SlideShare une entreprise Scribd logo
palais des
congrès
Paris




7, 8 et 9
février 2012
IPv6 or not IPv6 ?
Telle est la question…

09/02/2012
Benjamin Bouckenooghe
Support Escalation Engineer
Microsoft
Agenda

  Fonctionnement d’IPv6 dans les grandes lignes
    Fondamentaux
    Configuration
    Tunnels / mécanismes de transition
    Résolution de noms
  Comment gérer IPv6
  Limites et conseils de bonne pratique avec IPv6
IPv6 –Les fondamentaux
Modifiez le titre de la démo
IPv6 - Fondamentaux
  Adresse sur 128 bits
  Nouveau format de header des paquets
  Utilisation efficace et hiérarchique des infrastructures
  des routeurs (préfixes)
  Configuration d’adresse "stateless" ou "stateful" (plus
  d’APIPA)
  Sécurité intégrée (utilisation intégrée d’IPSec)
  Meilleure gestion du QoS (Quality of Service)
  Nouveau protocole d’intéraction avec les
  équipements réseau : plus d’ARP
  Extensible
Les préfixes – D’où êtes-vous ?


  Les préfixes IPv6 permettent de déterminer le
  pays du fournisseur d’accès Internet
IPv6 – Préfixes (détail)
 Préfixe         Nom                             Utilisation             Commentaire
 FE80::/64       Lien local Unicast              Non routable            Toujours présent

 2000:/3         Unicast global                  Routable                Doit être assigné par un routeur, DHCPv6 ou manuellement
 2002::/16       Unicast 6to4                    Routable                Uniquement présent lorsqu’un routeur 6to4 est disponible ou que le client
                 (Global)                                                dispose d’une adresse IPv4 de type public. Le préfixe 6to4 contient l’adresse
                                                                         IPv4 de la machine.
 2001::/32       Unicast Teredo                  Routable                 Uniquement présent lorsqu’une adresse IPv4 de type privé est présente et
                 (Global)                                                 que des serveurs Teredo sont “visibles”. Désactivé par défaut dans un
                                                                          domaine Active Directory.
 FC00::/8        Unique Local                    Routable sur les réseaux Adresse “privée” assignée centralement qui se comporte comme une adresse
                 (Global in usage)               privés                   globale mais uniquement dans un réseau “privé”.

 FD00::/8        Unique Local                    Routable sur les réseaux Adresse “privée’ localement assignée qui se comporte comme une adresse
                                                 privés                   globale mais uniquement dans un réseau privé.

 2001:db8::/16   Unicast global                  Routable                Uniquement à fin de documentation

 FF00::/8        Multicast                       Dépend du type          Les préfixes IPv6 multicasts commençant par FF0 définissent des “well known
                                                                         multicast” dont le 4ème caractère indique le scope.
                                                                         Example dans les 4 lignes suivantes de ce tableau
 FF02::/8        Lien local Multicast “Well      Lien local              Adresse multicast non routable enregistrée auprès de www.iana.org
                 known”                                                  Par exemple : FF02::2 est pour tous les routeurs d’un même lien
 FF12::/16       Lien local Multicast “locally                           Lien local uniqment assigné localement – n’est pas enregistré.
                 assigned”

 FF05::/16       Site Local multicast "Well-                             Routable dans un site donné et enregistré auprès de www.iana.org
                 known"
 FF0E::/16       Multicast global "Well-known"                         Multicast routable enregistré auprès de www.iana.org (support Internet
                                                                       limité)
 FEC0::/10       Site local                      Routable dans un même Préfixe d’adresse privée, routable – n’est plus utilisé
                                                 site
IPv6 – Détail d’une adresse
  Taille d’une adresse IPv6 : 128 bits, divisée en 8 blocs de 16 bits (groupe
  de 4 binaires de 4 bits) séparé par deux points ":"
  Exemple d’adresse
    Sous la forme binaire
   0010000000000001 0000110110111000 0000000000000000
   0010111100111011 0000001010101010 0000000011111111
   1111111000101000 1001110001011010
    Sous la forme hexadécimale
   2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A
    Adresse sans les zéros
   2001:DB8:0:2F3B:2AA:FF:FE28:95CA
  Exemple d’adresse "optimisées"
    FF02:0:0:0:0:0:0:2 peut s’écrire FF02::2
    Une suite de 0 peut être remplacé par des ":"
  Que signifie une adresse : FE80::16A:EAD3:839F:B344%11 ?
    Adresse "local-link" FE80::16A:EAD3:839F:B344 de l'interface
       numéro 11
IPv6 – Préfixes

  Préfixe de segment réseau : 64 bits
    2001:DB8:2A0:2F3B::/64 => préfixe de segment
      réseau valide (10 premiers bits pour le préfixe et les 54
      suivants pour le segment réseau)
  Préfixe de résumé de route ou plage d’adresse
  appartenant à une portion d’étendue d’adresse IPv6 : 48
  bits
    2001:DB8:3F::/48
IPv6 versus IPv4

      IPv4                          IPv6
      ARP Request Message           Neighbor Solicitation Message
      ARP Reply Message             Neighbor Advertisement
                                    Message
      ARP Cache                     Neighbor Cache
      Gratuitous ARP                Duplicate Address Detection
      Router Solicitation Message   Router Solicitation Message
      (optionnel)                   (optionnel)
      Router Advertisement          Router Advertisement
      Message (optionnel)           Message (optionnel)
      Redirect Message              Redirect Message
IPv6 – Autodiscover
Modifiez le titre de la démo
IPv6 – Configuration d’une
adresse

  Obtention d’une          Neighbor Discovery
  adresse IPv6 :           Messages :
    « Local-link » pour      Router Solicitation
    chaque interface         Router Advertisement
    (dynamique)              Neighbor Solicitation
    DHCPv6 (dynamique)       Neighbor
    Neighbor Discovery       Advertisement
    Messages (dynamique)     Redirect
    Paramétrage manuel
IPv6 - Autodiscover


