palais descongrèsParis7, 8 et 9février 2012
IPv6 or not IPv6 ?Telle est la question…09/02/2012Benjamin BouckenoogheSupport Escalation EngineerMicrosoft
Agenda  Fonctionnement d’IPv6 dans les grandes lignes    Fondamentaux    Configuration    Tunnels / mécanismes de transiti...
IPv6 –Les fondamentauxModifiez le titre de la démo
IPv6 - Fondamentaux  Adresse sur 128 bits  Nouveau format de header des paquets  Utilisation efficace et hiérarchique des ...
Les préfixes – D’où êtes-vous ?  Les préfixes IPv6 permettent de déterminer le  pays du fournisseur d’accès Internet
IPv6 – Préfixes (détail) Préfixe         Nom                             Utilisation             Commentaire FE80::/64    ...
IPv6 – Détail d’une adresse  Taille d’une adresse IPv6 : 128 bits, divisée en 8 blocs de 16 bits (groupe  de 4 binaires de...
IPv6 – Préfixes  Préfixe de segment réseau : 64 bits    2001:DB8:2A0:2F3B::/64 => préfixe de segment      réseau valide (...
IPv6 versus IPv4      IPv4                          IPv6      ARP Request Message           Neighbor Solicitation Message ...
IPv6 – AutodiscoverModifiez le titre de la démo
IPv6 – Configuration d’uneadresse  Obtention d’une          Neighbor Discovery  adresse IPv6 :           Messages :    « L...
IPv6 - Autodiscover  Configuration                Contenu des  automatique :                messages de    « Local-link » ...
IPv6 – Autodiscover  Mécanique de  découverte                                  1. 1. Découverte IPv6                      ...
IPv6 – Statut des adresses auto-configurées  Tentative :      En cours de vérification sur l’adresse est bien unique (DAD...
Processus d’auto-configuration  Tentative d’adresse “locale” (local-link) dérivée  du préfixe local FE80::/64 et de l’iden...
IPv6 – Les tunnelsModifiez le titre de la démo
IPv6 – Les Tunnels  Les tunnels        Les tunnels font parti      6to4          des mécanismes de      ISATAP        tr...
IPv6 - ISATAP  ISATAP (Intra-Site     Mécanisme IPv6 de  Automatic Tunnel       transition qui permet  Addressing Protocol...
Exemple d’encapsulationISATAP
IPv6 - TEREDO  TEREDO        Permet dencapsuler  RFC 4380      des paquets IPv6                dans des paquets           ...
IPv6 – 6TO4  6TO4                         Dynamiquement activé si      Permet de transmettre   l’adresse IPv4 de la      ...
IPv6 – Résolution de nomsModifiez le titre de la démo
IPv6 – DNS                          DNS IPv6 AAAA  La résolution de nom       Les clients s’enregistrent si              ...
IPv6 – IntéractionsModifiez le titre de la démo
Pourquoi trouve-t-on desenregistrements AAAA dans leDNS  Les adresses FE80:: ne sont jamais enregistrées  dans le DNS.  Lo...
Problématique desenregistrements AAAA dans leDNS  IPv6 étant par défaut prioritaire à IPv4, cela peut  avoir un impact sur...
Ouverture de session ourésolution DFS lentes si IPv6non configuré    Impact sur les performances des résolutions DFS    Re...
Impacts de la désactivationd’IPv6 ?  Pour les contrôleurs de domaine, car au niveau  LDAP ils cessent d’écouter sur les po...
Fonctionnalités indisponibles siIPv6 désactivé  Remote Assistance  Windows Meeting Space (P2P)  Homegroup  DirectAccess
Fonctionnement des machines“dual stack”    Interface 6to4 créée dynamiquement si IPv4    correspont à une adresse de la pl...
Fonctionnement des machines“dual stack”  Pour les machines ne disposant que des adresses  “local-link” (FE80::) :     Pas...
