Jump to content

IPv6 : désactiver les adresses link-local ?


Recommended Posts

Bonjour à tous,

 

Je me forme actuellement à IPv6. J'aurai une question dont je ne trouve la réponse nulle part :

 

J'ai un réseau avec des serveurs 2k8 et des pc win7, que je dois segmenter en 2 parties au niveau IP (les deux parties ne doivent pas se voir, le câblage est commun et nous n'avons pas de VLAN). J'ai donc :

 

- un plan d'adressage IPv4 sur 2 plages distinctes (ici tout va bien).

- J'ai également fait 2 plages IPv6 avec un 'range generator'en ligne. (adresses avec prefixe fd)

 

Mon plan d'adressage est bien propre des deux cotés, mais le problème c'est que les machines des deux sous-réseaux arrivent à se parler quand même car elles utilisent l'adresse link-local (fe80::xxx) auto-configurée. Je me demandai donc comment œuvrer pour les empêcher d'utiliser cette adresse link-local afin de terminer ma segmentation de ce réseau.

 

Merci de vos éclaircissements :yes:

 

 

Link to comment
Share on other sites

Bonjour Manu,

 

Il y a une incohérence dans ton besoin,

Tout d'abord tu dis bien que tu n'utilises pas de VLAN, donc cela signifie que toutes tes machines sont sur le même réseau au niveau 2 (la couche liaison, le niveau 2 du modèle OSI), c'est à dire qu'en ethernet, toutes tes machines peuvent discuter entre elles. (une trame envoyée en broadcast ff:ff:ff:ff:ff:ff sera réçue par toutes les machines présentent sur ce même réseau de niveau 2), tu peux constater facilement cela avec wireshark sur tes machines, tu pourras notamment observer que le protocole ARP, qu'importe l'adresse IPv4 recherchée, les trames sont reçues par toutes les machines.

 

Pour comprendre les interactions entre les adresses IPv4 et les adresses Ethernet au sein d'une machine (table ARP), je t'invite à te documenter sur ARP.

 

Donc même si tes machines sont sur des réseaux IP différents, cela n'est - en fait - qu'un isolement traitée par la pile IP de ton système d'exploitation (niveau 3), car il recevra bien la trame ARP, mais ne la traitera que si le paquet IP contient sa propre adresse dans le champ "Adresse IP Destination" du paquet.

 

En IPv4, on a bien souvent une unique adresse par interface, cette adresse est utilisée qu'importe le périmètre destiné à l'usage de cette adresse, en d'autres termes, en IPv4, on n'observe pas de distinction claire pour un usage uniquement sur le lien (niveau 2).

 

En IPv6, c'est différent, dès que la pile IPv6 est activée sur le système d'exploitation, le système s'attribuera de manière automatique et sans action nécessaire une adresse IPv6 de type Link-Local (en fe80::/64), cette adresse (comme son nom l'indique en anglais) est destiné à un usage sur le lien uniquement, c'est à dire qu'il est impossible de l'utiliser pour communiquer en dehors de lien, et donc, en dehors du même réseau IPv6, cette IPv6 Link-Local ne peut donc être routée, car son usage est strictement limitée à un usage sur le même lien. Même s'il est possible d'avoir - en pratique - plusieurs IPv6 Link-Local, cela n'a pas vraiment de sens, et on peut donc facilement dire que ton adresse IPv6 de type Link-Local (L3) est liée à ton interface ethernet.(L2).

 

Il te faudra donc configurer manuellement des adresses IPv6 de type global-unicast sur tes machines si tu souhaites isoler tes machines de manière un peu ... hasardeuse ?

 

Inclure l'usage de VLANs te permettrait de mieux appréhender techniquement le fonctionnement des réseaux.

Link to comment
Share on other sites

Bonjour Bashy, tout d'abord merci d'avoir pris le temps de me répondre.