  Configuration                Contenu des
  automatique :                messages de
    « Local-link » pour        découverte IPv6
    chaque interface           (flags) :
    « Stateless »,               Managed Address
    « Stateful » ou « both »     Configuration [M]
    selon les équipements        Other Stateful
    réseau sollicités            Configuration [O]
    (routeurs) selon les
                                 Prefix information
    interfaces.
                                 Autonomous [A]
IPv6 – Autodiscover

  Mécanique de
  découverte
                                  1. 1. Découverte IPv6
                                     Découverte IPv6
                                  2. Réponse = Stateless
                                     2. Réponse = Both
                                [M]anaged Address Configuration = 1
                                [M]anaged Address Configuration = 0         Routeur
                                [O]ther Stateful Configuration = 1
                                [A]utonomous = 1Configuration = 0
                                [O]ther Stateful
                                 [A]utonomous = 1




                                                       1. Découverte IPv6
  2. Réponse = Stateful

       [M]anaged Address Configuration = 1
       [O]ther Stateful configuration = 1
       [A]utonomous=0
       Pas d’information de préfixe particulière

                                                                            DHCP
IPv6 – Statut des adresses auto-
configurées

  Tentative :
      En cours de vérification sur l’adresse est bien unique (DAD)
  Valide :
      Adresse valide pour recevoir de l’Unicast
  Préférée :
      Adresse valide et unique pour tout type de communication
  Dépréciée :
      Adresse valide et unique mais pas qui doit être à nouveau validée pour rebasculer
       dans le statut Préférée.
  Invalide :
      Adresse non validée et donc inutilisable.
Processus d’auto-configuration


  Tentative d’adresse “locale” (local-link) dérivée
  du préfixe local FE80::/64 et de l’identifiant EUI-
  64 dérivé de l’interface réseau.
  Vérification qu’il n’existe pas de duplica
  d’adresse avec envoi d’un message “neighbor
  solicitation”
      Si message “neighbor advertisement” : cela indique
       qu’un autre hôte est dans le même contexte (risque de
       collision)=> il faut passer en configuration manuelle
      Si pas de message “neighbor advertisement” :
       l’adresse est considérée comme unique et valide.
IPv6 – Les tunnels
Modifiez le titre de la démo
IPv6 – Les Tunnels


  Les tunnels        Les tunnels font parti
      6to4          des mécanismes de
      ISATAP        transition d’IPv4 vers
      Teredo        IPv6
IPv6 - ISATAP


  ISATAP (Intra-Site     Mécanisme IPv6 de
  Automatic Tunnel       transition qui permet
  Addressing Protocol)   de transmettre des
  RFC 4214               paquets IPv6 entre
                         des machines ayant
                         aussi le protocole
                         IPv4, via ce dernier.
Exemple d’encapsulation
ISATAP
IPv6 - TEREDO


  TEREDO        Permet d'encapsuler
  RFC 4380      des paquets IPv6
                dans des paquets
                IPv4 (via UPD). Ceci
                permet d'acheminer
                les paquets via des
                NAT
IPv6 – 6TO4


  6TO4                         Dynamiquement activé si
      Permet de transmettre   l’adresse IPv4 de la
       des paquets IPv6 via    machine correspond à une
       IPv4 sans utiliser de   adresse de la plage
       tunnels comme Teredo    « publique » autre que :
       ou ISATAP                  10.0.0.0 à 10.255.255.255
                                  172.16.0.0 à
  RFC 3056                         172.31.255.255
                                  192.168.0.0 à
                                   192.168.255.255
IPv6 – Résolution de noms
Modifiez le titre de la démo
IPv6 – DNS


                          DNS IPv6 AAAA
  La résolution de nom       Les clients s’enregistrent si
                              interface 6to4 active. Pas pour
     DNS IPv6 AAAA           FE80::
     DNS IPv4 A          DNS IPv4 A
                             Attention lors d’une mise à jour
     DNS64                   dynamique IPv6 des
                              informations sur IPv4 sont
     LLMNR (Local-Link       intégrées
                          DNS64
      Multicast Name         Mécanique permettant de
      Resolution)             résoudre des adresses IPv4
                              dans une requête IPv6 (intégré
                              dans UAG et dans Windows
                              Server "8")
                          LLMNR :
                             Successeur de NetBT pour IPv6
                          Note : par défaut la résolution
                          de nom IPv6 est prioritaire
                          sur l’IPv4
IPv6 – Intéractions
Modifiez le titre de la démo
Pourquoi trouve-t-on des
enregistrements AAAA dans le
DNS
  Les adresses FE80:: ne sont jamais enregistrées
  dans le DNS.
  Lorsqu’une adresse IPv4 correspond à une plage
  d’adresse publique, il y a création d’une adresse
  6to4 (2002::)
     Cette adresse est enregistrée par le client
     Dans la table des préfixes, l’adresse 6to4 est préférée à
      l’IPv4
     Lorsqu’il n’y a pas configuration des routeurs pour IPv6
  Conséquence : Windows essaye toujours de
  communiquer en premier via IPv6 et ensuite en IPv4
Problématique des
enregistrements AAAA dans le
DNS
  IPv6 étant par défaut prioritaire à IPv4, cela peut
  avoir un impact sur les performances, en particulier
  lorsque la machine a enregistré une adresse IPv6
  (AAAA) dans le DNS.
  Peut potentiellement avoir des impacts sur la
  sécurité si les flux IPv6 ne sont pas surveillés, ou
  que les équipements type pare-feu ne sont pas
  configurés
  Pour les applications qui ont une dépendance sur
  IPv4, il n’existe pas de transition automatique vers
  IPv6 et cela peut impacter leur fonctionnement.
  Ne pas complètement désactiver IPv6, mais
  uniquement le tunnel 6to4 par exemple.
Ouverture de session ou
résolution DFS lentes si IPv6
non configuré
    Impact sur les performances des résolutions DFS
    Referral :
         http://blogs.technet.com/b/askds/archive/2009/10/28/dfs-referrals-
 and-ipv6-outta-site.aspx
    Ralentissement des autentifications dans le domaine
    Active Directory (DC distant), ou, surcharge de certains
    contrôleurs de domaine
    Réplication Active Directory ou promotion d’un contrôleur
    de domaine peut être imprévisible
    Impact sur des applications utilisant les sites Active
    Directory (SMS, SCCM par exemple)
    Il faut définir les segments réseau IPv6 dans l’Active
    Directory
         http://technet.microsoft.com/en-us/library/ee406201.aspx
Impacts de la désactivation
d’IPv6 ?