Démo – adresses IPv6Modifiez le titre de la vidéo
IPv6 – Bonnes pratiquesModifiez le titre de la démo
Ne pas désactiver IPv6  Laisser le protocole IPv6 actif et ne pas le décocher de  l’interface réseau (GUI)  Posibilité de ...
Sécurité pour IPv6  Contrôler le trafic échangé avec Internet :      Bloquer les flux IPv6 sur IPv4 : drop des paquets IP...
Applications, développement etIPv6  Attention certaines applications ne sont pas  compatibles avec IPv6 (Dynamics AX 2009 ...
Comment vérifier le “binding”d’IPv6 pour une interface ?  Utilisation de l’outil NVspBind :   http://archive.msdn.microsof...
Les liensModifiez le titre de la vidéo
IPv6 – Les liens  How to configure a Windows Vista client to obtain an IPv6 DHCP address  http://support.microsoft.com/kb/...
IPv6 – En résumé  Eviter de désactiver IPv6     Préférer la priorisation IPv4 (DisabledComponents à      0x20)     Event...
Questions ?Modifiez le titre de l’annonce
Prochain SlideShare
Chargement dans…5
×

IPV6 Implémentation Best Practices & Retours d'Expérience

1 193 vues

Publié le

Benjamin Bouckenooghe ingénieur support senior se propose afin de traverser en 1h IPV6, son implémentation, les bonnes pratiques et un tour sur les retours support autour d'IPV6.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 193
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
27
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • l’identifiant EUI-64 => OEM successeurd’uneadresse MAC
  • Point particuliersur laplage de port dynamique RPC => désactivation d'IPv6 = 2500 ports dynamiques non alloués par le serveur DNS sur Windows Server 2008 et 2008 R2Par défaut, les allocations de plage de port dynamique pour RPC se fait "par" interface, soit pour le DNS, 2500 ports pour IPv4 et 2500 pour IPv6
  • IPV6 Implémentation Best Practices & Retours d'Expérience

    1. 1. palais descongrèsParis7, 8 et 9février 2012
    2. 2. IPv6 or not IPv6 ?Telle est la question…09/02/2012Benjamin BouckenoogheSupport Escalation EngineerMicrosoft
    3. 3. Agenda Fonctionnement d’IPv6 dans les grandes lignes Fondamentaux Configuration Tunnels / mécanismes de transition Résolution de noms Comment gérer IPv6 Limites et conseils de bonne pratique avec IPv6
    4. 4. IPv6 –Les fondamentauxModifiez le titre de la démo
    5. 5. IPv6 - Fondamentaux Adresse sur 128 bits Nouveau format de header des paquets Utilisation efficace et hiérarchique des infrastructures des routeurs (préfixes) Configuration d’adresse "stateless" ou "stateful" (plus d’APIPA) Sécurité intégrée (utilisation intégrée d’IPSec) Meilleure gestion du QoS (Quality of Service) Nouveau protocole d’intéraction avec les équipements réseau : plus d’ARP Extensible
    6. 6. Les préfixes – D’où êtes-vous ? Les préfixes IPv6 permettent de déterminer le pays du fournisseur d’accès Internet
    7. 7. IPv6 – Préfixes (détail) Préfixe Nom Utilisation Commentaire FE80::/64 Lien local Unicast Non routable Toujours présent 2000:/3 Unicast global Routable Doit être assigné par un routeur, DHCPv6 ou manuellement 2002::/16 Unicast 6to4 Routable Uniquement présent lorsqu’un routeur 6to4 est disponible ou que le client (Global) dispose d’une adresse IPv4 de type public. Le préfixe 6to4 contient l’adresse IPv4 de la machine. 2001::/32 Unicast Teredo Routable Uniquement présent lorsqu’une adresse IPv4 de type privé est présente et (Global) que des serveurs Teredo sont “visibles”. Désactivé par défaut dans un domaine Active Directory. FC00::/8 Unique Local Routable sur les réseaux Adresse “privée” assignée centralement qui se comporte comme une adresse (Global in usage) privés globale mais uniquement dans un réseau “privé”. FD00::/8 Unique Local Routable sur les réseaux Adresse “privée’ localement assignée qui se comporte comme une adresse privés globale mais uniquement dans un réseau privé. 