un titre ambitieux ? jaimerai vous convaincre : désactiver ipv6 naccélère pas votre machine de ne...

Arnaud LHEUREUXNetwork Support EngineerGlobal Technical Support CenterMicrosoft France

Windows Vista : le vrai début d’IPv6 ?

Mes objectifs pour cette session

Un titre ambitieux ?J’aimerai vous convaincre :

Désactiver IPv6 n’accélère pas votre machineDe ne pas désactiver IPv6De commencer à jouer avec !

Agenda

IPv6 : encore, pourquoi ? Fonctionnement d’IPv6Windows Vista, la nouvelle stack, IPv6

Pourquoi IPv6 ?

Technologie fantastiqueCapitaliser sur les années d’existence du protocole réseau le plus utilisé

Vista apporte un lot de nouveautés formidables

Apport fondamental des applicationsVecteur d’adoption massive d’IPv6

Evolution du nombre d’hôtes de l’Internet

Aug-8

1

May-8

2

Feb-

83

Nov-8

3

Aug-8

4

May-8

5

Feb-

86

Nov-8

6

Aug-8

7

May-8

8

Feb-

89

Nov-8

9

Aug-9

0

May-9

1

Feb-

92

Nov-9

2

Aug-9

3

May-9

4

Feb-

95

Nov-9

5

Aug-9

6

May-9

7

Feb-

98

Nov-9

8

Aug-9

9

May-0

0

Feb-

01

Nov-0

1

Aug-0

2

May-0

3

Feb-

04

Nov-0

4

Aug-0

5

May-0

60

50000000

100000000

150000000

200000000

250000000

300000000

350000000

400000000

450000000

500000000

http://www.isc.org/index.pl?/ops/ds/host-count-history.php

Bilan de la situation actuelle…

Situation critique

Utilisation de subterfuges : NAT Perte du mode end-to-end de l’InternetApplication peer-to-peer (collaboration, partage de fichiers, téléphonie sur IP, IPSec)

192.168.0.10

131.107.47.119 157.60.13.9

NAT

Host

Webserver

Internet

NAT

L’expérience connectée aujourd’hui

1. Installer les caméras2. Configurer leurs adresses IP3. Se connecter à la passerelle ADSL4. Trouver le nom que le constructeur a bien voulu utiliser (Mapping, Port

Forwarding, Firewall settings, NAT or NAPT)5. Chercher sur quel port la camera sert les clients6. Dans la rubrique “Port Forwarding” spécifier le port externe sur lequel

vous aller publier la première caméra et activer le forwarding vers l’adresse et le port que vous avez précisé en étape 2

7. La même chose pour la deuxième camera, en prenant un port différent8. Ajouter un peu de sécurité en mettant éventuellement des mots de

passes pour l’accès aux cameras9. Contacter son fournisseur pour lui demander une adresse statique ou

utiliser des services de DNS dynamiques

Ta mère peut le faire ?

NAT

Internet change

Plus rien à voir avec ce pour quoi il a été conçuDe plus en plus de matériels connectés

Et cela ne va pas aller en s’arrangeantPC, PDA, téléphone, console, télévision, réfrigérateur, voiture…Applications industrielles

IPv6 – les apports

Espace d’adressage

Un espace d’adressage immense ! IPv4 = 2^32 = 4 294 967 296IPv6 = 2^128 = 79 228 162 514 264 337 593 543 950 336 * 4 294 967 296

667 132 684 374 677 176 652 037 099 894 adresses pour chaque km² de la Terre (océans inclus)

Mobilité

Prêt pour des réseaux autonomesAutoconfiguration

Communications mobiles naturellesSimplifie le roaming des machines en évitant un passage systématique par le home agentVecteur d’adoption massive de la mobilité ?