  Pour les contrôleurs de domaine, car au niveau
  LDAP ils cessent d’écouter sur les ports de
  l’interface “loopback” IPv6
  Pour les services Exchange qui ne peuvent plus se
  connecter sur les ports LDAP
  La désactivation du service IPHelper qui entraîne
  des problèmes de connectivité par rapport aux
  tunnels IPv6
  Performance affectée pour : le Client Side Caching
  (offline files) et le BranchCache (Windows Server
  2008 R2 et Windows 7)
  Potentiellement peut générer des problèmes
  aléatoires dans des scenarii non testés.
Fonctionnalités indisponibles si
IPv6 désactivé

  Remote Assistance
  Windows Meeting Space (P2P)
  Homegroup
  DirectAccess
Fonctionnement des machines
“dual stack”

    Interface 6to4 créée dynamiquement si IPv4
    correspont à une adresse de la plage publique
    Par défaut TEREDO est désactivé dans un
    domaine AD (détection d’un contrôleur de
    domaine)
         http://blogs.technet.com/b/ipv6/archive/2007/12/14/teredo-in-
 windows-vista-designed-with-security-in-mind.aspx

    ISATAP n’est pas actif tant qu’un serveur ISATAP
    n’est pas joignable
Fonctionnement des machines
“dual stack”

  Pour les machines ne disposant que des adresses
  “local-link” (FE80::) :
     Pas d’actions complémentaires à faire sur les routeurs
     Pas d’enregistrement dynamique d’entrées AAAA dans le
      DNS
     Pas de requêtes DNS sur les entrées AAAA
  Les requêtes AAAA ne sont effectuées que par les
  machines disposant d’une adresse IPv6 routable
  Par défaut si pas de réponse à une requête DNS
  IPv6, la requête IPv4 est effectuée.
  Par défaut IPv6 est préféré par rapport à IPv4
Démo – adresses IPv6
Modifiez le titre de la vidéo
IPv6 – Bonnes pratiques
Modifiez le titre de la démo
Ne pas désactiver IPv6


  Laisser le protocole IPv6 actif et ne pas le décocher de
  l’interface réseau (GUI)
  Posibilité de prioriser les flux IPv4 par rapport à IPv6:
      Valeur DisabledComponents à 0x20
      http://support.microsoft.com/kb/929852
      Configurable par GPO. Attention : requiert un redémarrage.
  Possibilité de désactiver le tunnel 6to4 si l’IPv4
  correspond à une adresse de la plage “publique”
      Valeur Enable6to4 à 0x3
       (HKLMSYSTEMCurrentControlSetServicesiphlpsvcconfig)
      Configurable par GPO (Computer configuration/Policies/Administrative
       Templates/Network/TCPIP Settings/IPv6 Transition Technologies" "6to4 state" en "disable“)
      Configurable en ligne de commande “netsh interface 6to4 set
       state disabled"
Sécurité pour IPv6


  Contrôler le trafic échangé avec Internet :
      Bloquer les flux IPv6 sur IPv4 : drop des paquets IPv4
       avec le protocole 41
      Lorsque TEREDO est utilisé : configurer le pare-feu
       IPv4 pour supprimer silencieusement le traffic IPv4
       dont la source (ou la destination) utilise le port UDP
       3544 (seul le traffic entre le serveur TEREDO et les
       réseaux externes doivent être autorisés).
Applications, développement et
IPv6

  Attention certaines applications ne sont pas
  compatibles avec IPv6 (Dynamics AX 2009 par
  exemple)
  IPv6 Guide for Windows Sockets Applications
        http://msdn.microsoft.com/en-us/library/ms738649.aspx
  IP Protection Level
        http://msdn.microsoft.com/en-us/library/aa832668.aspx
      Unrestricted : permet aux applications de tirer parti des
       capacités d’IPv6 via NAT (TEREDO)
      Edgerestricted : ne permet pas l’utilisation d’IPv6 via NAT
      Restricted : limitation du traffic IPv6 au local-link
       uniquement
Comment vérifier le “binding”
d’IPv6 pour une interface ?

  Utilisation de l’outil NVspBind :
   http://archive.msdn.microsoft.com/nvspbind
  Ligne de commande :
      Vérifier le binding des interfaces réseau :
        Nvspbind /o ms_tcpip6
      Réactiver le binding d’IPv6 sur une interface :
        Nvspbind /e “Local Area Connection” ms_tcpip6
Les liens
Modifiez le titre de la vidéo
IPv6 – Les liens


  How to configure a Windows Vista client to obtain an IPv6 DHCP address
  http://support.microsoft.com/kb/961433
  Le protocole DHCPv6 http://technet.microsoft.com/fr-fr/magazine/2007.03.cableguy.aspx
  DHCPv6 - Understanding of address configuration in automatic mode and installation of
  DHCPv6 Server http://blogs.technet.com/b/teamdhcp/archive/2009/03/03/dhcpv6-
  understanding-of-address-configuration-in-automatic-mode-and-installation-of-dhcpv6-
  server.aspx
  DHCPv6 Stateless and Stateful Server in Windows Server 2008
  http://blogs.technet.com/b/teamdhcp/archive/2007/01/27/dhcpv6-stateless-and-stateful-
  server-in-windows-server-longhorn.aspx
  Why Deploy IPv6 - Resources.... http://blogs.technet.com/b/chrisavis/archive/2007/06/27/why-
  deploy-ipv6-resources.aspx
  What Is IPv6? http://technet.microsoft.com/fr-fr/library/cc738582(WS.10).aspx
  IPv6 http://technet.microsoft.com/en-us/network/bb530961
  IPv6 Transition Technologies (TechRef) http://technet.microsoft.com/en-
  us/library/dd379548(WS.10).aspx
  IPv6 versus IPv4 - Comment prioriser les flux IPv4 dans Windows
  http://blogs.technet.com/b/windows_networking_fr/archive/2011/09/26/ipv6-versus-ipv4-
  comment-prioriser-les-flux-ipv4-dans-windows.aspx
IPv6 – En résumé