2001:db8::/16 Unicast global Routable Uniquement à fin de documentation FF00::/8 Multicast Dépend du type Les préfixes IPv6 multicasts commençant par FF0 définissent des “well known multicast” dont le 4ème caractère indique le scope. Example dans les 4 lignes suivantes de ce tableau FF02::/8 Lien local Multicast “Well Lien local Adresse multicast non routable enregistrée auprès de www.iana.org known” Par exemple : FF02::2 est pour tous les routeurs d’un même lien FF12::/16 Lien local Multicast “locally Lien local uniqment assigné localement – n’est pas enregistré. assigned” FF05::/16 Site Local multicast "Well- Routable dans un site donné et enregistré auprès de www.iana.org known" FF0E::/16 Multicast global "Well-known" Multicast routable enregistré auprès de www.iana.org (support Internet limité) FEC0::/10 Site local Routable dans un même Préfixe d’adresse privée, routable – n’est plus utilisé site
    8. 8. IPv6 – Détail d’une adresse Taille d’une adresse IPv6 : 128 bits, divisée en 8 blocs de 16 bits (groupe de 4 binaires de 4 bits) séparé par deux points ":" Exemple d’adresse  Sous la forme binaire 0010000000000001 0000110110111000 0000000000000000 0010111100111011 0000001010101010 0000000011111111 1111111000101000 1001110001011010  Sous la forme hexadécimale 2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A  Adresse sans les zéros 2001:DB8:0:2F3B:2AA:FF:FE28:95CA Exemple d’adresse "optimisées"  FF02:0:0:0:0:0:0:2 peut s’écrire FF02::2  Une suite de 0 peut être remplacé par des ":" Que signifie une adresse : FE80::16A:EAD3:839F:B344%11 ?  Adresse "local-link" FE80::16A:EAD3:839F:B344 de linterface numéro 11
    9. 9. IPv6 – Préfixes Préfixe de segment réseau : 64 bits  2001:DB8:2A0:2F3B::/64 => préfixe de segment réseau valide (10 premiers bits pour le préfixe et les 54 suivants pour le segment réseau) Préfixe de résumé de route ou plage d’adresse appartenant à une portion d’étendue d’adresse IPv6 : 48 bits  2001:DB8:3F::/48
    10. 10. IPv6 versus IPv4 IPv4 IPv6 ARP Request Message Neighbor Solicitation Message ARP Reply Message Neighbor Advertisement Message ARP Cache Neighbor Cache Gratuitous ARP Duplicate Address Detection Router Solicitation Message Router Solicitation Message (optionnel) (optionnel) Router Advertisement Router Advertisement Message (optionnel) Message (optionnel) Redirect Message Redirect Message
    11. 11. IPv6 – AutodiscoverModifiez le titre de la démo
    12. 12. IPv6 – Configuration d’uneadresse Obtention d’une Neighbor Discovery adresse IPv6 : Messages : « Local-link » pour Router Solicitation chaque interface Router Advertisement (dynamique) Neighbor Solicitation DHCPv6 (dynamique) Neighbor Neighbor Discovery Advertisement Messages (dynamique) Redirect Paramétrage manuel
    13. 13. IPv6 - Autodiscover Configuration Contenu des automatique : messages de « Local-link » pour découverte IPv6 chaque interface (flags) : « Stateless », Managed Address « Stateful » ou « both » Configuration [M] selon les équipements Other Stateful réseau sollicités Configuration [O] (routeurs) selon les Prefix information interfaces. Autonomous [A]
    14. 14. IPv6 – Autodiscover Mécanique de découverte 1. 1. Découverte IPv6 Découverte IPv6 2. Réponse = Stateless 2. Réponse = Both [M]anaged Address Configuration = 1 [M]anaged Address Configuration = 0 Routeur [O]ther Stateful Configuration = 1 [A]utonomous = 1Configuration = 0 [O]ther Stateful [A]utonomous = 1 1. Découverte IPv6 2. Réponse = Stateful [M]anaged Address Configuration = 1 [O]ther Stateful configuration = 1 [A]utonomous=0 Pas d’information de préfixe particulière DHCP
    15. 15. IPv6 – Statut des adresses auto-configurées Tentative :  En cours de vérification sur l’adresse est bien unique (DAD) Valide :  Adresse valide pour recevoir de l’Unicast Préférée :  Adresse valide et unique pour tout type de communication Dépréciée :  Adresse valide et unique mais pas qui doit être à nouveau validée pour rebasculer dans le statut Préférée. Invalide :  Adresse non validée et donc inutilisable.
