En cette période de fêtes ( Noël et jour de l’an) , je ne pouvais pas passer à coté de cette nouvelle qui concerne tous les heureux qui auront trouvé une XBox One sous leur sapin de Noël

VIDEO Microsoft Claims ISP IPv6 Support Will Make XBox One Faster

La vidéo se trouve ici

et bien sur , je vais en profiter pour vous souhaiter  à tous une excellente année 2014 …en IPv6 bien sur 🙂

 

 

 

Déployer IPv6 grâce à LISP

Ceux qui suivent régulièrement reseauxblog auront peut-être déjà vu la petite vidéo ci-dessous qui montre simplement comment utiliser LISP (Locator/ID Separation Protocol – RFC 6830) pour déployer IPv6 en overlay sur un WAN IPv4.

Une nouvelle raison de regarder LISP, et une excuse en moins pour ne pas encore avoir déployé IPv6! 🙂

Le gouvernement US passe à l’IPv6

Le DSI, Vivek Kundra, du gouvernement US avait promis en Septembre 2010 (memorandum M-05-22, qui se trouve ici)  que l’ensemble des sites de l’administration civile US devaient être accessibles en IPv6 avant Septembre 2012 , nous sommes en Octobre 2012 . Qu en est-il exactement ?

Lire la suite

Anyconnect 3.1 ajoute des nouvelles fonctions en IPv6

Hier , je vous parlais des nouvelles fonctions IPv6 de l ASA , aujourd’hui c est le tour du client ANYCONNECT et de sa dernière  version 3.1 qui ajoute aussi beaucoup de nouvelles fonctions IPv6 parmi lesquelles :

Lire la suite

NAT64, NAT46 et NAT66 disponible dans les produits de sécurité Cisco : ASA 5500

Je crois que cela est passé inaperçu mais c’est pourtant très intéressant , la Gamme ASA5500 s’offre une nouvelle release majeure de software avec plusieurs fonctionnalités très intéressantes en particulier sur IPv6 puisque cette version apporte les fonctions qui vont permettre une migration tout en douceur vers IPv6

Voici en vrac la liste des fonctions IPv6 apportées :

Lire la suite

Déploiement d’IPv6 dans le monde , nouvelle contribution Cisco France.

Ici tout ce qu il faut savoir sur le déploiement d’IPv6 dans le monde et par pays : Préfixes IPv6 alloués/routables , AS de Transit IPv6 enable, Contenus accessibles en IPv6 , nombre d’utilisateurs connectés en IPv6 etc …

En passant la souris sur un pays , vous aurez une vision synthétique de toutes ces informations mais en cliquant sur un pays , vous aurez toutes les données historisées sous forme graphique.

Lire la suite

Nouveautés IPv6 First Hop Security sur les switchs d’accès!

La release IOS 15.0(2)SE sortie récemment apporte le support de nombreuses fonctionnalités IPv6 First Hop Security sur nos plateformes d’accès catalyst 3k-X, 3k-E et 2960-S. Tous les détails sur cet article de reseauxblog. Avec le support déjà existant sur nos solutions WiFi (release 7.2 du controleur), et les fonctions RA guard déjà supportées sur catalyst (6500 sup720, sup2T) et catalyst 4500 (à partir de la sup6) on a maintenant une solution vraiment intéressante pour sécuriser nos réseaux. Attention cela vous concerne que vous ayez déployé IPv6 ou non (voir mon récent post BYOD=IPv6)

BYOD = IPv6


Ca y est vous avez franchi un premier cap, vous avez décidé de laisser les personnels utiliser leurs propres terminaux dans votre entreprise (c’est le BYOD – Bring Your Own Device). Vous avez retenu la leçon ça permet d’être plus productifs, plus heureux, etc. Mais saviez-vous que bon nombre de ces joujoux ont IPv6 activé par défaut et qu’il n’est pas possible de le désactiver? (enfin du moins pas toujours simplement) Prenez par exemple vos iphones et ipads qui représentent une bonne partie de ces terminaux et vous constaterez qu’ils ont une adresse IPv6 (le soft ip6config permet de visualiser tout cela très bien)

Lire la suite

IPv6: le déploiement s’accélère

13% des entreprises ont déjà déployé le nouveau système d’adressage IPv6 à travers tout ou une partie de leurs réseaux, alors qu’elles n’étaient que 5% en 2011, révèle une enquête récente réalisée par BT Connect.