  Eviter de désactiver IPv6
     Préférer la priorisation IPv4 (DisabledComponents à
      0x20)
     Eventuellement bloquer 6to4 (Enable6to4 à 0x3)
  Collaborer avec les personnes en charge de
  l'infrastructure réseau pour l'implémentation
  d'IPv6
  Valider que les applications (internes ou externes)
  soient compatibles IPv6
Questions ?
Modifiez le titre de l’annonce

Contenu connexe

Tendances

[수정본] 우아한 객체지향
[수정본] 우아한 객체지향[수정본] 우아한 객체지향
[수정본] 우아한 객체지향
Young-Ho Cho
 
Snort-IPS-Tutorial
Snort-IPS-TutorialSnort-IPS-Tutorial
Snort-IPS-Tutorial
Vladimir Koychev
 
Introduction XSS
Introduction XSSIntroduction XSS
Introduction XSS
Aymeric Lagier
 
Iptables presentation
Iptables presentationIptables presentation
Iptables presentation
Emin Abdul Azeez
 
Unity and WebSockets
Unity and WebSocketsUnity and WebSockets
Unity and WebSockets
Josh Glover
 
Type of DDoS attacks with hping3 example
Type of DDoS attacks with hping3 exampleType of DDoS attacks with hping3 example
Type of DDoS attacks with hping3 example
Himani Singh
 
Deep Dive into Building a Secure & Multi-tenant SaaS Solution with NATS
Deep Dive into Building a Secure & Multi-tenant SaaS Solution with NATSDeep Dive into Building a Secure & Multi-tenant SaaS Solution with NATS
Deep Dive into Building a Secure & Multi-tenant SaaS Solution with NATS
NATS
 
OpenStack Neutron IPv6 Lessons
OpenStack Neutron IPv6 LessonsOpenStack Neutron IPv6 Lessons
OpenStack Neutron IPv6 Lessons
Akihiro Motoki
 
Faster packet processing in Linux: XDP
Faster packet processing in Linux: XDPFaster packet processing in Linux: XDP
Faster packet processing in Linux: XDP
Daniel T. Lee
 
Squid proxy-configuration-guide
Squid proxy-configuration-guideSquid proxy-configuration-guide
Squid proxy-configuration-guide
jasembo
 
FreeSWITCH as a Microservice
FreeSWITCH as a MicroserviceFreeSWITCH as a Microservice
FreeSWITCH as a Microservice
Evan McGee
 
Kamailio - SIP Firewall for Carrier Grade Traffic
Kamailio - SIP Firewall for Carrier Grade TrafficKamailio - SIP Firewall for Carrier Grade Traffic
Kamailio - SIP Firewall for Carrier Grade Traffic
Daniel-Constantin Mierla
 
Deploy Secure and Scalable Services Across Kubernetes Clusters with NATS
Deploy Secure and Scalable Services Across Kubernetes Clusters with NATSDeploy Secure and Scalable Services Across Kubernetes Clusters with NATS
Deploy Secure and Scalable Services Across Kubernetes Clusters with NATS
NATS
 
Deep dive into Kubernetes Networking
Deep dive into Kubernetes NetworkingDeep dive into Kubernetes Networking
Deep dive into Kubernetes Networking
Sreenivas Makam
 
LinuxCon 2015 Linux Kernel Networking Walkthrough
LinuxCon 2015 Linux Kernel Networking WalkthroughLinuxCon 2015 Linux Kernel Networking Walkthrough
LinuxCon 2015 Linux Kernel Networking Walkthrough
Thomas Graf
 
Nginx Deep Dive Kubernetes Ingress
Nginx Deep Dive Kubernetes IngressNginx Deep Dive Kubernetes Ingress
Nginx Deep Dive Kubernetes Ingress
Knoldus Inc.
 
Nmap tutorial
Nmap tutorialNmap tutorial
Nmap tutorial
Varun Kakumani
 
1. 아키텍쳐 설계 프로세스
1. 아키텍쳐 설계 프로세스1. 아키텍쳐 설계 프로세스
1. 아키텍쳐 설계 프로세스
Terry Cho
 
Bgp
BgpBgp
L2 over l3 ecnaspsulations (english)
L2 over l3 ecnaspsulations (english)L2 over l3 ecnaspsulations (english)
L2 over l3 ecnaspsulations (english)
Motonori Shindo
 

Tendances (20)

[수정본] 우아한 객체지향
[수정본] 우아한 객체지향[수정본] 우아한 객체지향
[수정본] 우아한 객체지향
 
Snort-IPS-Tutorial
Snort-IPS-TutorialSnort-IPS-Tutorial
Snort-IPS-Tutorial
 
Introduction XSS
Introduction XSSIntroduction XSS
Introduction XSS
 
Iptables presentation
Iptables presentationIptables presentation
Iptables presentation
 
Unity and WebSockets
Unity and WebSocketsUnity and WebSockets
Unity and WebSockets
 
Type of DDoS attacks with hping3 example
Type of DDoS attacks with hping3 exampleType of DDoS attacks with hping3 example
Type of DDoS attacks with hping3 example
 
Deep Dive into Building a Secure & Multi-tenant SaaS Solution with NATS
Deep Dive into Building a Secure & Multi-tenant SaaS Solution with NATSDeep Dive into Building a Secure & Multi-tenant SaaS Solution with NATS
Deep Dive into Building a Secure & Multi-tenant SaaS Solution with NATS
 
OpenStack Neutron IPv6 Lessons
OpenStack Neutron IPv6 LessonsOpenStack Neutron IPv6 Lessons
OpenStack Neutron IPv6 Lessons
 