    16. 16. Processus d’auto-configuration Tentative d’adresse “locale” (local-link) dérivée du préfixe local FE80::/64 et de l’identifiant EUI- 64 dérivé de l’interface réseau. Vérification qu’il n’existe pas de duplica d’adresse avec envoi d’un message “neighbor solicitation”  Si message “neighbor advertisement” : cela indique qu’un autre hôte est dans le même contexte (risque de collision)=> il faut passer en configuration manuelle  Si pas de message “neighbor advertisement” : l’adresse est considérée comme unique et valide.
    17. 17. IPv6 – Les tunnelsModifiez le titre de la démo
    18. 18. IPv6 – Les Tunnels Les tunnels Les tunnels font parti  6to4 des mécanismes de  ISATAP transition d’IPv4 vers  Teredo IPv6
    19. 19. IPv6 - ISATAP ISATAP (Intra-Site Mécanisme IPv6 de Automatic Tunnel transition qui permet Addressing Protocol) de transmettre des RFC 4214 paquets IPv6 entre des machines ayant aussi le protocole IPv4, via ce dernier.
    20. 20. Exemple d’encapsulationISATAP
    21. 21. IPv6 - TEREDO TEREDO Permet dencapsuler RFC 4380 des paquets IPv6 dans des paquets IPv4 (via UPD). Ceci permet dacheminer les paquets via des NAT
    22. 22. IPv6 – 6TO4 6TO4 Dynamiquement activé si  Permet de transmettre l’adresse IPv4 de la des paquets IPv6 via machine correspond à une IPv4 sans utiliser de adresse de la plage tunnels comme Teredo « publique » autre que : ou ISATAP  10.0.0.0 à 10.255.255.255  172.16.0.0 à RFC 3056 172.31.255.255  192.168.0.0 à 192.168.255.255
    23. 23. IPv6 – Résolution de nomsModifiez le titre de la démo
    24. 24. IPv6 – DNS DNS IPv6 AAAA La résolution de nom  Les clients s’enregistrent si interface 6to4 active. Pas pour  DNS IPv6 AAAA FE80::  DNS IPv4 A DNS IPv4 A  Attention lors d’une mise à jour  DNS64 dynamique IPv6 des informations sur IPv4 sont  LLMNR (Local-Link intégrées DNS64 Multicast Name  Mécanique permettant de Resolution) résoudre des adresses IPv4 dans une requête IPv6 (intégré dans UAG et dans Windows Server "8") LLMNR :  Successeur de NetBT pour IPv6 Note : par défaut la résolution de nom IPv6 est prioritaire sur l’IPv4
    25. 25. IPv6 – IntéractionsModifiez le titre de la démo
    26. 26. Pourquoi trouve-t-on desenregistrements AAAA dans leDNS Les adresses FE80:: ne sont jamais enregistrées dans le DNS. Lorsqu’une adresse IPv4 correspond à une plage d’adresse publique, il y a création d’une adresse 6to4 (2002::)  Cette adresse est enregistrée par le client  Dans la table des préfixes, l’adresse 6to4 est préférée à l’IPv4  Lorsqu’il n’y a pas configuration des routeurs pour IPv6 Conséquence : Windows essaye toujours de communiquer en premier via IPv6 et ensuite en IPv4
    27. 27. Problématique desenregistrements AAAA dans leDNS IPv6 étant par défaut prioritaire à IPv4, cela peut avoir un impact sur les performances, en particulier lorsque la machine a enregistré une adresse IPv6 (AAAA) dans le DNS. Peut potentiellement avoir des impacts sur la sécurité si les flux IPv6 ne sont pas surveillés, ou que les équipements type pare-feu ne sont pas configurés Pour les applications qui ont une dépendance sur IPv4, il n’existe pas de transition automatique vers IPv6 et cela peut impacter leur fonctionnement. Ne pas complètement désactiver IPv6, mais uniquement le tunnel 6to4 par exemple.
