Embed Size (px)
DESCRIPTION
Benjamin Bouckenooghe ingénieur support senior se propose afin de traverser en 1h IPV6, son implémentation, les bonnes pratiques et un tour sur les retours support autour d'IPV6.
Citation preview
palais des congrès Paris
7, 8 et 9 février 2012
IPv6 or not IPv6 ?Telle est la question…
09/02/2012 Benjamin BouckenoogheSupport Escalation EngineerMicrosoft
Fonctionnement d’IPv6 dans les grandes lignes
FondamentauxConfigurationTunnels / mécanismes de transitionRésolution de noms
Comment gérer IPv6Limites et conseils de bonne pratique avec IPv6
Agenda
Modifiez le titre de la démoIPv6 –Les fondamentaux
Adresse sur 128 bitsNouveau format de header des paquetsUtilisation efficace et hiérarchique des infrastructures des routeurs (préfixes)Configuration d’adresse "stateless" ou "stateful" (plus d’APIPA)Sécurité intégrée (utilisation intégrée d’IPSec)Meilleure gestion du QoS (Quality of Service)Nouveau protocole d’intéraction avec les équipements réseau : plus d’ARPExtensible
IPv6 - Fondamentaux
Les préfixes IPv6 permettent de déterminer le pays du fournisseur d’accès Internet
Les préfixes – D’où êtes-vous ?
IPv6 – Préfixes (détail)
Préfixe Nom Utilisation CommentaireFE80::/64 Lien local Unicast Non routable Toujours présent
2000:/3 Unicast global Routable Doit être assigné par un routeur, DHCPv6 ou manuellement2002::/16 Unicast 6to4
(Global)Routable Uniquement présent lorsqu’un routeur 6to4 est disponible ou que le client
dispose d’une adresse IPv4 de type public. Le préfixe 6to4 contient l’adresse IPv4 de la machine.
2001::/32 Unicast Teredo (Global)
Routable Uniquement présent lorsqu’une adresse IPv4 de type privé est présente et que des serveurs Teredo sont “visibles”. Désactivé par défaut dans un domaine Active Directory.
FC00::/8 Unique Local(Global in usage)
Routable sur les réseaux privés
Adresse “privée” assignée centralement qui se comporte comme une adresse globale mais uniquement dans un réseau “privé”.
FD00::/8 Unique Local Routable sur les réseaux privés
Adresse “privée’ localement assignée qui se comporte comme une adresse globale mais uniquement dans un réseau privé.
2001:db8::/16 Unicast global Routable Uniquement à fin de documentation
FF00::/8 Multicast Dépend du type Les préfixes IPv6 multicasts commençant par FF0 définissent des “well known multicast” dont le 4ème caractère indique le scope.Example dans les 4 lignes suivantes de ce tableau
FF02::/8 Lien local Multicast “Well known”
Lien local Adresse multicast non routable enregistrée auprès de www.iana.org Par exemple : FF02::2 est pour tous les routeurs d’un même lien
FF12::/16 Lien local Multicast “locally assigned”
Lien local uniqment assigné localement – n’est pas enregistré.