Faster packet processing in Linux: XDP
Faster packet processing in Linux: XDPFaster packet processing in Linux: XDP
Faster packet processing in Linux: XDP
 
Squid proxy-configuration-guide
Squid proxy-configuration-guideSquid proxy-configuration-guide
Squid proxy-configuration-guide
 
FreeSWITCH as a Microservice
FreeSWITCH as a MicroserviceFreeSWITCH as a Microservice
FreeSWITCH as a Microservice
 
Kamailio - SIP Firewall for Carrier Grade Traffic
Kamailio - SIP Firewall for Carrier Grade TrafficKamailio - SIP Firewall for Carrier Grade Traffic
Kamailio - SIP Firewall for Carrier Grade Traffic
 
Deploy Secure and Scalable Services Across Kubernetes Clusters with NATS
Deploy Secure and Scalable Services Across Kubernetes Clusters with NATSDeploy Secure and Scalable Services Across Kubernetes Clusters with NATS
Deploy Secure and Scalable Services Across Kubernetes Clusters with NATS
 
Deep dive into Kubernetes Networking
Deep dive into Kubernetes NetworkingDeep dive into Kubernetes Networking
Deep dive into Kubernetes Networking
 
LinuxCon 2015 Linux Kernel Networking Walkthrough
LinuxCon 2015 Linux Kernel Networking WalkthroughLinuxCon 2015 Linux Kernel Networking Walkthrough
LinuxCon 2015 Linux Kernel Networking Walkthrough
 
Nginx Deep Dive Kubernetes Ingress
Nginx Deep Dive Kubernetes IngressNginx Deep Dive Kubernetes Ingress
Nginx Deep Dive Kubernetes Ingress
 
Nmap tutorial
Nmap tutorialNmap tutorial
Nmap tutorial
 
1. 아키텍쳐 설계 프로세스
1. 아키텍쳐 설계 프로세스1. 아키텍쳐 설계 프로세스
1. 아키텍쳐 설계 프로세스
 
Bgp
BgpBgp
Bgp
 
L2 over l3 ecnaspsulations (english)
L2 over l3 ecnaspsulations (english)L2 over l3 ecnaspsulations (english)
L2 over l3 ecnaspsulations (english)
 

Similaire à IPV6 Implémentation Best Practices & Retours d'Expérience

IPv6
IPv6IPv6
IPv6
medalaa
 
58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages
ilbahi
 
Internet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandInternet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - Computerland
Patricia NENZI
 
Multicast en IPv6
Multicast en IPv6Multicast en IPv6
Multicast en IPv6Mounia EL
 
Services IP
Services IPServices IP
Services IP
Thomas Moegli
 
Soutenance IPV4 IPV6
Soutenance IPV4 IPV6Soutenance IPV4 IPV6
Soutenance IPV4 IPV6
Zang Ondo Narcisse Zang Ondo
 
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdfCours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
bapapambaye4
 
CCNP Route - OSPF
CCNP Route - OSPFCCNP Route - OSPF
CCNP Route - OSPF
mdyabi
 
Protocole OSPF
Protocole OSPFProtocole OSPF
Protocole OSPF
Thomas Moegli
 
IPv6 au Clusir-Est
IPv6 au Clusir-EstIPv6 au Clusir-Est
IPv6 au Clusir-Est
Johan Moreau
 
ENSA_Module_1.pptx
ENSA_Module_1.pptxENSA_Module_1.pptx
ENSA_Module_1.pptx
AyaGharby
 
8 adressage ip
8 adressage ip8 adressage ip
8 adressage ip
loucif abidi
 
IPv6 training
IPv6 trainingIPv6 training
IPv6 training
Fred Bovy
 
Cours cisco icnd1
Cours cisco icnd1Cours cisco icnd1
Cours cisco icnd1
saqrjareh
 
1301000.ppt
1301000.ppt1301000.ppt
1301000.ppt
YassineWerghi
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6  - Protocoles TCP/IP, UDP/IPChapitre 6  - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Tarik Zakaria Benmerar
 

Similaire à IPV6 Implémentation Best Practices & Retours d'Expérience (20)

IPv6
IPv6IPv6
IPv6
 
Exonet adressagei pv6
Exonet adressagei pv6Exonet adressagei pv6
Exonet adressagei pv6
 
58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages58586406 ccna4-resume-19-pages
58586406 ccna4-resume-19-pages
 
Internet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - ComputerlandInternet Procedure vesion 6 - IPV6 V4 - Computerland
Internet Procedure vesion 6 - IPV6 V4 - Computerland
 
IPV6
IPV6IPV6
IPV6
 
Ccna4
Ccna4Ccna4
Ccna4
 
Multicast en IPv6
Multicast en IPv6Multicast en IPv6
Multicast en IPv6
 
Services IP
Services IPServices IP
Services IP
 
Soutenance IPV4 IPV6
Soutenance IPV4 IPV6Soutenance IPV4 IPV6
Soutenance IPV4 IPV6
 
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdfCours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
 
CCNP Route - OSPF
CCNP Route - OSPFCCNP Route - OSPF
CCNP Route - OSPF
 
Protocole OSPF
Protocole OSPFProtocole OSPF
Protocole OSPF
 
10 ipv6
10 ipv610 ipv6
10 ipv6
 
IPv6 au Clusir-Est
IPv6 au Clusir-EstIPv6 au Clusir-Est
IPv6 au Clusir-Est
 
ENSA_Module_1.pptx
ENSA_Module_1.pptxENSA_Module_1.pptx
ENSA_Module_1.pptx
 
8 adressage ip
8 adressage ip8 adressage ip
8 adressage ip
 
IPv6 training
IPv6 trainingIPv6 training
IPv6 training
 
Cours cisco icnd1
Cours cisco icnd1Cours cisco icnd1
Cours cisco icnd1
 
1301000.ppt
1301000.ppt1301000.ppt
1301000.ppt
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6  - Protocoles TCP/IP, UDP/IPChapitre 6  - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
 