    28. 28. Ouverture de session ourésolution DFS lentes si IPv6non configuré Impact sur les performances des résolutions DFS Referral : http://blogs.technet.com/b/askds/archive/2009/10/28/dfs-referrals- and-ipv6-outta-site.aspx Ralentissement des autentifications dans le domaine Active Directory (DC distant), ou, surcharge de certains contrôleurs de domaine Réplication Active Directory ou promotion d’un contrôleur de domaine peut être imprévisible Impact sur des applications utilisant les sites Active Directory (SMS, SCCM par exemple) Il faut définir les segments réseau IPv6 dans l’Active Directory http://technet.microsoft.com/en-us/library/ee406201.aspx
    29. 29. Impacts de la désactivationd’IPv6 ? Pour les contrôleurs de domaine, car au niveau LDAP ils cessent d’écouter sur les ports de l’interface “loopback” IPv6 Pour les services Exchange qui ne peuvent plus se connecter sur les ports LDAP La désactivation du service IPHelper qui entraîne des problèmes de connectivité par rapport aux tunnels IPv6 Performance affectée pour : le Client Side Caching (offline files) et le BranchCache (Windows Server 2008 R2 et Windows 7) Potentiellement peut générer des problèmes aléatoires dans des scenarii non testés.
    30. 30. Fonctionnalités indisponibles siIPv6 désactivé Remote Assistance Windows Meeting Space (P2P) Homegroup DirectAccess
    31. 31. Fonctionnement des machines“dual stack” Interface 6to4 créée dynamiquement si IPv4 correspont à une adresse de la plage publique Par défaut TEREDO est désactivé dans un domaine AD (détection d’un contrôleur de domaine) http://blogs.technet.com/b/ipv6/archive/2007/12/14/teredo-in- windows-vista-designed-with-security-in-mind.aspx ISATAP n’est pas actif tant qu’un serveur ISATAP n’est pas joignable
    32. 32. Fonctionnement des machines“dual stack” Pour les machines ne disposant que des adresses “local-link” (FE80::) :  Pas d’actions complémentaires à faire sur les routeurs  Pas d’enregistrement dynamique d’entrées AAAA dans le DNS  Pas de requêtes DNS sur les entrées AAAA Les requêtes AAAA ne sont effectuées que par les machines disposant d’une adresse IPv6 routable Par défaut si pas de réponse à une requête DNS IPv6, la requête IPv4 est effectuée. Par défaut IPv6 est préféré par rapport à IPv4
    33. 33. Démo – adresses IPv6Modifiez le titre de la vidéo
    34. 34. IPv6 – Bonnes pratiquesModifiez le titre de la démo
    35. 35. Ne pas désactiver IPv6 Laisser le protocole IPv6 actif et ne pas le décocher de l’interface réseau (GUI) Posibilité de prioriser les flux IPv4 par rapport à IPv6:  Valeur DisabledComponents à 0x20  http://support.microsoft.com/kb/929852  Configurable par GPO. Attention : requiert un redémarrage. Possibilité de désactiver le tunnel 6to4 si l’IPv4 correspond à une adresse de la plage “publique”  Valeur Enable6to4 à 0x3 (HKLMSYSTEMCurrentControlSetServicesiphlpsvcconfig)  Configurable par GPO (Computer configuration/Policies/Administrative Templates/Network/TCPIP Settings/IPv6 Transition Technologies" "6to4 state" en "disable“)  Configurable en ligne de commande “netsh interface 6to4 set state disabled"
    36. 36. Sécurité pour IPv6 Contrôler le trafic échangé avec Internet :  Bloquer les flux IPv6 sur IPv4 : drop des paquets IPv4 avec le protocole 41  Lorsque TEREDO est utilisé : configurer le pare-feu IPv4 pour supprimer silencieusement le traffic IPv4 dont la source (ou la destination) utilise le port UDP 3544 (seul le traffic entre le serveur TEREDO et les réseaux externes doivent être autorisés).
