Difference between revisions of "MOOC:Compagnon Act41-s7"

From Livre IPv6

(Obtenir un préfixe IPv6)
(Pour aller plus loin)
 
(421 intermediate revisions by 7 users not shown)
Line 1: Line 1:
> [[MOOC:Accueil|MOOC]]>[[MOOC:Contenu|Contenu]]>[[MOOC:Sequence_4|Séquence 4]] > [[MOOC:Activité_42|Activité 42]]
+
<!--
 +
> [[MOOC:Accueil|MOOC]]>[[MOOC:Contenu|Contenu]]>[[MOOC:Document_Compagnon |Doc compagnon]] > [[MOOC:Compagnon_Act41-s7 |Activité 41]]
 +
 
 
----
 
----
 +
-->
 +
__NOTOC__
  
==<div id="Deployer">II/ Activer IPv6 dans son infrastructure  </div>==
 
 
<!-- ----------------------------------------- -->
 
<!-- ----------------------------------------- -->
 +
=<div id="Deployer">Activité 41 : Communiquer en double pile  </div>=
 +
<!-- ----------------------------------------- -->
 +
<!-- {{Approfondissement}} -->
 +
== Introduction==
  
=== Rappel de la technique de la double pile ===
+
Une organisation qui a une infrastructure de communication reposant sur le protocole IPv4 rencontre des difficultés pour faire croître son réseau de manière simple. Elle décide de passer à IPv6 avec, comme cahier des charges :
Le mécanisme de double pile IP (''Dual Stack'') présenté par le RFC 4213 consiste à doter un équipement du réseau de la pile protocolaire IPv6 en plus de celle d'IPv4 et d'affecter une adresse IPv4 et IPv6 à chaque interface réseau.  L’utilisation paralèlle des piles IPv4 et IPv6 vise l’intégration de IPv6 tout en assurant aux noeuds en double pile une compatibilité parfaite avec le réseau IPv4 existant. Ainsi les noeuds double pile sont capables de communiquer dans les deux versions du protocole IP.  La figure 1 illustre ce principe. La station B peut dialoguer en IPv4 avec la station A et en IPv6 avec la station C. Le listing suivant donne un exemple de configuration d'une double pile dans un environnement Unix.
+
* déployer IPv6 sans casser ou perturber ce qui fonctionne en IPv4 ;
 
+
* rendre le déploiement complètement transparent à l'utilisateur ;
[[image:CS175.gif]]<br>
+
* viser des améliorations en terme de simplicité de gestion et de performance du réseau ou, au pire, que cette dernière soit équivalente à celle obtenue en IPv4 ;
Figure 1: Noeud double pile.
+
* maintenir la connectivité avec l'Internet IPv4.
  
{{TODO|A completer avec rfc6180}}
+
Afin d'avoir un déploiement progressif d'IPv6, elle s'oriente vers un déploiement en double pile qui est un des premiers mécanismes de coexistence, et le plus recommandé. En effet, il évite les problèmes liés à l'utilisation des tunnels. C'est la technique de transition originellement envisagée comme nous le rappellerons.
 +
La suite de ce document décrit les principaux éléments relatifs à l’activation d’une double pile. Dans un premier temps, l'adressage et la configuration à mettre en place sont étudiés. Ensuite, les points propres à chacune des principales applications réseaux (DHCP, DNS, pare-feu, supervision) à prendre en compte lors du passage en IPv6 sont soulevés. Enfin, les problèmes induits par l’utilisation de la double pile ainsi que leurs solutions sont précisés.
  
voir http://www.bortzmeyer.org/6180
+
== Technique de la double pile ==
 +
Le mécanisme de double pile IP (''Dual Stack''), spécifié par le RFC 4213, consiste à doter un équipement du réseau de la pile protocolaire IPv6, en plus de celle d'IPv4, et d'affecter une adresse IPv4 et IPv6 à chaque interface réseau. La configuration des équipements réseaux en double pile exige clairement un double travail de configuration à la fois en IPv4 et en IPv6.  L’utilisation parallèle des piles IPv4 et IPv6 vise l’intégration de IPv6 tout en assurant aux nœuds en double pile une compatibilité parfaite avec le réseau IPv4 existant. Ainsi, les nœuds en double pile sont capables de communiquer dans les deux versions du protocole IP. La figure 1 illustre ce principe.  
  