Plus de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
Microsoft Technet France
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
Microsoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Microsoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
Microsoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
Microsoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
Microsoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
Microsoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
Microsoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Microsoft Technet France
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
Microsoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
Microsoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
Microsoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
Microsoft Technet France
 

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

IPV6 Implémentation Best Practices & Retours d'Expérience

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. IPv6 or not IPv6 ? Telle est la question… 09/02/2012 Benjamin Bouckenooghe Support Escalation Engineer Microsoft
  • 3. Agenda Fonctionnement d’IPv6 dans les grandes lignes Fondamentaux Configuration Tunnels / mécanismes de transition Résolution de noms Comment gérer IPv6 Limites et conseils de bonne pratique avec IPv6
  • 4. IPv6 –Les fondamentaux Modifiez le titre de la démo
  • 5. IPv6 - Fondamentaux Adresse sur 128 bits Nouveau format de header des paquets Utilisation efficace et hiérarchique des infrastructures des routeurs (préfixes) Configuration d’adresse "stateless" ou "stateful" (plus d’APIPA) Sécurité intégrée (utilisation intégrée d’IPSec) Meilleure gestion du QoS (Quality of Service) Nouveau protocole d’intéraction avec les équipements réseau : plus d’ARP Extensible
  • 6. Les préfixes – D’où êtes-vous ? Les préfixes IPv6 permettent de déterminer le pays du fournisseur d’accès Internet
  • 7. IPv6 – Préfixes (détail) Préfixe Nom Utilisation Commentaire FE80::/64 Lien local Unicast Non routable Toujours présent 2000:/3 Unicast global Routable Doit être assigné par un routeur, DHCPv6 ou manuellement 2002::/16 Unicast 6to4 Routable Uniquement présent lorsqu’un routeur 6to4 est disponible ou que le client (Global) dispose d’une adresse IPv4 de type public. Le préfixe 6to4 contient l’adresse IPv4 de la machine. 2001::/32 Unicast Teredo Routable Uniquement présent lorsqu’une adresse IPv4 de type privé est présente et (Global) que des serveurs Teredo sont “visibles”. Désactivé par défaut dans un domaine Active Directory. FC00::/8 Unique Local Routable sur les réseaux Adresse “privée” assignée centralement qui se comporte comme une adresse (Global in usage) privés globale mais uniquement dans un réseau “privé”. FD00::/8 Unique Local Routable sur les réseaux Adresse “privée’ localement assignée qui se comporte comme une adresse privés globale mais uniquement dans un réseau privé. 2001:db8::/16 Unicast global Routable Uniquement à fin de documentation FF00::/8 Multicast Dépend du type Les préfixes IPv6 multicasts commençant par FF0 définissent des “well known multicast” dont le 4ème caractère indique le scope. Example dans les 4 lignes suivantes de ce tableau FF02::/8 Lien local Multicast “Well Lien local Adresse multicast non routable enregistrée auprès de www.iana.org known” Par exemple : FF02::2 est pour tous les routeurs d’un même lien FF12::/16 Lien local Multicast “locally Lien local uniqment assigné localement – n’est pas enregistré. assigned” FF05::/16 Site Local multicast "Well- Routable dans un site donné et enregistré auprès de www.iana.org known" FF0E::/16 Multicast global "Well-known" Multicast routable enregistré auprès de www.iana.org (support Internet limité) FEC0::/10 Site local Routable dans un même Préfixe d’adresse privée, routable – n’est plus utilisé site
  • 8. IPv6 – Détail d’une adresse Taille d’une adresse IPv6 : 128 bits, divisée en 8 blocs de 16 bits (groupe de 4 binaires de 4 bits) séparé par deux points ":" Exemple d’adresse  Sous la forme binaire 0010000000000001 0000110110111000 0000000000000000 0010111100111011 0000001010101010 0000000011111111 1111111000101000 1001110001011010  Sous la forme hexadécimale 2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A  Adresse sans les zéros 2001:DB8:0:2F3B:2AA:FF:FE28:95CA Exemple d’adresse "optimisées"  FF02:0:0:0:0:0:0:2 peut s’écrire FF02::2  Une suite de 0 peut être remplacé par des ":" Que signifie une adresse : FE80::16A:EAD3:839F:B344%11 ?  Adresse "local-link" FE80::16A:EAD3:839F:B344 de l'interface numéro 11
  • 9. IPv6 – Préfixes Préfixe de segment réseau : 64 bits  2001:DB8:2A0:2F3B::/64 => préfixe de segment réseau valide (10 premiers bits pour le préfixe et les 54 suivants pour le segment réseau) Préfixe de résumé de route ou plage d’adresse appartenant à une portion d’étendue d’adresse IPv6 : 48 bits  2001:DB8:3F::/48
  • 10. IPv6 versus IPv4 IPv4 IPv6 ARP Request Message Neighbor Solicitation Message ARP Reply Message Neighbor Advertisement Message ARP Cache Neighbor Cache Gratuitous ARP Duplicate Address Detection Router Solicitation Message Router Solicitation Message (optionnel) (optionnel) Router Advertisement Router Advertisement Message (optionnel) Message (optionnel) Redirect Message Redirect Message
  • 11. IPv6 – Autodiscover Modifiez le titre de la démo
  • 12. IPv6 – Configuration d’une adresse Obtention d’une Neighbor Discovery adresse IPv6 : Messages : « Local-link » pour Router Solicitation chaque interface Router Advertisement (dynamique) Neighbor Solicitation DHCPv6 (dynamique) Neighbor Neighbor Discovery Advertisement Messages (dynamique) Redirect Paramétrage manuel