Retrouvez l’enquête ici

Webinar IPv6 pour le World IPv6 Launch

A l occasion du World IPv6 Launch, nous avons organisé un webinar dont l’agenda était :
– les enjeux du Launch
– les métriques d adoption IPv6 dans le monde (Réseaux, Contenus, Utilisateurs , Devices)
– les modèles de deployment de l IPv6 sur la présence internet d’entreprise ou sur le réseau interne de l entreprise
– Cisco on Cisco (presence Internet)
– Pourquoi choisir Cisco pour réussir sa migration

Si cela vous interesse, il y a une séance de rattrapage en accédant à l’enregistrement de ce Webinar qui a réuni 250 clients et partenaires.

visionnez la VOD

Yahoo.com et Yahoo.fr accessible en IPv6

en plus de cisco.com/cisco.fr/webex.com, facebook.com , google.fr/google.com, Yahoo.com et Yahoo.fr deviennent accessibles en IPv6 aussi !!

A ce rythme là avec les ISP et les principaux fournisseurs de contenu Internet et les principaux CDN qui passent en IPv6 , il ne faut plus tarder avant que tout le reste du web bascule en ipv6

a quand e-bay, Twitter et Amazon ??

Cisco.fr sera accessible en IPv6 le 6 juin !

Charité bien ordonnée commence par soi-même!

A l’occasion du V6 world Launch le 6 Juin prochain, non seulement cisco.com sera joignable en IPv6 mais cisco.fr également. Alors si vous disposez d’une connexion IPv6 professionnelle ou de chez vous, avec votre freebox révolution ou votre 9box, et que votre ordinateur tourne vista/Seven/macos/linux ou que vous disposiez d un smartphone iOS ou Android, vous serez connecté chez Cisco.com et cisco.fr en IPv6 !!
bon surf

IPv6 launch le 6 juin: un webinar pour tout comprendre et partager nos expériences


La fin du monde date de l’IPv6 launch se rapproche à grands pas! Nous avons organisé le 6 juin à 14 heures un webinar pour faire le point ensemble afin de tout comprendre et bien préparer l’arrivée du nouveau protocole de l’internet. N’hésitez pas à vous inscrire, retrouvez toutes les informations ici: http://www.cisco.com/web/FR/solutions/netsys/ipv6/index.html

La France centre du monde IPv6 selon Google?

Je réalise que l’on n’a toujours pas posté sur ce blog la carte ci-dessous qui donne les statistiques d’accès IP aux services de Google… Un petit cocorico: la France serait le centre du monde IPv6 selon Google!

Je vous encourage à aller directement consulter cette carte sur la page des statistiques IPv6 maintenue par Google: http://www.google.com/intl/en/ipv6/statistics/. Vous pourrez ainsi voir pour chaque pays les chiffres précis. Que peut-on dire?

Lire la suite

Happy Eyeballs (RFC 6555)

Le draft Happy Eyeballs est finalement devenu la RFC 6555

Il s’agit ici de faciliter le déploiement IPv6 en mettant en oeuvre des mécanismes supplémentaires pour améliorer l’expérience utilisateur.