=== Plan de migration en double pile===
+
<center>
La double pile a été proposée dès le début d'IPv6. Le plan originel de migration de l'Internet reposait d'ailleurs sur ce mécanisme comme le rappelle G. Huston [http://www.potaroo.net/ispcol/2008-10/v4depletion.html] par la figure 2.
+
[[image:41-fig1-2.png|280px|thumb|center|Figure 1 : Architecture d'un nœud en double pile.]]
 +
</center>
  
[[Image:42-fig1.jpg|200px]]<br>
+
Dans le cas d'un routeur, il y a une table de routage pour chaque version du protocole. Le routeur est ainsi capable de relayer à la fois les paquets IPv6 et IPv4. De cette façon, IPv4 et IPv6 coexistent sur la même infrastructure. Autrement dit, IPv6 n'a pas besoin d'une infrastructure dédiée.
Figure 2: Plan de migration vers IPv6.
+
  
Cependant le problème de la pénurie d'adresses IPv4 n'est pas résolu avec ce mécanisme. Comme l'interface réseau d'un équipement en double-pile possède une adresse de chaque version IP. La croissance de l'internet continue d'épuiser l'espace d'adressage IPv4. Mais cela offre la possibilité de déployer des noeuds IPv6 afin de vérifier dans un premier temps la compatibilité de son réseau à ce nouveau protocole. Les problèmes inhérants à l'utilisation d'IPv6 peuvent donc être identifié très tôt. Ensuite dans un second temps, cela augmente la base des noeuds IPv6 installés.  Au fur à mesure du déploiement de ces noeuds, les communications pourront se faire de plus en plus souvent en IPv6. En effet, le client en double pile utilisera en priorité IPv6  pour joindre un serveur lui-même en double pile. Le protocole IPv4 reste cantonné au cas ou la tentative échoue en IPv6 ou si le serveur est resté sur la vieille version d'IP. Enfin dans un dernier temps, quand la majorité des services est accessible en IPv6, la croissance de l’Internet aurait pu se poursuivre en IPv6 uniquement.  Il devenait envisageable de se passer d'IPv4 et de ses NAT (''Network Address Translation'') comme la valeur de l'Internet était sur IPv6. Un cercle vertueux était enclénché. L'effort d'interopéarbilité aurait changé de camp rendant IPv4 encore plus complexe à utiliser par conséquent accélérant encore le passage à IPv6.
+
La technique de la double pile résout le problème d'interopérabilité lié à l'introduction de la pile IPv6. Quand cela est possible, la communication se fait en utilisant la nouvelle version du protocole. Dès qu'un des éléments n'est pas compatible (réseau, système d'exploitation, application), le protocole IPv4 est utilisé. Mais, pour que cette technique soit pleinement utilisable, cela implique que les routeurs entre les 2 correspondants soient aussi configurés pour router les deux types de paquets et que des applications soient capables de traiter des communications avec des adresses IPv6.  
 +
Avec cette technique, il est possible d'écrire des applications en IPv6 qui restent compatibles avec les applications IPv4 existantes.
  
 +
== Étude et préparation du déploiement d'IPv6 ==
 +
En fonction du contexte de déploiement, les enjeux et contraintes ne seront pas les mêmes. Il faut distinguer le réseau résidentiel de l'utilisateur domestique qui se caractérise par l'absence d'administration, du réseau d'entreprise qui est administré.
  