Sécurité et IPv6

IPSec possible de bout en bout avec disparition des NATUtilisation d’adresses temporaires permet une certaine volatilitéSécurisation du réseau possible dès ICMP

Secure Network Discovery (RFC 3971, 3972)

IPv6 en quelques mots

Nouvel en-têteEspace d’adressage “infini”Routage amélioréAutoconfigurationSécurité et mobilité pensés dès la conceptionMeilleur support de la QoSNouveau protocole de balisage (ICMPv6)

Quel est l’intérêt de passer à IPv6 si les applications ne sont pas prêtes ?

Besoin d’IPv6 ?

Aucun!

Besoin d’IPv6

Pourquoi investir dans IPv6 ?

IPv6 est la nouvelle plateforme de communication

Il remplira son rôle de protocole de réseau

Tirer parti de tous les avantages nécessite la migration des applications

Les applications sont clés dans le calcul du ROI d’IPv6

IPv6 présent dans tous les nouveaux produits permet d’imaginer de nouvelles applications

Espace de collaboration Windows (Vista)Etiquettes RFIDConvergence fixe mobile

IPv6 pour les administrateurs de réseaux IPv4

Une adresse IPv6

Adresse IPv6 en binaire :00100001110110100000000011010011000000000000000000101111001110110000001010101010000000001111111111111110001010001001110001011010

On regroupe par paquets de 16 bits:0010000111011010 0000000011010011 0000000000000000 00101111001110110000001010101010 0000000011111111 1111111000101000 1001110001011010

On converti en hexadécimal :21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C

5A

On réduit les zéros devant chaque bloc :21DA:D3:0:2F3B:2AA:FF:FE28:9C5A ?!

Architecture d’adressage

64 bits d’adressage d’architecture64 bits d’adressage machines

RFC 4291

6416453

Interface IDSubnetFP Global Routing Prefix

Adresse IPv4

Réseaux (255.255.255.0)

Machines (255.0.0.0) 32 bits

Machines et hôtes

HôtesSous RéseauRéseaux

Adresse IPv6

/48/1 /32

64 bits pour les machines

64 bits pour les réseaux

IPv6 et les sous-réseaux

Types d’adresses IPv6

Plus de broadcastMulticast systématique

Multihoming systématiqueUne adresse par type de connexion

IPv4 IPv6

Unicast Unicast

Multicast Multicast

Broadcast

Anycast

Adresses unicast globales

Portée globaleEquivalentes aux adresses IPv4 publiques

StructureGlobal Routing PrefixSubnet IDInterface ID

64 bits16 bits48 bits

Public Topology Site Topolog

y

Interface Identifier

Interface IDSub IDGlobal Routing Prefix001x

RFC 3587

Adresses lien-local

Portée localeEquivalentes aux adresses APIPA (RFC 3927)

Préfixe : fe80::/64Utilisé pour le lien

Sur un sous-réseau, pas de routageAuto-configuration des adressesDécouverte du voisinage réseau

1111 1110 10 Interface ID

10 bits 64 bits

000 . . . 000

54 bits

RFC 3513

Addresses uniques locales

Portée d’une organisationEquivalentes des adresses de la RFC 1918192.168.0.0/16 | 172.16.0.0/12 | 10.0.0.0/8

Préfixe FC00::/7Remplace les adresses de site locales

1111 110 Interface ID

7 bits 64 bits

Global ID

40 bits

Subnet ID

16 bits

L

RFC 4193

Allocations actuelles des préfixes

Allocation Préfixe Portion de l’espace

Unicast Globale 2000 à 3FFF 1/8

Unicast Lien Locale

FE80 à FEBF 1/1024

Unicast Unique Locale

FC00 à FDFF 1/128

Multicast FF00 à FFFF 1/256

Autres valeurs non utilisées : 7/8 de l’espace d’adressage non utilisé!