  • 13. IPv6 - Autodiscover Configuration Contenu des automatique : messages de « Local-link » pour découverte IPv6 chaque interface (flags) : « Stateless », Managed Address « Stateful » ou « both » Configuration [M] selon les équipements Other Stateful réseau sollicités Configuration [O] (routeurs) selon les Prefix information interfaces. Autonomous [A]
  • 14. IPv6 – Autodiscover Mécanique de découverte 1. 1. Découverte IPv6 Découverte IPv6 2. Réponse = Stateless 2. Réponse = Both [M]anaged Address Configuration = 1 [M]anaged Address Configuration = 0 Routeur [O]ther Stateful Configuration = 1 [A]utonomous = 1Configuration = 0 [O]ther Stateful [A]utonomous = 1 1. Découverte IPv6 2. Réponse = Stateful [M]anaged Address Configuration = 1 [O]ther Stateful configuration = 1 [A]utonomous=0 Pas d’information de préfixe particulière DHCP
  • 15. IPv6 – Statut des adresses auto- configurées Tentative :  En cours de vérification sur l’adresse est bien unique (DAD) Valide :  Adresse valide pour recevoir de l’Unicast Préférée :  Adresse valide et unique pour tout type de communication Dépréciée :  Adresse valide et unique mais pas qui doit être à nouveau validée pour rebasculer dans le statut Préférée. Invalide :  Adresse non validée et donc inutilisable.
  • 16. Processus d’auto-configuration Tentative d’adresse “locale” (local-link) dérivée du préfixe local FE80::/64 et de l’identifiant EUI- 64 dérivé de l’interface réseau. Vérification qu’il n’existe pas de duplica d’adresse avec envoi d’un message “neighbor solicitation”  Si message “neighbor advertisement” : cela indique qu’un autre hôte est dans le même contexte (risque de collision)=> il faut passer en configuration manuelle  Si pas de message “neighbor advertisement” : l’adresse est considérée comme unique et valide.
  • 17. IPv6 – Les tunnels Modifiez le titre de la démo
  • 18. IPv6 – Les Tunnels Les tunnels Les tunnels font parti  6to4 des mécanismes de  ISATAP transition d’IPv4 vers  Teredo IPv6
  • 19. IPv6 - ISATAP ISATAP (Intra-Site Mécanisme IPv6 de Automatic Tunnel transition qui permet Addressing Protocol) de transmettre des RFC 4214 paquets IPv6 entre des machines ayant aussi le protocole IPv4, via ce dernier.
  • 21. IPv6 - TEREDO TEREDO Permet d'encapsuler RFC 4380 des paquets IPv6 dans des paquets IPv4 (via UPD). Ceci permet d'acheminer les paquets via des NAT
  • 22. IPv6 – 6TO4 6TO4 Dynamiquement activé si  Permet de transmettre l’adresse IPv4 de la des paquets IPv6 via machine correspond à une IPv4 sans utiliser de adresse de la plage tunnels comme Teredo « publique » autre que : ou ISATAP  10.0.0.0 à 10.255.255.255  172.16.0.0 à RFC 3056 172.31.255.255  192.168.0.0 à 192.168.255.255
  • 23. IPv6 – Résolution de noms Modifiez le titre de la démo
  • 24. IPv6 – DNS DNS IPv6 AAAA La résolution de nom  Les clients s’enregistrent si interface 6to4 active. Pas pour  DNS IPv6 AAAA FE80::  DNS IPv4 A DNS IPv4 A  Attention lors d’une mise à jour  DNS64 dynamique IPv6 des informations sur IPv4 sont  LLMNR (Local-Link intégrées DNS64 Multicast Name  Mécanique permettant de Resolution) résoudre des adresses IPv4 dans une requête IPv6 (intégré dans UAG et dans Windows Server "8") LLMNR :  Successeur de NetBT pour IPv6 Note : par défaut la résolution de nom IPv6 est prioritaire sur l’IPv4
  • 25. IPv6 – Intéractions Modifiez le titre de la démo
  • 26. Pourquoi trouve-t-on des enregistrements AAAA dans le DNS Les adresses FE80:: ne sont jamais enregistrées dans le DNS. Lorsqu’une adresse IPv4 correspond à une plage d’adresse publique, il y a création d’une adresse 6to4 (2002::)  Cette adresse est enregistrée par le client  Dans la table des préfixes, l’adresse 6to4 est préférée à l’IPv4  Lorsqu’il n’y a pas configuration des routeurs pour IPv6 Conséquence : Windows essaye toujours de communiquer en premier via IPv6 et ensuite en IPv4
  • 27. Problématique des enregistrements AAAA dans le DNS IPv6 étant par défaut prioritaire à IPv4, cela peut avoir un impact sur les performances, en particulier lorsque la machine a enregistré une adresse IPv6 (AAAA) dans le DNS. Peut potentiellement avoir des impacts sur la sécurité si les flux IPv6 ne sont pas surveillés, ou que les équipements type pare-feu ne sont pas configurés Pour les applications qui ont une dépendance sur IPv4, il n’existe pas de transition automatique vers IPv6 et cela peut impacter leur fonctionnement. Ne pas complètement désactiver IPv6, mais uniquement le tunnel 6to4 par exemple.
  • 28. Ouverture de session ou résolution DFS lentes si IPv6 non configuré Impact sur les performances des résolutions DFS Referral : http://blogs.technet.com/b/askds/archive/2009/10/28/dfs-referrals- and-ipv6-outta-site.aspx Ralentissement des autentifications dans le domaine Active Directory (DC distant), ou, surcharge de certains contrôleurs de domaine Réplication Active Directory ou promotion d’un contrôleur de domaine peut être imprévisible Impact sur des applications utilisant les sites Active Directory (SMS, SCCM par exemple) Il faut définir les segments réseau IPv6 dans l’Active Directory http://technet.microsoft.com/en-us/library/ee406201.aspx