Malgré la disponibilité des équipements supportant le double pile, les acteurs de l'Internet tels que les FAI (''Fournisseur d'accès à Internet''), les hébergeurs et les administrateurs de sites n’ont pas perçu l’urgence d’integrer IPv6 dans leurs activités. Les doubles piles déployées sur les noeuds de l’Internet restent largement inutilisées par rapport au plan initial comme le montre la figure 3.  Comme la croissance de l’Internet s’est poursuivie en IPv4. Celle-ci a été affectée avec plusieurs conséquences nefastes comme nous l'avons vu dans l'activité précédente. L'échec du plan initial est largement due à la dérégulation appliquée dans le  secteur  des télécommunications qui l'a rendu hautement compétitif. Cette dérégulation a conduit les acteurs à privilégier le court terme et les rend incapables de prendre en compte les besoins à plus long terme dans leurs activités [http://www.potaroo.net/ispcol/2008-10/v4depletion.html] .  
+
* Au sein d’un réseau résidentiel, les problématiques sont liées à la configuration des équipements terminaux, au déploiement des services de résolution de noms et configuration d’adresses, ainsi qu’aux performances perçues par l’utilisateur.
 +
* Dans le cas d’un réseau d’entreprise, il faudra ajouter les problématiques d’obtention du préfixe IPv6, la définition du plan d’adressage, et la configuration du routage IPv6, en plus de celui d'IPv4. Comme les réseaux d’entreprises hébergent de nombreux services tels que le DNS ou le web, il faut aussi prendre en compte la mise à niveau de ces services.
  
[[Image:42-fig2.jpg|200px]]<br>
+
=== <div id="deploy method"> Méthode </div>===
Figure 3: Etat du plan de migration initial.
+
  
<!-- Ainsi votre propre ordinateur dispose d'IPv6 (iOS > 6, Android > 5, Linux, Unix, Windows, OSX...) . -->
+
L'intégration d'IPv6 dans un réseau d'entreprise demande de la méthode, comme le montre le RFC 7381. Une phase d'étude et d'analyse est un préalable indispensable pour identifier les points bloquant à l'intégration d'IPv6 dans le contexte professionnel.
Avec l'intégration d'IPv6 dans les principaux OS [http://en.wikipedia.org/wiki/Comparison_of_IPv6_support_in_operating_systems] et routeurs [http://en.wikipedia.org/wiki/Comparison_of_IPv6_support_in_routers]
+
et malgré l'attentisme d'une grande majorité des acteurs de l'Internet, de plus en plus d'infrastructures de communications,  d’hébergeurs proposent leur service en IPv6. Certains FAI donnent maintenant  une connectivité IPv6 à leurs clients et ceux qui n’ont pas cette chance peuvent se rabattre sur un accès IPv6 via des tunnels. Ces derniers sont souvent gratuits [http://en.linuxreviews.org/Free_IPv4_to_IPv6_Tunnel_Brokers url].  Les performances en IPv6 ont été fortement améliorées avec la multiplication des points de présence des FAI en IPv6.  Un point de présence  est un lieu géographique du FAI contenant un noeud de son réseau fédérateur autrement dit un point de connectivité pour son réseau de connexion de ses utilisateurs. 
+
De nos jours, comme un grand nombre d’applications (Mail, spam, supervision, Firewall...) intégre désormais IPv6 [http://en.wikipedia.org/wiki/Comparison_of_IPv6_application_support], il est beaucoup plus aisé de déployer IPv6 dans son réseau qu'il y a une dizaine d'années. Mais il vaut faire ce passage le tôt possible de manière à traiter progressivement et sereinement les inévitables bugs logiciels et erreurs de configuration qui surviendront.
+
  
== Déploiement d'IPv6 ==
+
L'intégration d'IPv6 commence par la désignation d'une personne en charge de suivre et coordonner les actions liées à l'intégration d'IPv6. Sa première tâche consistera à dresser un inventaire des équipements du réseau afin de déterminer ceux qui supportent IPv6. Cet inventaire va être un élément clef pour orienter le choix des techniques de transition. Par exemple, si de nombreux segments du réseau ne sont pas "IPv6 compatible", il n'est pas question de tout jeter et de racheter, mais il faudra retenir la technique de transition adaptée à son réseau. En plus du matériel, il faut également faire l'inventaire des logiciels utilisés pour déterminer lesquels supportent IPv6 et lesquels nécessitent une mise à jour.  
En fonction du contexte de déploiement, les enjeux et contraintes ne seront pas les mêmes. Il faut distinguer, le réseau domestique de l'utilisateur résidentiel qui se caractérise par l'absence d'administration, du réseau d'entreprise qui est administré.  
+
  