RFC 4291

Adresses de multicast

Flags0 si multicast permanent, 1 si temporaire

Scope1 = noeud 2 = lien 5 = siteE = global

1111 1111 Group IDFlags Scope

8 bits 112 bits4 bits 4 bits

RFC 2375

Principales adresses de multicast

Adresse Utilisation

Portée Lien local

FF02::1 Tous les nœuds

FF02::2 Tous les routeurs

FF02::1:FFxx:xxxx Multicast sollicité du nœud

FF02::1:1 Nom du lien

FF02::1:2 Serveur DHCP du lien

FF02::1:3 Résolution de noms lien local

Portée Site

FF05::2 Tous les routeurs

FF05::1:3 Tous les serveurs DHCP

RFC 2375

Découverte du voisinage

Basé sur ICMPv6 (RFC 2463)Équivalent de (ARP+ICMP, etc.)

Dialogue dynamique et interactif entre les machines et les routeurs à partir de 5 messages de base

Router solicitation / router advertisementNeighbor solicitation / neighbor advertisementRedirect

RFC 3756

Découverte du voisinage

Concept clé à la base des communications IPv6Permet de définir les communications entre machines sur un même sous-réseau

Router discovery/prefix discovery, autoconfiguration de l’adresseDécouverte des paramètres (MTU, PMTU, hop limit,etc.) Adaptation à la couche liaison, détermination des adresses dupliquéesSignalisation des changements de routes

RFC 3756

Repères adressage IPv4/IPv6

IPv4 IPv6

Adresses organisées en classes N’existe plus

Broadcast N’existe plus

Multicast (224.0.0.0/4) Multicast (FF00::/8)

Adresse non spécifiée 0.0.0.0 Adresse non spécifiée ::

Loopback 127.0.0.1 Loopback ::1

Adresses IP Publiques Adresses globales

Adresses IP Privée Adresses de site unique

Adresses autoconfigurées APIPA Adresses de lien local

Notation décimale pointée Notion hexadécimale

Masque de sous-réseau Préfixe

A retenir

Espace d’adressage immenseSimplification des entêtes

Longueur fixeRoutage plus efficace (avec chainage des en-têtes)Pas de vérification du checksum au niveau 3

Hiérarchisation des flux de donnéesPlus de broadcast

IPv6 et Windows Vista

Nouveautés IPv6 de Vista

IPSEC over IPv6

IPv6 over PPP

Sécurité et Teredo

Intégré au firewall

IPv6-literal.net

LLMNR http://[AdresseIPv6]

Interface graphique

Dual IP layer

MLDv2

Installé par défaut

Adresses aléatoires

ApplicationLayer

Transport Layer (TCP/UDP)

IPv6

Network Interface Layer

IPv4

Architecture Dual IP Layer

Gestion des adresses

Dérivées de l’adresse MAC (EUI64)Adresses aléatoires

Adresses lien local et globales protégéesPour les connexions sortantesAdresses temporaires renouvelées périodiquement sur interfaces publiques

Attribuées par serveur DHCP

Contrôle d’IPv6 dans Windows Vista

IPv6 est installé par défaut sous Vista Tous les composants sont contrôlables par clé de registre :

HKLM\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\DisabledComponentsFonction Valeur de

DisabledComponentsDésactiver tous types de tunnels 0x1Désactiver 6to4 0x2Désactiver ISATAP 0x4Désactiver Teredo 0x8Désactiver Teredo et 6to4 0xADésactiver sur le LAN et interfaces PPP

0x10

Désactiver sur le LAN, PPP, et tunnels

0x11

Préférer IPv4 à IPv6 0x20Désactiver IPv6 sur toutes les interfaces et préferer IPv4 à IPv6

0xFF

Gestion des adresses « en dur »

http://[AdresseIPv6]Saisie d’URL dans Internet Explorer

IPv6-literal.netExtension DNS à ajouter pour explorer un partage Exemple : \\2001:db8::1.ipv6-literal.net\docs