 

Bonjour Manu,

 

Il y a une incohérence dans ton besoin,

Tout d'abord tu dis bien que tu n'utilises pas de VLAN, donc cela signifie que toutes tes machines sont sur le même réseau au niveau 2 (la couche liaison, le niveau 2 du modèle OSI), c'est à dire qu'en ethernet, toutes tes machines peuvent discuter entre elles. (une trame envoyée en broadcast ff:ff:ff:ff:ff:ff sera réçue par toutes les machines présentent sur ce même réseau de niveau 2), tu peux constater facilement cela avec wireshark sur tes machines, tu pourras notamment observer que le protocole ARP, qu'importe l'adresse IPv4 recherchée, les trames sont reçues par toutes les machines.

 

Pour comprendre les interactions entre les adresses IPv4 et les adresses Ethernet au sein d'une machine (table ARP), je t'invite à te documenter sur ARP.

 

Donc même si tes machines sont sur des réseaux IP différents, cela n'est - en fait - qu'un isolement traitée par la pile IP de ton système d'exploitation (niveau 3), car il recevra bien la trame ARP, mais ne la traitera que si le paquet IP contient sa propre adresse dans le champ "Adresse IP Destination" du paquet.

 

 

Je connais parfaitement le fonctionnement d'IPv4 et ARP (ma vieille certif CCNA qui date de 10 ans peut le prouver :chinois: ) - Je suis conscient que mes machines sont sur le même réseau Ethernet (donc niveau 2) et peuvent physiquement se voir. Mais dans la pratique, quand on met 2 plages IPv4 différentes, les machines ne répondront pas a un ping ou une requête SMB qui proviennent d'un autre sous-réseau. Cette isolation de niveau 3 nous convient ( sous réserve qu'on empêche les utilisateurs de changer leurs adresses IP bien entendu).

 

 


En IPv6, c'est différent, dès que la pile IPv6 est activée sur le système d'exploitation, le système s'attribuera de manière automatique et sans action nécessaire une adresse IPv6 de type Link-Local (en fe80::/64), cette adresse (comme son nom l'indique en anglais) est destiné à un usage sur le lien uniquement, c'est à dire qu'il est impossible de l'utiliser pour communiquer en dehors de lien, et donc, en dehors du même réseau IPv6, cette IPv6 Link-Local ne peut donc être routée, car son usage est strictement limitée à un usage sur le même lien. Même s'il est possible d'avoir - en pratique - plusieurs IPv6 Link-Local, cela n'a pas vraiment de sens, et on peut donc facilement dire que ton adresse IPv6 de type Link-Local (L3) est liée à ton interface ethernet.(L2).

 

Il te faudra donc configurer manuellement des adresses IPv6 de type global-unicast sur tes machines si tu souhaites isoler tes machines de manière un peu ... hasardeuse ?

 

J'ai configuré des adresses de type Unique Local Unicast (donc des adresses commençant par FD) sur mes postes. Dis moi si je me trompe mais ce sont des adresses destinés à un usage LAN , routable en interne mais pas sur le net (enfin c'est mon bouquin qui me le dit :windu: ). J'ai donc reproduit la même chose qu'en IPV4, a savoir 2 réseaux différents. Mon problème est que mes postes des 2 camps conservent tout de même leur adresse link-local auto-configurée, et cela leur permet donc de tous communiquer entre eux. Je voudrai éviter cela. J'espère être clair dans mes propos.

 

 


Inclure l'usage de VLANs te permettrait de mieux appréhender techniquement le fonctionnement des réseaux.

 

J'en suis bien conscient et je sais les utiliser (je m'en sers sur d'autres réseaux), mais sur cette infra nous avons de vieux switchs qui ne le permettent pas et je ne peux demander aucun achat en ce moment. Jusqu’à présent notre segmentation en IPv4 suffisait et n'a jamais causé de souci. Si on ne peut plus le faire en IPv6 c'est fort dommage.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...