FF05::/16 Site Local multicast "Well-known"
Routable dans un site donné et enregistré auprès de www.iana.org
FF0E::/16 Multicast global "Well-known" Multicast routable enregistré auprès de www.iana.org (support Internet limité)
FEC0::/10 Site local Routable dans un même site
Préfixe d’adresse privée, routable – n’est plus utilisé
Taille d’une adresse IPv6 : 128 bits, divisée en 8 blocs de 16 bits (groupe de 4 binaires de 4 bits) séparé par deux points ":" Exemple d’adresse Sous la forme binaire0010000000000001 0000110110111000 00000000000000000010111100111011 0000001010101010 00000000111111111111111000101000 1001110001011010 Sous la forme hexadécimale2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A Adresse sans les zéros2001:DB8:0:2F3B:2AA:FF:FE28:95CA
Exemple d’adresse "optimisées" FF02:0:0:0:0:0:0:2 peut s’écrire FF02::2 Une suite de 0 peut être remplacé par des ":"
Que signifie une adresse : FE80::16A:EAD3:839F:B344%11 ? Adresse "local-link" FE80::16A:EAD3:839F:B344 de l'interface numéro
11
IPv6 – Détail d’une adresse
Préfixe de segment réseau : 64 bits 2001:DB8:2A0:2F3B::/64 => préfixe de segment
réseau valide (10 premiers bits pour le préfixe et les 54 suivants pour le segment réseau)
Préfixe de résumé de route ou plage d’adresse appartenant à une portion d’étendue d’adresse IPv6 : 48 bits 2001:DB8:3F::/48
IPv6 – Préfixes
IPv6 versus IPv4
IPv4 IPv6
ARP Request Message Neighbor Solicitation Message
ARP Reply Message Neighbor Advertisement Message
ARP Cache Neighbor Cache
Gratuitous ARP Duplicate Address Detection
Router Solicitation Message (optionnel)
Router Solicitation Message (optionnel)
Router Advertisement Message (optionnel)
Router Advertisement Message (optionnel)
Redirect Message Redirect Message
Modifiez le titre de la démoIPv6 – Autodiscover
Obtention d’une adresse IPv6 :
« Local-link » pour chaque interface (dynamique)DHCPv6 (dynamique)Neighbor Discovery Messages (dynamique)Paramétrage manuel
Neighbor Discovery Messages :
Router SolicitationRouter AdvertisementNeighbor SolicitationNeighbor AdvertisementRedirect
IPv6 – Configuration d’une adresse
Configuration automatique :
« Local-link » pour chaque interface« Stateless », « Stateful » ou « both » selon les équipements réseau sollicités (routeurs) selon les interfaces.
Contenu des messages de découverte IPv6 (flags) :
Managed Address Configuration [M]Other Stateful Configuration [O]Prefix informationAutonomous [A]
IPv6 - Autodiscover
Mécanique de découverte
IPv6 – Autodiscover
Routeur
DHCP
1. Découverte IPv6
2. Réponse = Stateless
[M]anaged Address Configuration = 0[O]ther Stateful Configuration = 0[A]utonomous = 1
1. Découverte IPv62. Réponse = Stateful
[M]anaged Address Configuration = 1[O]ther Stateful configuration = 1[A]utonomous=0Pas d’information de préfixe particulière
1. Découverte IPv6
2. Réponse = Both[M]anaged Address Configuration = 1[O]ther Stateful Configuration = 1[A]utonomous = 1
Tentative : En cours de vérification sur l’adresse est bien unique (DAD)
Valide : Adresse valide pour recevoir de l’Unicast
Préférée : Adresse valide et unique pour tout type de communication
Dépréciée : Adresse valide et unique mais pas qui doit être à nouveau validée pour
rebasculer dans le statut Préférée.
Invalide : Adresse non validée et donc inutilisable.
IPv6 – Statut des adresses auto-configurées
Tentative d’adresse “locale” (local-link) dérivée du préfixe local FE80::/64 et de l’identifiant EUI-64 dérivé de l’interface réseau.Vérification qu’il n’existe pas de duplica d’adresse avec envoi d’un message “neighbor solicitation” Si message “neighbor advertisement” : cela
indique qu’un autre hôte est dans le même contexte (risque de collision)=> il faut passer en configuration manuelle
Si pas de message “neighbor advertisement” : l’adresse est considérée comme unique et valide.
Processus d’auto-configuration
Modifiez le titre de la démoIPv6 – Les tunnels
Les tunnels 6to4 ISATAP Teredo
Les tunnels font parti des mécanismes de transition d’IPv4 vers IPv6
IPv6 – Les Tunnels
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) RFC 4214
Mécanisme IPv6 de transition qui permet de transmettre des paquets IPv6 entre des machines ayant aussi le protocole IPv4, via ce dernier.