  • 29. Impacts de la désactivation d’IPv6 ? Pour les contrôleurs de domaine, car au niveau LDAP ils cessent d’écouter sur les ports de l’interface “loopback” IPv6 Pour les services Exchange qui ne peuvent plus se connecter sur les ports LDAP La désactivation du service IPHelper qui entraîne des problèmes de connectivité par rapport aux tunnels IPv6 Performance affectée pour : le Client Side Caching (offline files) et le BranchCache (Windows Server 2008 R2 et Windows 7) Potentiellement peut générer des problèmes aléatoires dans des scenarii non testés.
  • 30. Fonctionnalités indisponibles si IPv6 désactivé Remote Assistance Windows Meeting Space (P2P) Homegroup DirectAccess
  • 31. Fonctionnement des machines “dual stack” Interface 6to4 créée dynamiquement si IPv4 correspont à une adresse de la plage publique Par défaut TEREDO est désactivé dans un domaine AD (détection d’un contrôleur de domaine) http://blogs.technet.com/b/ipv6/archive/2007/12/14/teredo-in- windows-vista-designed-with-security-in-mind.aspx ISATAP n’est pas actif tant qu’un serveur ISATAP n’est pas joignable
  • 32. Fonctionnement des machines “dual stack” Pour les machines ne disposant que des adresses “local-link” (FE80::) :  Pas d’actions complémentaires à faire sur les routeurs  Pas d’enregistrement dynamique d’entrées AAAA dans le DNS  Pas de requêtes DNS sur les entrées AAAA Les requêtes AAAA ne sont effectuées que par les machines disposant d’une adresse IPv6 routable Par défaut si pas de réponse à une requête DNS IPv6, la requête IPv4 est effectuée. Par défaut IPv6 est préféré par rapport à IPv4
  • 33. Démo – adresses IPv6 Modifiez le titre de la vidéo
  • 34. IPv6 – Bonnes pratiques Modifiez le titre de la démo
  • 35. Ne pas désactiver IPv6 Laisser le protocole IPv6 actif et ne pas le décocher de l’interface réseau (GUI) Posibilité de prioriser les flux IPv4 par rapport à IPv6:  Valeur DisabledComponents à 0x20  http://support.microsoft.com/kb/929852  Configurable par GPO. Attention : requiert un redémarrage. Possibilité de désactiver le tunnel 6to4 si l’IPv4 correspond à une adresse de la plage “publique”  Valeur Enable6to4 à 0x3 (HKLMSYSTEMCurrentControlSetServicesiphlpsvcconfig)  Configurable par GPO (Computer configuration/Policies/Administrative Templates/Network/TCPIP Settings/IPv6 Transition Technologies" "6to4 state" en "disable“)  Configurable en ligne de commande “netsh interface 6to4 set state disabled"
  • 36. Sécurité pour IPv6 Contrôler le trafic échangé avec Internet :  Bloquer les flux IPv6 sur IPv4 : drop des paquets IPv4 avec le protocole 41  Lorsque TEREDO est utilisé : configurer le pare-feu IPv4 pour supprimer silencieusement le traffic IPv4 dont la source (ou la destination) utilise le port UDP 3544 (seul le traffic entre le serveur TEREDO et les réseaux externes doivent être autorisés).
  • 37. Applications, développement et IPv6 Attention certaines applications ne sont pas compatibles avec IPv6 (Dynamics AX 2009 par exemple) IPv6 Guide for Windows Sockets Applications http://msdn.microsoft.com/en-us/library/ms738649.aspx IP Protection Level http://msdn.microsoft.com/en-us/library/aa832668.aspx  Unrestricted : permet aux applications de tirer parti des capacités d’IPv6 via NAT (TEREDO)  Edgerestricted : ne permet pas l’utilisation d’IPv6 via NAT  Restricted : limitation du traffic IPv6 au local-link uniquement
  • 38. Comment vérifier le “binding” d’IPv6 pour une interface ? Utilisation de l’outil NVspBind : http://archive.msdn.microsoft.com/nvspbind Ligne de commande :  Vérifier le binding des interfaces réseau : Nvspbind /o ms_tcpip6  Réactiver le binding d’IPv6 sur une interface : Nvspbind /e “Local Area Connection” ms_tcpip6
  • 39. Les liens Modifiez le titre de la vidéo
  • 40. IPv6 – Les liens How to configure a Windows Vista client to obtain an IPv6 DHCP address http://support.microsoft.com/kb/961433 Le protocole DHCPv6 http://technet.microsoft.com/fr-fr/magazine/2007.03.cableguy.aspx DHCPv6 - Understanding of address configuration in automatic mode and installation of DHCPv6 Server http://blogs.technet.com/b/teamdhcp/archive/2009/03/03/dhcpv6- understanding-of-address-configuration-in-automatic-mode-and-installation-of-dhcpv6- server.aspx DHCPv6 Stateless and Stateful Server in Windows Server 2008 http://blogs.technet.com/b/teamdhcp/archive/2007/01/27/dhcpv6-stateless-and-stateful- server-in-windows-server-longhorn.aspx Why Deploy IPv6 - Resources.... http://blogs.technet.com/b/chrisavis/archive/2007/06/27/why- deploy-ipv6-resources.aspx What Is IPv6? http://technet.microsoft.com/fr-fr/library/cc738582(WS.10).aspx IPv6 http://technet.microsoft.com/en-us/network/bb530961 IPv6 Transition Technologies (TechRef) http://technet.microsoft.com/en- us/library/dd379548(WS.10).aspx IPv6 versus IPv4 - Comment prioriser les flux IPv4 dans Windows http://blogs.technet.com/b/windows_networking_fr/archive/2011/09/26/ipv6-versus-ipv4- comment-prioriser-les-flux-ipv4-dans-windows.aspx
  • 41. IPv6 – En résumé Eviter de désactiver IPv6  Préférer la priorisation IPv4 (DisabledComponents à 0x20)  Eventuellement bloquer 6to4 (Enable6to4 à 0x3) Collaborer avec les personnes en charge de l'infrastructure réseau pour l'implémentation d'IPv6 Valider que les applications (internes ou externes) soient compatibles IPv6
  • 42. Questions ? Modifiez le titre de l’annonce

Notes de l'éditeur

  1. l’identifiant EUI-64 => OEM successeurd’uneadresse MAC
  2. Point particuliersur laplage de port dynamique RPC => désactivation d'IPv6 = 2500 ports dynamiques non alloués par le serveur DNS sur Windows Server 2008 et 2008 R2Par défaut, les allocations de plage de port dynamique pour RPC se fait "par" interface, soit pour le DNS, 2500 ports pour IPv4 et 2500 pour IPv6