* Au sein d’un réseau domestique, les problématiques sont liées à la configuration des équipements terminaux, au déploiement des services de résolution de nom et configuration d’adresse ainsi qu’aux performances perçues par l’utilisateur.  
+
Les applications "métiers", développées en interne, doivent être modifiées le plus tôt possible afin de les rendre capables de manipuler des adresses sur 128 bits. Le RFC 4038 propose des méthodes pour développer du code indépendant des versions d'IP. Dans une note<ref>Botzmeyer, S. (2006). [http://www.bortzmeyer.org/network-high-level-programming.html Programmer pour IPv6 ou tout simplement programmer à un niveau supérieur ?]</ref> S. Bortzmeyer propose d'utiliser des bibliothèques de langage de plus haut niveau d'abstraction. Ainsi, les détails de la communication ne remontent pas jusqu'au développeur d'application. Le RFC 6724 indique comment sélectionner les adresses sources. Le RFC 8305 liste et solutionne les problèmes liés à la baisse de performance parfois observée dans les déploiements "double pile". Ce dernier point est développé dans la section "Déploiement au niveau des services" de cette activité.
* Dans le cas d’un réseau d’entreprise, il faudra ajouter les problématiques d’obtention du préfixe IPv6, la définition du plan d’adressage et la configuration du routage IPv6 en plus de celui d'IPv4. Comme les réseaux d’entreprises hébergent de nombreux services tels que le DNS ou le web, il faut aussi prendre en compte la mise à niveau de ses services.
+
<!-- L’intégration d’IPv6 dans ces services et leur supervision sont également des tâches chronophages qui doivent être adréssées. ??-->
+
  
Pour ce qui est de l’administration des équipements réseaux en double pile, cela demande clairement un double travail de configuration à la fois en IPv4 et en IPv6. Notons qu’un réseau peut être entièrement en double pile ou partiellement, à condition que les segments non v6 soient masqués par des tunnels dans lesquels IPv6 est encapsulé dans IPv4. Tous les équipementiers de coeur de réseaux supportent ces mécanismes, ce qui permet rapidement d'acheminer du trafic IPv6 dans une infrastructure IPv4 existante. Lorsque le déploiement est partiel, une attention particulière doit être portée au protocole de routage utilisé, l'activation de fonctions permettant de gérer plusieurs topologies (v4 et v6) pouvant s'avérer nécessaire (cf. [[ISIS]]).
+
<!-- Une section sécurité avec les RFC:  4864 6586 7368  -->
 +
Un point, dans cette phase d'étude, à ne pas négliger concerne la sécurité. L'essentiel des failles de sécurité d'un réseau IPv6 est commune avec celles d'un réseau IPv4. Celles qui sont spécifiques à IPv6 peuvent être dues au manque de support d'IPv6 par les fournisseurs d'équipement de sécurité tels que les NIDS (''Network Based Intrusion Detection System''), pare-feu, outils de monitoring... Ces dispositifs doivent supporter IPv6 aussi bien qu'IPv4 mais ce n'est pas toujours le cas. La faible maturité du code source est également une faille relevée par le RFC 7381. Les problèmes de sécurité spécifiques à IPv6 peuvent aussi être dus à la configuration. Les pare-feu et ACL (''Access Control List'') des logiciels peuvent avoir des règles strictes pour IPv4 mais beaucoup moins pour IPv6.  
 +
Étant donné que leur réseau est beaucoup moins sollicité en IPv6, des administrateurs sont tentés de ne pas fournir autant d'efforts que pour la sécurisation d'IPv4. L'utilisation d'adresses protégeant la vie privée des utilisateurs [RFC 8981] complique également la tâche des administrateurs. Elles sont un frein pour une identification rapide des nœuds.
 +
Les mécanismes de transition reposant sur des tunnels encapsulant IPv6 sur les réseaux IPv4 apportent également des failles inhérentes à l'utilisation des tunnels [RFC 7123]. S'ils sont mal déployés, ils peuvent créer des ''back doors'' qui offrent un moyen de passer outre les sécurités de l'entreprise (en particulier avec Teredo et 6to4 [RFC 6180]).
  
