suivantes :

   1. Ajoutez l'adresse source et l'adresse cible du tunnel.

      tsrc IPv6-source-address tdst IPv6-destination-address

   2. (Facultatif) Ajoutez une interface logique pour l'adresse source et l'adresse cible du tunnel IPv6.

      addif IPv6-source-address IPv6-destination-address up

3. Redémarrez l'hôte local.

4. Répétez cette procédure sur l'autre point d'extrémité du tunnel.

Exemple 7–9 Entrée à saisir dans le fichier /etc/hostname6.ip6.tun pour configurer un tunnel IPv4 sur IPv6

Cet exemple décrit la commande à saisir pour configurer un tunnel IPv4 sur un réseau IPv6.

tsrc 2001:db8:3c4d:114:a00:20ff:fe72:668c tdst 2001:db8:3c4d:103:a00:20ff:fe9b:a1c3
10.0.0.4 10.0.0.61 up

Procédure de configuration d'un tunnel 6to4

Si un réseau IPv6 doit communiquer avec un réseau IPv6 distant, il est recommandé de configurer des tunnels 6to4 automatiques. Le processus de configuration d'un tunnel 6to4 inclut la définition du routeur de bordure en tant que routeur 6to4. Ce routeur joue le rôle de point d'extrémité du tunnel 6to4 entre le réseau local et le point d'extrémité du réseau IPv6 distant.

Avant de commencer

Avant de configurer le routage 6to4 sur un réseau IPv6, effectuez les opérations suivantes :

• Configurez le réseau IPv6 sur tous les noeuds adéquats du site 6to4 concerné, comme décrit à la section Modification de la configuration d'interface IPv6 pour les hôtes et les serveurs.

• Sélectionnez au moins un routeur avec une connexion sur un réseau IPv4 et définissez-le en tant que routeur 6to4.

• Configurez une adresse IPv4 unique pour la future interface du routeur 6to4 sur le réseau IPv4. L'adresse IPv4 doit être statique.

  ---

  Remarque –

  N'utilisez pas les adresses IPv4 allouées de façon dynamique, comme expliqué dans le Chapitre 12Service DHCP Oracle Solaris (présentation). Les adresses dynamiques varient, ce qui peut entraver la planification d'adresses IPv6.

  ---

1. Connectez-vous sur le routeur 6to4 en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Configurez une pseudointerface 6to4 sur le routeur en créant un fichier nommé /etc/hostname6.ip.6to4tun0.

   • Si vous envisagez d'utiliser la convention recommandée (ID de sous-réseau=0 et ID d'hôte=1), choisissez le format court (short) pour le fichier /etc/hostname6.ip.6to4tun0 :

     tsrc IPv4-address up

   • Si vous envisagez d'utiliser une autre convention pour les ID hôte et sous-réseau, choisissez le format long pour le fichier /etc/hostname6.ip.6to4tun0 :

     tsrc IPv4-address 2002:IPv4-address:subnet-ID:interface-ID:/64 up

   Les paramètres suivants sont requis pour le fichier /etc/hostname6.ip.6to4tun0 :

   tsrc

   Indique que cette interface est utilisée en tant que source du tunnel.

   adresse-IPv4

   Spécifie (au format décimal avec points) l'adresse IPv4 configurée sur l'interface physique devant servir de pseudointerface 6to4.

   Les autres paramètres sont facultatifs. Cependant, si vous décidez d'en spécifier certains, vous devrez tous les spécifier.

   2002

   Spécifie le préfixe 6to4.

   adresse IPv4

   Spécifie (au format hexadécimal) l'adresse IPv4 de la pseudointerface.

   ID sous-réseau

   Spécifie (au format hexadécimal) un sous-réseau différent de zéro.

   ID-interface

   Spécifie un ID d'interface différent de 1.

   /64

   Indique que le préfixe 6to4 possède une longueur de 64 bits.

   up

   Définit l'interface 6to4 sur "up".

