1. Lettre d'information IPv6 – 9 octobre 2012
La présente lettre d'information peut être diffusée gratuitement et de manière illimitée. Elle
vise cependant tout d’abord à informer les gestionnaires informatiques, les chefs de projets et
les responsables réseaux des services publics fédéraux belges des nouveaux développements et
des possibilités techniques d'IPv6.
Bart Hanssens,
Expert interopérabilité
Fedict (DG Standards et Architecture du système)
Table des matières
Configuration DNS
DNS records
Reverse DNS
Impact éventuel sur le firewall
Quel protocole a priorité ?
Si un serveur possède à la fois un « A-record » et un « AAAA-record »
Serveur: DNS Whitelisting déconseillé
Client: IPv6 et repli vers IPv4
Client: Happy Eyeballs
Site de test et Javascripts
Cour des Comptes accessible via IPv6
L'introduction d'IPV6 dans l'administration fédérale belge
Décision du Conseil des ministres
Responsabilités
Support
Pour les collaborateurs IT des SPF/SPP
Pour les managers IT des SPF/SPP
1
Lettre d'information IPv6 – 9 octobre 2012
2. CONFIGURATION DNS
DNS records
Les serveurs DNS enregistrent l’adresse IPv4 d’une machine dans un « A-record », tandis qu’une adresse IPv6 (4
fois plus longue) est enregistrée dans un « AAAA-record ». Ces records peuvent coexister et peuvent être
consultés tant sur IPv4 que sur IPv6.
Un système peut dès lors (mais ne doit pas obligatoirement) posséder simultanément une adresse IPv4 et une
adresse IPv6 ; et le contenu d’un « AAAA-record » peut à la fois être envoyé sur IPv4 et sur IPv6.
Reverse DNS
Le système Reverse DNS, où le serveur DNS doit donner un nom de machine correspondant à une adresse IP, est
parfois utilisé comme mode de contrôle par les filtres anti-spam.
Tout comme pour IPv4, il est possible de créer des « PTR-records » pour IPv6 : ils sont eux aussi un peu plus
longs et font partie du domaine « ip6.arpa » (au lieu de « in-addr.arpa »).
Impact éventuel sur le firewall
Les requêtes DNS se déroulent souvent via UDP, ce qui est plus efficace que les requêtes via TCP. Étant donné
que les adresses IPv6 sont plus longues, il peut arriver que le résultat de ces requêtes soit plus long que les 512
octets prévus initialement 1, ce qui peut faire échouer la requête.
Les gestionnaires de réseaux ont donc intérêt à mettre en place un « Extension Mechanism for DNS » (EDNS0) 2,
une option qui est d’ailleurs aussi nécessaire pour implémenter une sécurisation DNSSEC 3 (qui en soi n’a rien
avoir avec IPv6).
Il se peut que la configuration du firewall doive être adaptée.
1
http://tools.ietf.org/html/rfc1035
2
http://tools.ietf.org/html/rfc2671
3
http://tools.ietf.org/html/rfc4033
2
Lettre d'information IPv6 – 9 octobre 2012
3. QUEL PROTOCOLE A PRIORITÉ ?
Si un serveur possède à la fois un « A-record » et un « AAAA-record »
Si un serveur possède à la fois un « A-record » et un « AAAA-record », on ne sait pratiquement pas prévoir quel
protocole le client utilisera pour communiquer avec ce serveur : cela dépend en effet de l’environnement de
réseau, du système d’exploitation, et de l’application avec lesquels il travaille.
Serveur: DNS Whitelisting déconseillé
Le système « DNS Whitelisting », où un serveur DNS n’envoie les « AAAA-records » que dans les environnements
compatibles IPv6, est déconseillé car cela demande davantage de maintenance et que, à terme, l’introduction
d’IPv6 est plutôt contre-productive qu’efficace. 4
Client: IPv6 et repli vers IPv4
Pour promouvoir l’usage d’IPv6, certains systèmes donnent la préférence à IPv6 lorsque l’environnement de
réseau a été configuré afin d’utiliser à la fois IPv4 et IPv6.
Dans de rares cas, il peut y avoir des problèmes avec la connexion IPv6 et l’application attend le TCP time-out
avant de lancer une connexion IPv4. En fonction du système, cette attente peut durer de quelques secondes à
plusieurs minutes, ce qui est très incommodant pour l’utilisateur final, surtout dans le cas de sites web.
