IPv6 news-fr-20121009
Upcoming SlideShare
Loading in...5
×
 

IPv6 news-fr-20121009

on

  • 229 views

 

Statistics

Views

Total Views
229
Views on SlideShare
229
Embed Views
0

Actions

Likes
0
Downloads
3
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NoDerivs LicenseCC Attribution-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    IPv6 news-fr-20121009 IPv6 news-fr-20121009 Document Transcript

    • Lettre dinformation IPv6 – 9 octobre 2012 La présente lettre dinformation peut être diffusée gratuitement et de manière illimitée. Elle vise cependant tout d’abord à informer les gestionnaires informatiques, les chefs de projets et les responsables réseaux des services publics fédéraux belges des nouveaux développements et des possibilités techniques dIPv6. Bart Hanssens, Expert interopérabilité Fedict (DG Standards et Architecture du système) Table des matières Configuration DNS DNS records Reverse DNS Impact éventuel sur le firewall Quel protocole a priorité ? Si un serveur possède à la fois un « A-record » et un « AAAA-record » Serveur: DNS Whitelisting déconseillé Client: IPv6 et repli vers IPv4 Client: Happy Eyeballs Site de test et Javascripts Cour des Comptes accessible via IPv6 Lintroduction dIPV6 dans ladministration fédérale belge Décision du Conseil des ministres Responsabilités Support Pour les collaborateurs IT des SPF/SPP Pour les managers IT des SPF/SPP1 Lettre dinformation IPv6 – 9 octobre 2012
    • CONFIGURATION DNS DNS records Les serveurs DNS enregistrent l’adresse IPv4 d’une machine dans un « A-record », tandis qu’une adresse IPv6 (4 fois plus longue) est enregistrée dans un « AAAA-record ». Ces records peuvent coexister et peuvent être consultés tant sur IPv4 que sur IPv6. Un système peut dès lors (mais ne doit pas obligatoirement) posséder simultanément une adresse IPv4 et une adresse IPv6 ; et le contenu d’un « AAAA-record » peut à la fois être envoyé sur IPv4 et sur IPv6. Reverse DNS Le système Reverse DNS, où le serveur DNS doit donner un nom de machine correspondant à une adresse IP, est parfois utilisé comme mode de contrôle par les filtres anti-spam. Tout comme pour IPv4, il est possible de créer des « PTR-records » pour IPv6 : ils sont eux aussi un peu plus longs et font partie du domaine « ip6.arpa » (au lieu de « in-addr.arpa »). Impact éventuel sur le firewall Les requêtes DNS se déroulent souvent via UDP, ce qui est plus efficace que les requêtes via TCP. Étant donné que les adresses IPv6 sont plus longues, il peut arriver que le résultat de ces requêtes soit plus long que les 512 octets prévus initialement 1, ce qui peut faire échouer la requête. Les gestionnaires de réseaux ont donc intérêt à mettre en place un « Extension Mechanism for DNS » (EDNS0) 2, une option qui est d’ailleurs aussi nécessaire pour implémenter une sécurisation DNSSEC 3 (qui en soi n’a rien avoir avec IPv6). Il se peut que la configuration du firewall doive être adaptée. 1 http://tools.ietf.org/html/rfc1035 2 http://tools.ietf.org/html/rfc2671 3 http://tools.ietf.org/html/rfc40332 Lettre dinformation IPv6 – 9 octobre 2012
    • QUEL PROTOCOLE A PRIORITÉ ? Si un serveur possède à la fois un « A-record » et un « AAAA-record » Si un serveur possède à la fois un « A-record » et un « AAAA-record », on ne sait pratiquement pas prévoir quel protocole le client utilisera pour communiquer avec ce serveur : cela dépend en effet de l’environnement de réseau, du système d’exploitation, et de l’application avec lesquels il travaille. Serveur: DNS Whitelisting déconseillé Le système « DNS Whitelisting », où un serveur DNS n’envoie les « AAAA-records » que dans les environnements compatibles IPv6, est déconseillé car cela demande davantage de maintenance et que, à terme, l’introduction d’IPv6 est plutôt contre-productive qu’efficace. 