Link-local Multicast Name Resolution

LLMNR : Internet draft: draft-ietf-dnsext-mdns-47.txt

Résolution de nom en lien local et multicast sur un subnet sans serveur DNS

Exemple : groupe de machines sur un réseau sans-fil, réseau domestique

Messages LLMNR

Messages LLMNR :Comparables aux messages DNS (RFC 1035) mais ports différents

Dans Windows Vista:Requête et réponse LLMNR : UDP port 5355 Cache du résolveur LLMNR est séparé du cache de résolveur DNSGroupe de multicast FF02::1:3

Commencer avec IPv6 sans attendre son fournisseur

Technologies de transition dans Vista

Ensemble de mécanismes de tunneling (IPv6 over IPv4)

Répondre à différents besoins de connectivité

Démarrer l’expérience IPv6 sans attendre son provider, ou l’infrastructure réseau d’entreprise

Tester dès maintenant les applications IPv6

ISATAP

Technique de tunnel automatique pour communications routeur-machine, machine-machine, routeur-routeurConnectivité IPv6 sur un réseau IPv4

Utilisé quand une connexion native n’existe pas

Permettre un déploiement graduel et centralisé d’IPv6Router des paquets entre hôtes ipv6 natifs et tunnelés

RFC 4214

ISATAP

Adresse ISATAP consiste en préfixe + adresse IPv4 de la machine :

[64-bit prefix]:0:5EFE:w.x.y.z

Préfixe peut être local, global, ou 6to4Exemple

Machine ayant pour adresse 192.168.1.10Aura pour adresse ISATAP de lien local fe80::5EFE:192.168.1.10

RFC 4214

6to4

Adresse 6to4Préfixe 2002:WWXX:YYZZ::/48Exemple:

157.54.0.1 converti en héxa = 9D36:1 Adresse = 2002:9D36:1::/48

6to4 considère tout l’internet IPv4 comme un seul réseau

RFC 3056

Subnet ID Interface IDWWXX:YYZZ

32 bits 16 bits 64 bits

2002

16 bits

TeredoRFC 4380

Inventé par Christian Huitema (MSFT)Aussi appelé IPv6 – Nat TraversalOffrir une connectivité IPv6 aux clients derrière une NATAdressage et tunneling automatique pour le trafic unicastEncapsule le trafic IPv6 dans des messages UDP/IPv4Ajuste son comportement selon le type de NAT du client

Utilisation des technos de transition

Si la machine reçoit un message de Router Advertisement,

Utilisation de la connectivité IPv6 native

Si la machine reçoit un Router Advertisement ISATAP

Utilisation d’ISATAPStop l’utilisation d’autres technologies

Si la machine a une adresse IPv4 publiqueUtilisation de 6to4Stop l’utilisation d’autres technologies

Si la machine a une connectivité IPv4 privéeUtilisation de Teredo

Conclusion

IPv6 est déjà sur votre réseau ! C’est un premier pas vers les réseaux peer-to-peerTirez-en parti !

Technologies de transitions sont vos meilleurs alliés (ISATAP/6to4/portproxy)Commencez dès maintenant

TestFormationPlanification

Références

Windows Networking – http://www.microsoft.com/networkingMicrosoft IPv6 – http://www.microsoft.com/ipv6 Communautés – microsoft.public.platformsdk.networking.ipv6 Cable Guy – Changements d’IPv6 dans Vista

http://www.microsoft.com/technet/community/columns/cableguy/cg1005.mspx Cable Guy – Configuration d’IPv6 dans Vista

http://www.microsoft.com/technet/community/columns/cableguy/cg0506.mspx

© 2007 Microsoft France

Votre potentiel, notre passion TM

Arnaud LHEUREUX | Network Engineer EMEA Global Technical Support Center

La référence technique

pour les IT Pros :technet.microsoft.com

La référence technique

pour les développeurs :

msdn.microsoft.com

S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée

Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs

Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique

Visual Studio 2005 +

Abonnement MSDN Premium

Abonnement TechNet Plus :

Versions d’éval + 2 incidents support