   ---

   Remarque –

   Les deux tunnels IPv6 du réseau doivent posséder une adresse source et une adresse cible unique. Des paquets sont déposés en conséquence. Ce type d'événement peut se produire si un routeur 6to4 crée également des tunnels par le biais de la commande atun. Pour plus d'informations sur la commande atun, reportez-vous à la page de manuel tun(7M).

   ---

3. (Facultatif) Créez des pseudointerfaces 6to4 supplémentaires sur le routeur.

   Chacune d'entre elles doit posséder une adresse IPv4 déjà configurée et unique.

4. Redémarrez le routeur 6to4.

5. Vérifiez le statut de l'interface.

   # ifconfig ip.6to4tun0 inet6

   Si l'interface est correctement configurée, une sortie similaire à celle-ci s'affiche :

   ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6>mtu 1480 index 11 inet tunnel src 111.222.33.44 tunnel hop limit 60 inet6 2002:6fde:212c:10:/64

6. Pour publier le routage 6to4, modifiez le fichier /etc/inet/ndpd.conf.

   Pour plus d'informations, reportez-vous à la page de manuel ndpd.conf(4).

   1. Sur la première ligne, spécifiez le sous-réseau devant recevoir la publication.

      Créez une entrée if au format suivant :

      if subnet-interface AdvSendAdvertisements 1

      Exemple : pour publier le routage 6to4 sur un sous-réseau connecté à l'interface hme0, remplacez interface sous-réseau par hme0.

      if hme0 AdvSendAdvertisements 1

   2. Sur la deuxième ligne du fichier de publication, ajoutez le préfixe 6to4.

      Créez une entrée prefix au format suivant :

      prefix 2002:IPv4-address:subnet-ID::/64 subnet-interface

7. Redémarrez le routeur.

   Vous pouvez également exécuter la commande sighup sur le démon de /etc/inet/in.ndpd pour commencer la publication du routeur. Les noeuds IPv6 de chaque sous-réseau devant recevoir le préfixe 6to4 sont alors automatiquement définis sur les nouvelles adresses 6to4 dérivées.

8. Ajoutez ces nouvelles adresses au service de noms utilisé par le site 6to4.

   Vous trouverez les instructions correspondantes dans la section Configuration de prise en charge de services d'attribution de noms pour IPv6.

Exemple 7–10 Configuration du routeur 6to4 (forme courte)

L'exemple suivant présente le fichier /etc/hostname6.ip.6to4tun0 dans sa forme courte :

# cat /etc/hostname6.ip.6to4tun0
tsrc 111.222.33.44 up

Exemple 7–11 Configuration du routeur 6to4 (forme longue)

Voici un exemple du fichier /etc/hostname6.ip.6to4tun0 dans sa forme longue :

# cat /etc/hostname6.ip.6to4tun0
tsrc 111.222.33.44 2002:6fde:212c:20:1/64 up

Exemple 7–12 Sortie de la commande ifconfig avec une pseudointerface 6to4

L'exemple suivant présente la sortie de la commande ifconfig pour une pseudointerface 6to4 :

# ifconfig ip.6to4tun0 inet6
ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6> mtu 1480 index 11
        inet tunnel src 192.168.87.188
        tunnel hop limit 60 
        inet6 2002:c0a8:57bc::1/64 

Exemple 7–13 Publications 6to4 dans /etc/inet/ndpd.conf

L'exemple de fichier /etc/inet/ndpd.conf suivant publie le routage 6to4 sur deux sous-réseaux :

if qfe0 AdvSendAdvertisements 1
prefix  2002:c0a8:57bc:10::/64 qfe0 

if qfe1 AdvSendAdvertisements 1
prefix  2002:c0a8:57bc:2::/64 qfe1

Configuration de plusieurs routeurs sur le site 6to4

Si le site dispose de plusieurs routeurs, ceux qui se trouvent derrière le routeur 6to4 doivent pouvoir prendre en charge le routage 6to4. Si ce n'est pas le cas, configurez-les. Si le site utilise RIP, configurez la route statique du routeur 6to4 sur les autres routeurs. S'il utilise un protocole de routage commercial, il n'est pas nécessaire de créer de route statique vers le routeur 6to4.