Il est possible de déterminer le nombre d’utilisateurs qui seront confrontés à ce problème. Les grands
fournisseurs et opérateurs d’Internet comme Facebook, Yahoo, Google, etc. ont signalé que 0,02% à 0,1% de
leurs utilisateurs avaient été confrontés à une « IPv6-brokenness ». C’était principalement dû à des bugs dans
des systèmes spécifiques et à des environnements de réseau mal configurés.
Client: Happy Eyeballs
Pour lutter contre ce phénomène, certains navigateurs utilisent le système « Happy Eyeballs » 5 , où le
protocole le plus adapté est sélectionné en testant effectivement la disponibilité et la vitesse d’IPv4 et IPv6.
Lorsque ce type de navigateur reçoit un « A-record » ou un « AAAA-record », il tente d’établir (quasi)
simultanément une connexion IPv6 et IPv4. Le protocole qui « gagne » est provisoirement enregistré et
directement utilisé la fois suivante pour établir une connexion.
Le grand avantage est que l’utilisateur ne remarque rien (y compris aucun retard). L’inconvénient est que des
connexions (inutiles) un peu plus nombreuses sont établies avec le serveur.
4
http://tools.ietf.org/html/rfc6589
5
http://tools.ietf.org/html/rfc6555
3
Lettre d'information IPv6 – 9 octobre 2012
4. SITE DE TEST ET JAVASCRIPTS
Les utilisateurs techniques qui souhaitent tester rapidement via un navigateur si leur configuration Internet est
compatible avec IPv6 peuvent se rendre sur le site http://test-ipv6.com/. Une série de tests automatiques (via
Javascript) y seront réalisés et généreront des éventuels rapports de problèmes, avec une brève description
des causes possibles et des suggestions de solutions.
Bien entendu, il est aussi possible de placer un tel script de test (sous forme adaptée ou non) sur son propre
site web. Pour ce faire, on peut utiliser le code de http://code.google.com/p/falling-sky/ ou
http://www.getipv6.info/index.php/Warning_broken_users_with_JavaScript.
COUR DES COMPTES ACCESSIBLE VIA IPV6
Depuis début octobre, le site web de la Cour des comptes (http://www.ccrek.be) est également accessible via
IPv6. Pour tout complément d’information, veuillez prendre contact avec Bart Vermoesen.
4
Lettre d'information IPv6 – 9 octobre 2012
5. L'INTRODUCTION D'IPV6 DANS L'ADMINISTRATION FÉDÉRALE BELGE
Décision du Conseil des ministres
Le Conseil des ministres du 22 juin 2012 a décidé que les services publics fédéraux doivent être compatibles
avec IPv6 dans les deux ans6.
À cet égard, il convient d'accorder la priorité aux sites web et services (web) utilisés par les citoyens, les
entreprises et les autres services publics. Une période de transition est prévue, durant laquelle les services
seront accessibles tant via IPv4 que via IPv6.
Responsabilités
En sa qualité d'intégrateur de services, Fedict peut remplir une fonction de coordination mais la responsabilité
de l'introduction d'IPv6 incombe aux services publics mêmes.
Afin de souligner l'importance économique d'IPv6, le SPF Économie présidera un groupe de travail dans lequel
l'IBPT sera également représenté.
SUPPORT
Pour les collaborateurs IT des SPF/SPP
Fedict a créé un espace de travail IPv6 sur beConnected, la plate-forme sécurisée pour l'échange de documents
entre les différents services publics.
Les informations présentes dans cet espace de travail sont surtout destinées aux managers IT, responsables
réseaux et chefs de projets (IT).
Contactez le responsable beConnected de votre service si vous n'avez pas encore accès à cette plate-forme. Si
vous avez déjà accès à beConnected, vous pouvez sur simple demande obtenir l'accès à l'espace de travail IPv6.
Pour les managers IT des SPF/SPP
Outre l'espace de travail sur beConnected, les managers IT des SPF et SPP peuvent également s'adresser au
Groupe de pilotage ICT permanent (PICTS).
6
http://presscenter.org/fr/pressrelease/20120623/plan-de-d%C3%A9ploiement-de-lipv6-en-belgique?setlang=1
5
Lettre d'information IPv6 – 9 octobre 2012