Supposons qu’un utilisateur cherche à aller sur un site. La requête DNS donnera éventuellement une adresse IPv4 et une adresse IPv6 (si le site en question en possède une). Dans la plupart des cas le browser utilisera l’adresse IPv6 et tentera donc d’établir une connexion TCP vers le serveur en utilisant un transport IPv6. Si pour une raison quelconque ce tranport IPv6 n’est pas assuré de bout en bout (ou mal assuré), la requête terminera en timeout et il faudra recommencer une tentative de connexion sur un transport IPv4. On peut imaginer aussi que l’établissement de la connexion soit extrêmement longue. Dans les deux cas de figure, l’expérience utilisateur se révèlera mauvaise.

Lire la suite

Launching a New Internet Protocol

Vous vous en souvenez surement .. Janvier 2011 .. un an déjà.

Ce mois marquait alors l’annonce par un grand nombre d’acteurs de l’internet d’un test grandeur nature de déploiement IPv6 – Le World IPv6 Day.
Cisco fut un des premiers à annoncer sa participation et après des mois d’un travail plutôt intense, il apparu clairement que ce jour était à marquer d’une pierre blanche dans l’histoire d’IPv6.

Cette journée fut en effet riche en enseignements de tout ordre et le consensus apparu rapidement sur la nécessité de ne pas seulement prévoir un nouveau test d’une journée .. mais cette fois d’activer IPv6 une bonne fois pour toute et de le laisser.

Le 6 juin 2012 l’industrie s’unira donc de nouveau, activera IPv6 et le laissera en place : c’est le World IPv6 Launch.

Lire la suite

IPv6 world congress – 7 au 10 février 2012 – Paris

Dans 3 semaines, Paris accueille  l’IPv6 world congress pour la deuxième année consécutive. Après un bon millésime 2011 nous aurons cette fois-ci surtout des retours d’expérience d’opérateurs et d’entreprises après le jump day de juin dernier. Profitez de la proximité de cette conférence et venez nombreux: des annonces intéressantes devraient être faites pour 2012: http://www.uppersideconferences.com/v6world2012/v6world2012intro.html

Et comme l’année dernière, on a en même temps le MPLS & Ethernet world congress en même temps dans le même hôtel… pas de quoi s’ennuyer donc! http://www.uppersideconferences.com/mplsworld2012/mplsworld2012intro.html

Quelle portion réelle de l’internet IPv6 ready?

Et si on pondérait les allocations IPv6 par la taille des réseaux IPv4 concernés? C’est l’idée qu’a eu Rene Wihelm et qu’il nous expose brillament dans RIPE labs.

On n’aurait donc plus 47% de LIR avec un préfixe IPv6 mais on doit plutot considérer 81% de l’Internet susceptible d’être adressé en IPv6!

Idem ne parlons plus de 29% des LIR routés en IPv6: 61% de l’Internet serait déjà potentiellement routé en IPv6!

Jetez un coup d’oeil a l’article: http://readonly.labs.ripe.net/Members/emileaben/interesting-graph-ipv6-per-lir

Merci à Olivier Cahagne pour les infos!

2 drafts présentant des retours d’expérience de réseaux IPv6-only

Intéressant, certains commencent à mouiller un peu le maillot et jouent le jeu IPv6 à 100% ! Ils nous décrivent les tests réalisés et nous donnent leurs observations:

Pour ce test une dizaine de personnes ont accepté de travailler au quotidien sur un réseau v6-only. Leur conclusion reste que travailler dans un réseau IPv6-only est possible mais ne s’applique pas à tous, surtout en raison de problèmes au niveau de certaines applications qui ne sont pas NAT64-ables en raison du transport d’adresses IP dans les payloads. Ils suggèrent donc un déploiement basé sur du dual-stack mais n’ont pas de doutes sur la très prochaine résolution des problèmes identifiés qui permettra un modèle IPv6-only. Ci-dessous un extrait:

Lire la suite

J’ai testé pour vous : Stateful NAT64 avec DNS64

Mon post qui décrivait mes tests NAT64 ayant suscité beaucoup d’intérêt j’ai poursuivi les tests en ajoutant un DNS64 annoncé en DHCPv6. J’ai ensuite ajouté une borne wifi et me voilà eu bureau dans un environnement 100% IPv6!