IPv6 - ISATAP
Exemple d’encapsulation ISATAP
TEREDO RFC 4380
Permet d'encapsuler des paquets IPv6 dans des paquets IPv4 (via UPD). Ceci permet d'acheminer les paquets via des NAT
IPv6 - TEREDO
6TO4 Permet de
transmettre des paquets IPv6 via IPv4 sans utiliser de tunnels comme Teredo ou ISATAP
RFC 3056
Dynamiquement activé si l’adresse IPv4 de la machine correspond à une adresse de la plage « publique » autre que :
10.0.0.0 à 10.255.255.255
172.16.0.0 à 172.31.255.255
192.168.0.0 à 192.168.255.255
IPv6 – 6TO4
Modifiez le titre de la démoIPv6 – Résolution de noms
La résolution de nom DNS IPv6 AAAA DNS IPv4 A DNS64 LLMNR (Local-Link
Multicast Name Resolution)
DNS IPv6 AAAA Les clients s’enregistrent si
interface 6to4 active. Pas pour FE80::
DNS IPv4 A Attention lors d’une mise à jour
dynamique IPv6 des informations sur IPv4 sont intégrées
DNS64 Mécanique permettant de
résoudre des adresses IPv4 dans une requête IPv6 (intégré dans UAG et dans Windows Server "8")
LLMNR : Successeur de NetBT pour IPv6
Note : par défaut la résolution de nom IPv6 est prioritaire sur l’IPv4
IPv6 – DNS
Modifiez le titre de la démoIPv6 – Intéractions
Les adresses FE80:: ne sont jamais enregistrées dans le DNS.Lorsqu’une adresse IPv4 correspond à une plage d’adresse publique, il y a création d’une adresse 6to4 (2002::) Cette adresse est enregistrée par le client Dans la table des préfixes, l’adresse 6to4 est préférée à
l’IPv4 Lorsqu’il n’y a pas configuration des routeurs pour IPv6
Conséquence : Windows essaye toujours de communiquer en premier via IPv6 et ensuite en IPv4
Pourquoi trouve-t-on des enregistrements AAAA dans le DNS
IPv6 étant par défaut prioritaire à IPv4, cela peut avoir un impact sur les performances, en particulier lorsque la machine a enregistré une adresse IPv6 (AAAA) dans le DNS.Peut potentiellement avoir des impacts sur la sécurité si les flux IPv6 ne sont pas surveillés, ou que les équipements type pare-feu ne sont pas configurésPour les applications qui ont une dépendance sur IPv4, il n’existe pas de transition automatique vers IPv6 et cela peut impacter leur fonctionnement.Ne pas complètement désactiver IPv6, mais uniquement le tunnel 6to4 par exemple.
Problématique des enregistrements AAAA dans le DNS
Impact sur les performances des résolutions DFS Referral :http://blogs.technet.com/b/askds/archive/2009/10/28/dfs-referrals-and-
ipv6-outta-site.aspx
Ralentissement des autentifications dans le domaine Active Directory (DC distant), ou, surcharge de certains contrôleurs de domaineRéplication Active Directory ou promotion d’un contrôleur de domaine peut être imprévisibleImpact sur des applications utilisant les sites Active Directory (SMS, SCCM par exemple)Il faut définir les segments réseau IPv6 dans l’Active Directory
http://technet.microsoft.com/en-us/library/ee406201.aspx
Ouverture de session ou résolution DFS lentes si IPv6 non configuré
Pour les contrôleurs de domaine, car au niveau LDAP ils cessent d’écouter sur les ports de l’interface “loopback” IPv6Pour les services Exchange qui ne peuvent plus se connecter sur les ports LDAPLa désactivation du service IPHelper qui entraîne des problèmes de connectivité par rapport aux tunnels IPv6Performance affectée pour : le Client Side Caching (offline files) et le BranchCache (Windows Server 2008 R2 et Windows 7)Potentiellement peut générer des problèmes aléatoires dans des scenarii non testés.
Impacts de la désactivation d’IPv6 ?
Remote Assistance Windows Meeting Space (P2P) Homegroup DirectAccess
Fonctionnalités indisponibles si IPv6 désactivé
Interface 6to4 créée dynamiquement si IPv4 correspont à une adresse de la plage publiquePar défaut TEREDO est désactivé dans un domaine AD (détection d’un contrôleur de domaine)
http://blogs.technet.com/b/ipv6/archive/2007/12/14/teredo-in-windows-vista-designed-with-security-in-mind.aspx
ISATAP n’est pas actif tant qu’un serveur ISATAP n’est pas joignable
Fonctionnement des machines “dual stack”
Pour les machines ne disposant que des adresses “local-link” (FE80::) : Pas d’actions complémentaires à faire sur les routeurs Pas d’enregistrement dynamique d’entrées AAAA dans
le DNS Pas de requêtes DNS sur les entrées AAAA
Les requêtes AAAA ne sont effectuées que par les machines disposant d’une adresse IPv6 routablePar défaut si pas de réponse à une requête DNS IPv6, la requête IPv4 est effectuée.Par défaut IPv6 est préféré par rapport à IPv4
Fonctionnement des machines “dual stack”
Modifiez le titre de la vidéoDémo – adresses IPv6
Modifiez le titre de la démoIPv6 – Bonnes pratiques
Laisser le protocole IPv6 actif et ne pas le décocher de l’interface réseau (GUI)Posibilité de prioriser les flux IPv4 par rapport à IPv6:
Valeur DisabledComponents à 0x20 http://support.microsoft.com/kb/929852 Configurable par GPO. Attention : requiert un redémarrage.