4 Client: IPv6 et repli vers IPv4 Pour promouvoir l’usage d’IPv6, certains systèmes donnent la préférence à IPv6 lorsque l’environnement de réseau a été configuré afin d’utiliser à la fois IPv4 et IPv6. Dans de rares cas, il peut y avoir des problèmes avec la connexion IPv6 et l’application attend le TCP time-out avant de lancer une connexion IPv4. En fonction du système, cette attente peut durer de quelques secondes à plusieurs minutes, ce qui est très incommodant pour l’utilisateur final, surtout dans le cas de sites web. Il est possible de déterminer le nombre d’utilisateurs qui seront confrontés à ce problème. Les grands fournisseurs et opérateurs d’Internet comme Facebook, Yahoo, Google, etc. ont signalé que 0,02% à 0,1% de leurs utilisateurs avaient été confrontés à une « IPv6-brokenness ». C’était principalement dû à des bugs dans des systèmes spécifiques et à des environnements de réseau mal configurés. Client: Happy Eyeballs Pour lutter contre ce phénomène, certains navigateurs utilisent le système « Happy Eyeballs » 5 , où le protocole le plus adapté est sélectionné en testant effectivement la disponibilité et la vitesse d’IPv4 et IPv6. Lorsque ce type de navigateur reçoit un « A-record » ou un « AAAA-record », il tente d’établir (quasi) simultanément une connexion IPv6 et IPv4. Le protocole qui « gagne » est provisoirement enregistré et directement utilisé la fois suivante pour établir une connexion. Le grand avantage est que l’utilisateur ne remarque rien (y compris aucun retard). L’inconvénient est que des connexions (inutiles) un peu plus nombreuses sont établies avec le serveur. 4 http://tools.ietf.org/html/rfc6589 5 http://tools.ietf.org/html/rfc65553 Lettre dinformation IPv6 – 9 octobre 2012
    • SITE DE TEST ET JAVASCRIPTS Les utilisateurs techniques qui souhaitent tester rapidement via un navigateur si leur configuration Internet est compatible avec IPv6 peuvent se rendre sur le site http://test-ipv6.com/. Une série de tests automatiques (via Javascript) y seront réalisés et généreront des éventuels rapports de problèmes, avec une brève description des causes possibles et des suggestions de solutions. Bien entendu, il est aussi possible de placer un tel script de test (sous forme adaptée ou non) sur son propre site web. Pour ce faire, on peut utiliser le code de http://code.google.com/p/falling-sky/ ou http://www.getipv6.info/index.php/Warning_broken_users_with_JavaScript. COUR DES COMPTES ACCESSIBLE VIA IPV6 Depuis début octobre, le site web de la Cour des comptes (http://www.ccrek.be) est également accessible via IPv6. Pour tout complément d’information, veuillez prendre contact avec Bart Vermoesen.4 Lettre dinformation IPv6 – 9 octobre 2012
    • LINTRODUCTION DIPV6 DANS LADMINISTRATION FÉDÉRALE BELGE Décision du Conseil des ministres Le Conseil des ministres du 22 juin 2012 a décidé que les services publics fédéraux doivent être compatibles avec IPv6 dans les deux ans6. À cet égard, il convient daccorder la priorité aux sites web et services (web) utilisés par les citoyens, les entreprises et les autres services publics. Une période de transition est prévue, durant laquelle les services seront accessibles tant via IPv4 que via IPv6. Responsabilités En sa qualité dintégrateur de services, Fedict peut remplir une fonction de coordination mais la responsabilité de lintroduction dIPv6 incombe aux services publics mêmes. Afin de souligner limportance économique dIPv6, le SPF Économie présidera un groupe de travail dans lequel lIBPT sera également représenté. SUPPORT Pour les collaborateurs IT des SPF/SPP Fedict a créé un espace de travail IPv6 sur beConnected, la plate-forme sécurisée pour léchange de documents entre les différents services publics. Les informations présentes dans cet espace de travail sont surtout destinées aux managers IT, responsables réseaux et chefs de projets (IT). Contactez le responsable beConnected de votre service si vous navez pas encore accès à cette plate-forme. Si vous avez déjà accès à beConnected, vous pouvez sur simple demande obtenir laccès à lespace de travail IPv6. Pour les managers IT des SPF/SPP Outre lespace de travail sur beConnected, les managers IT des SPF et SPP peuvent également sadresser au Groupe de pilotage ICT permanent (PICTS). 6 http://presscenter.org/fr/pressrelease/20120623/plan-de-d%C3%A9ploiement-de-lipv6-en-belgique?setlang=15 Lettre dinformation IPv6 – 9 octobre 2012