Objectif du lab:

Mettre en oeuvre un environnement NAT64 stateful/ DNS64 et DHCPv6 complet et montrer comment il est possible très simplement de créer des ilots v6-only qui continuent d’avoir acès aux ressources sur l’internet IPv4.

Topologie:

La topologie du lab est la même que celle de mon test NAT64 précédent avec simplement l’ajout d’un serveur DNS64 et l’annonce de celui-ci via DHCPv6:

  • Le préfixe IPv6 complet du réseau du lab est 2001:db8:cafe::/48
  • Le préfixe IPv6 du lien 100% IPv6 est 2001:db8:cafe:100::/64. Les hosts s’auto-configurent via le mécanisme SLAAC.
  • Le préfixe spécifique IPv6 (NSP – Network Specific Prefix) associé à NAT64 stateful est 2001:db8:cafe:2::/96. Une adresse IPv4 A.B.C.D est convertie en 2001:db8:cafe:2::A.B.C.D
  • Le pool d’adresses IPv4 sur lesquelles sont « NATées » les adresses IPv6 ne compte qu’une seule adresse dans ce lab: 10.151.200.1
  • Un serveur DNS64 qui a pour adresse: 2001:db8:cafe:200:20c:29ff:fe08:6b90

 

Plateforme:

 

  • NAT64: Routeur ASR1004
  • DNS64: Serveur UCS

 

Software:

 

  • NAT64: IOS-XE 3.4.0S – advanced IP services (asr1000rp1-advipservicesk9.03.04.00.S.151-3.S.bin)
  • DNS64: BIND 9.8.1 sous Ubuntu 4.4.1 (pas très récent)

 

Détails des tests et résultats:

 

1. Configuration de la plateforme de test

 

1.1. Configuration de Stateful NAT64

 

La configuration est celle réalisée lors du test initial NAT64.

 

1.2. Configuration du DNS64

 

La configuration est extrêmement simple. Après avoir installé BIND 9.8.1, il m’a suffit de:
  • Configurer le serveur pour écouter en IPv6
  • Configurer le préfixe IPv6 associé à NAT64 (sur lesquelles les adresses IPv4 sont automatiquement traduite)
  • Configurer un forwarder (10.30.30.30 dans notre cas). Dans le cas le plus classique, on peut imaginer qu’une entreprise ne souhaitera pas initialement faire des modifications sur ses serveurs DNS pour déployer NAT64. Il est très simple de configurer le serveur DNS64 en mode proxy: il se contentera de relayer les requêtes sur le serveur DNS officiel puis de traduire les résultats.
  • Cas particulier: dans le lab qui a servi à faire les tests il n’y a pas d’accès internet IPv6. Il faut donc absolument éviter que le DNS64 retourne une adresse IPv6 globale dans le cas où le host recherché existe dans l’internet IPv6! Tout doit être natté64! Cela est fait via la ligne « exclude { ::/0; }; » ci-dessous.
options {
  listen-on-v6 { any; };
  forwarders { 10.30.30.30; };
  dns64 2001:db8:cafe:2::/96 {
    exclude { ::/0; };
  };
  allow-query { any; };
  recursion yes;
};

 

1.3. Configuration de DHCPv6

 

Rien de plus simple. Sur l’interface Gi0/0/2 sur laquelle les hosts sont présents:

interface GigabitEthernet0/0/2
 description LAN V6 ONLY (NAT64)
 no ip address
 negotiation auto
 ipv6 address 2001:DB8:CAFE:100::1/64
 ipv6 dhcp server V6ONLY
 nat64 enable

 

Et en global, il suffit de définir le profil V6ONLY:

 

ipv6 dhcp pool V6ONLY
 dns-server 2001:DB8:CAFE:200:20C:29FF:FE08:6B90
 domain-name test.com

 