Possibilité de désactiver le tunnel 6to4 si l’IPv4 correspond à une adresse de la plage “publique”
Valeur Enable6to4 à 0x3 (HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\config)
Configurable par GPO (Computer configuration/Policies/Administrative Templates/Network/TCPIP Settings/IPv6 Transition Technologies" "6to4 state" en "disable“)
Configurable en ligne de commande “netsh interface 6to4 set state disabled"
Ne pas désactiver IPv6
Contrôler le trafic échangé avec Internet : Bloquer les flux IPv6 sur IPv4 : drop des paquets
IPv4 avec le protocole 41 Lorsque TEREDO est utilisé : configurer le pare-
feu IPv4 pour supprimer silencieusement le traffic IPv4 dont la source (ou la destination) utilise le port UDP 3544 (seul le traffic entre le serveur TEREDO et les réseaux externes doivent être autorisés).
Sécurité pour IPv6
Attention certaines applications ne sont pas compatibles avec IPv6 (Dynamics AX 2009 par exemple)IPv6 Guide for Windows Sockets Applications
http://msdn.microsoft.com/en-us/library/ms738649.aspx
IP Protection Levelhttp://msdn.microsoft.com/en-us/library/aa832668.aspx
Unrestricted : permet aux applications de tirer parti des capacités d’IPv6 via NAT (TEREDO)
Edgerestricted : ne permet pas l’utilisation d’IPv6 via NAT Restricted : limitation du traffic IPv6 au local-link
uniquement
Applications, développement et IPv6
Utilisation de l’outil NVspBind :http://archive.msdn.microsoft.com/nvspbind
Ligne de commande : Vérifier le binding des interfaces réseau :
Nvspbind /o ms_tcpip6 Réactiver le binding d’IPv6 sur une interface :
Nvspbind /e “Local Area Connection” ms_tcpip6
Comment vérifier le “binding” d’IPv6 pour une interface ?
Modifiez le titre de la vidéoLes liens
How to configure a Windows Vista client to obtain an IPv6 DHCP address http://support.microsoft.com/kb/961433Le protocole DHCPv6 http://technet.microsoft.com/fr-fr/magazine/2007.03.cableguy.aspxDHCPv6 - Understanding of address configuration in automatic mode and installation of DHCPv6 Server http://blogs.technet.com/b/teamdhcp/archive/2009/03/03/dhcpv6-understanding-of-address-configuration-in-automatic-mode-and-installation-of-dhcpv6-server.aspxDHCPv6 Stateless and Stateful Server in Windows Server 2008 http://blogs.technet.com/b/teamdhcp/archive/2007/01/27/dhcpv6-stateless-and-stateful-server-in-windows-server-longhorn.aspxWhy Deploy IPv6 - Resources.... http://blogs.technet.com/b/chrisavis/archive/2007/06/27/why-deploy-ipv6-resources.aspxWhat Is IPv6? http://technet.microsoft.com/fr-fr/library/cc738582(WS.10).aspxIPv6 http://technet.microsoft.com/en-us/network/bb530961IPv6 Transition Technologies (TechRef) http://technet.microsoft.com/en-us/library/dd379548(WS.10).aspxIPv6 versus IPv4 - Comment prioriser les flux IPv4 dans Windows http://blogs.technet.com/b/windows_networking_fr/archive/2011/09/26/ipv6-versus-ipv4-comment-prioriser-les-flux-ipv4-dans-windows.aspx
IPv6 – Les liens
Eviter de désactiver IPv6 Préférer la priorisation IPv4
(DisabledComponents à 0x20) Eventuellement bloquer 6to4 (Enable6to4 à 0x3)
Collaborer avec les personnes en charge de l'infrastructure réseau pour l'implémentation d'IPv6Valider que les applications (internes ou externes) soient compatibles IPv6
IPv6 – En résumé
Modifiez le titre de l’annonceQuestions ?