Procédure de configuration d'un tunnel 6to4 relié à un routeur relais 6to4

Pour des raisons de sécurité, la prise en charge des routeurs relais 6to4 est désactivée par défaut dans Oracle Solaris. Voir Problèmes de sécurité lors de la création d'un tunnel vers un routeur relais 6to4.

Avant de commencer

Avant de configurer un tunnel relié à un routeur relais 6to4, vous devez avoir effectué les tâches suivantes :

• configuration d'un routeur 6to4 sur site, comme expliqué à la section Procédure de configuration d'un tunnel 6to4 ;

• vérification des problèmes de sécurité susceptibles de se produire avec un tunnel relié à un routeur relais 6to4.

1. Connectez-vous sur le routeur 6to4 en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

2. Vous pouvez relier un tunnel à un routeur relais 6to4 de deux façons :

   • Liaison a un routeur relais 6to4 de type anycast.

     # /usr/sbin/6to4relay -e

     L'option -e configure un tunnel entre le routeur 6to4 et un routeur relais 6to4 anycast. Les routeurs relais 6to4 anycast possèdent l'adresse IPv4 courante 192.88.99.1. Le routeur relais anycast le plus proche (physiquement) de votre site devient le point d'extrémité du tunnel 6to4. Ce routeur relais gère ensuite l'envoi des paquets entre votre site 6to4 et un site IPv6 natif.

     Pour de plus amples informations sur les routeurs relais 6to4 Anycast, reportez-vous à la page RFC 3068, "An Anycast Prefix for 6to4 Relay Routers".

   • Liaison a un routeur relais 6to4 de type spécifique.

     # /usr/sbin/6to4relay -e -a relay-router-address

     L'option -a est toujours suivie d'une adresse de routeur spécifique. Remplacez adresse routeur relais par l'adresse IPv4 du routeur relais 6to4 spécifique que vous souhaitez relier au tunnel.

   Le tunnel relié au routeur relais 6to4 reste actif pendant la suppression de la pseudointerface du tunnel 6to4.

3. Supprimez le tunnel relié au routeur relais 6to4 lorsqu'il n'est plus nécessaire :

   # /usr/sbin/6to4relay -d

4. (Facultatif) Configurez un tunnel au routeur relais 6to4 qui conserve ses paramètres après chaque redémarrage.

   Si votre site requiert, pour quelque raison qu'il soit, que les paramètres du tunnel relié au routeur relais 6to4 soient redéclarés à chaque redémarrage du routeur, effectuez la procédure suivante :

   1. Modifiez le fichier/etc/default/inetinit.

      La ligne à modifier se trouve à la fin du fichier.

   2. Remplacez la valeur "NO" de la ligne ACCEPT6TO4RELAY=NO par "YES".

   3. (Facultatif) Créez un tunnel relié à un routeur relais 6to4 spécifique dont les paramètres sont conservés après chaque redémarrage.

      Pour le paramètre RELAY6TO4ADDR, remplacez l'adresse 192.88.99.1 par l'adresse IPv4 du routeur relais 6to4 à utiliser.

Exemple 7–14 Obtention d'informations sur le statut de la prise en charge des routeurs relais 6to4

La commande /usr/bin/6to4relay vous permet de savoir si les routeurs relais 6to4 sont pris en charge ou non par votre site. L'exemple suivant présente la sortie obtenue lorsque les routeurs relais 6to4 ne sont pas pris en charge (sortie par défaut de Oracle Solaris) :

# /usr/sbin/6to4relay
6to4relay: 6to4 Relay Router communication support is disabled.

Lorsque les routeurs relais 6to4 sont pris en charge, la sortie suivante s'affiche :

# /usr/sbin/6to4relay
6to4relay: 6to4 Relay Router communication support is enabled.
IPv4 remote address of Relay Router=192.88.99.1