2. Tests et résultats

 

2.1. Validation du fonctionnement de DNS64

 

On peut faire un test simple en demandant les enregistrements A et AAAA pour http://www.test.com (qui n’est pas encore nativement accessible en IPv6, cad qui n’a pas d’adresse IPv6 dans le DNS).

root@dns64:~$ dig +short @127.0.0.1 -t A www.test.com
50.23.225.49
root@dns64:~$ dig +short @127.0.0.1 -t AAAA www.test.com
2001:db8:cafe:2::3217:e131

On observe que l’adresse 50.23.225.49 est bien embarquée dans l’adresse 2001:db8:cafe:2::3217:e131.

 

Je teste ensuite le comportement du DNS64 pour un host qui existerait dans l’internet IPv6 (www.renater.fr dans l’exemple ci-dessous)

root@dns64:~$ dig +short @10.30.30.30 -t AAAA www.renater.fr
2001:660:3001:4002::10
root@dns64:~$ dig +short @127.0.0.1 -t AAAA www.renater.fr
2001:db8:cafe:2::c131:9f0a

On observe que malgré la présence d’un enregistrement AAAA retourné par le forwarder du DN64 10.30.30.30, c’est bien l’adresse NAT64 qui est retournée grâce à la configuration « exclude { ::/0; } » de bind. Bien sûr dans l’hypothèse où un accès IPv6 existe, il faut supprimer cette exclusion pour privilégier l’accès IPv6 natif à celui NATté.

 

2.2. Validation de DHCPv6

 

Malheureusement DHCPv6 n’est pas supporté sur MAC OS! Aussi j’ai du configurer statiquement l’adresse IPv6 du serveur et supprimer toutes les configurations IPv4. Je ne manquerai pas de revenir sur DHCPv6 dans un prochain post.

2.3. Fonctionnement de l’ensemble

 

Que dire si ce n’est que tout fonctionne comme prévu sans constater de dégradation de performance? Après seulement quelques minutes de browsing la table de translation nat64 se remplit:

ASR1#sh nat64 translations 

Proto  Original IPv4         Translated IPv4
       Translated IPv6       Original IPv6 
----------------------------------------------------------------------------

tcp    144.254.231.90:993    [2001:db8:cafe:2::90fe:e75a]:993                
       10.151.20.1:1174      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60213    
tcp    72.163.4.70:443       [2001:db8:cafe:2::48a3:446]:443                 
       10.151.20.1:1043      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60052    
tcp    74.207.254.18:80      [2001:db8:cafe:2::4acf:fe12]:80                 
       10.151.20.1:1148      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60161    
tcp    72.9.238.226:80       [2001:db8:cafe:2::4809:eee2]:80                 
       10.151.20.1:1166      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60190    
tcp    74.125.39.103:443     [2001:db8:cafe:2::4a7d:2767]:443                
       10.151.20.1:1172      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60209    
tcp    74.125.39.147:80      [2001:db8:cafe:2::4a7d:2793]:80                 
       10.151.20.1:1134      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60140    
tcp    74.125.39.147:80      [2001:db8:cafe:2::4a7d:2793]:80                 
       10.151.20.1:1085      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60115    
tcp    72.163.4.70:443       [2001:db8:cafe:2::48a3:446]:443                 
       10.151.20.1:1034      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60037    
tcp    173.37.161.166:80     [2001:db8:cafe:2::ad25:a1a6]:80                 
       10.151.20.1:1063      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60081    
tcp    69.171.242.53:80      [2001:db8:cafe:2::45ab:f235]:80                 
       10.151.20.1:1054      [2001:db8:cafe:100:e6ce:8fff:fe0e:30e]:60062    
…
…

Total number of translations: 155

 

Un peu de lecture:

 

Stephane Bortzmeyer a réalisé 2 pages excellentes sur Stateful NAT64 et DNS64 que je vous recommande.

%d blogueurs aiment cette page :