    37. 37. Applications, développement etIPv6 Attention certaines applications ne sont pas compatibles avec IPv6 (Dynamics AX 2009 par exemple) IPv6 Guide for Windows Sockets Applications http://msdn.microsoft.com/en-us/library/ms738649.aspx IP Protection Level http://msdn.microsoft.com/en-us/library/aa832668.aspx  Unrestricted : permet aux applications de tirer parti des capacités d’IPv6 via NAT (TEREDO)  Edgerestricted : ne permet pas l’utilisation d’IPv6 via NAT  Restricted : limitation du traffic IPv6 au local-link uniquement
    38. 38. Comment vérifier le “binding”d’IPv6 pour une interface ? Utilisation de l’outil NVspBind : http://archive.msdn.microsoft.com/nvspbind Ligne de commande :  Vérifier le binding des interfaces réseau : Nvspbind /o ms_tcpip6  Réactiver le binding d’IPv6 sur une interface : Nvspbind /e “Local Area Connection” ms_tcpip6
    39. 39. Les liensModifiez le titre de la vidéo
    40. 40. IPv6 – Les liens How to configure a Windows Vista client to obtain an IPv6 DHCP address http://support.microsoft.com/kb/961433 Le protocole DHCPv6 http://technet.microsoft.com/fr-fr/magazine/2007.03.cableguy.aspx DHCPv6 - Understanding of address configuration in automatic mode and installation of DHCPv6 Server http://blogs.technet.com/b/teamdhcp/archive/2009/03/03/dhcpv6- understanding-of-address-configuration-in-automatic-mode-and-installation-of-dhcpv6- server.aspx DHCPv6 Stateless and Stateful Server in Windows Server 2008 http://blogs.technet.com/b/teamdhcp/archive/2007/01/27/dhcpv6-stateless-and-stateful- server-in-windows-server-longhorn.aspx Why Deploy IPv6 - Resources.... http://blogs.technet.com/b/chrisavis/archive/2007/06/27/why- deploy-ipv6-resources.aspx What Is IPv6? http://technet.microsoft.com/fr-fr/library/cc738582(WS.10).aspx IPv6 http://technet.microsoft.com/en-us/network/bb530961 IPv6 Transition Technologies (TechRef) http://technet.microsoft.com/en- us/library/dd379548(WS.10).aspx IPv6 versus IPv4 - Comment prioriser les flux IPv4 dans Windows http://blogs.technet.com/b/windows_networking_fr/archive/2011/09/26/ipv6-versus-ipv4- comment-prioriser-les-flux-ipv4-dans-windows.aspx
    41. 41. IPv6 – En résumé Eviter de désactiver IPv6  Préférer la priorisation IPv4 (DisabledComponents à 0x20)  Eventuellement bloquer 6to4 (Enable6to4 à 0x3) Collaborer avec les personnes en charge de linfrastructure réseau pour limplémentation dIPv6 Valider que les applications (internes ou externes) soient compatibles IPv6
    42. 42. Questions ?Modifiez le titre de l’annonce

    ×