<!-- Une fois la transition achevée vous pourrez apprecier les avantages que procure le principe de bout en bout dans la conception de vos applications et vous éviterez surtout une transition precipitée et houleuse lorsque l’espace d’adressage d’IPv6 sera pour vous indispensable.
+
Même si IPv6 n'est pas déployé dans un réseau, il faut malgré tout prendre en compte IPv6 pour la sécurisation. En effet, la plupart des hôtes sont désormais en double pile. Ils ont une adresse IPv6 "lien-local" qui peut être utilisée pour la communication entre les équipements d'un même lien. Ce trafic peut être filtré sur les équipements de niveau 2 s'ils le permettent. La double pile rend le nœud sensible aux attaques par fausses annonces de routeurs (''rogues RA'') [RFC 6104]. Ces annonces configurent chez les hôtes une fausse connectivité IPv6. Les hôtes enverront le trafic au routeur par défaut, lequel pourra fournir une connectivité IPv6 aux utilisateurs via des tunnels et mettre en œuvre des attaques de type MitM (''Man in the Middle''). Le RFC 7113 propose une méthode d'analyse de l'en-tête IPv6 appelée 'RA-Guard'' (''IPv6 Router Advertisement Guard'') à mettre en œuvre au niveau des commutateurs.
 +
En dépit du fait que les annonces de routeurs illégitimes soient la plupart du temps le fait d'erreurs de configuration de machines hôtes qui émettent des RA, il ne faut néanmoins pas les négliger car une connectivité IPv6 non fonctionnelle ou de mauvaise qualité va affecter la qualité de service perçue par l'utilisateur (voir le paragraphe "problèmes liés à la double pile" de cette activité). Notons que la sécurisation des mécanismes d'autoconfiguration n'est pas un problème spécifique à IPv6. En IPv4, des serveurs DHCP mal intentionnés (idem pour DHCPv6) peuvent également envoyer des informations erronées suite à une requête DHCP. Aussi bien les RA que le DCHP peuvent être sécurisés via l'authentification des messages, mais ces solutions sont très peu déployées en pratique.
  
Notons que au délà de la configuration double pile d'un réseau, une des difficultés consiste à avoir une connection à l’internet IPv6. Nous ferons simplement l’hypothèse que l’utilisateur double pile a un moyen de se connecter à l‘internet IPv6. Cette connection peut se faire de manière native via un opérateur ou via un tunnel,. Ce dernier cas sera traité dans l'activité suivante. -->
+
L'impact des différences entre les deux versions d'IP est souvent mal évalué. Par exemple, l'utilisation d'un préfixe IPv6 GUA pour les hôtes et l'absence de NAT, notamment dans les routeurs SOHO (''Small Office / Home Office'') est perçue comme une faille de sécurité. En plus des règles de filtrage nécessaires à la sécurisation, les RFC 6092 et RFC 7084 imposent que les routeurs SOHO filtrent par défaut les connexions venant de l'extérieur au réseau. De cette manière, l'absence de NAT dans le cadre d'IPv6 n'ouvrira pas plus de faille de sécurité que sur les routeurs SOHO en IPv4. La sécurité de IPv6 peut aussi être surévaluée, comme dans les attaques par balayage de l'espace d'adressage. Malgré la taille gigantesque de l'espace d'adressage en IPv6, le RFC 7707 montre que IPv6 est malgré tout sensible aux attaques par balayage, et qu'il faut s'en protéger. À cet effet, le RFC 6018 propose l'utilisation de ''greynets'' pour IPv4 et IPv6.
  
La suite de ce document décrit les principaux éléments relatifs à l’activation d’une double pile. Dans un premier temps, les problématiques d’adressage et de configuration. Ensuite le deploiement des principales applications réseaux (DHCP, DNS, parefeu, supervision). Enfin, les problèmes induits par l’utilisation de la double pile et comment les contourner.
+
Ensuite, vient la problématique du routage interne. Les principaux protocoles de routage intègrent depuis longtemps IPv6. OSPFv3 supporte IPv4 et IPv6 mais diffère de OSPFv2 sur certains points. Notons qu'il est possible d'utiliser des protocoles de routage différents pour les trafics IPV4 et IPV6. Le document <ref>Matthews, P. Kuarsingh, V. (2015). Internet-Draft. [http://tools.ietf.org/html/draft-ietf-v6ops-design-choices-07 Some Design Choices for IPv6 Networks]</ref>  (en cours d'étude au moment de la rédaction de ce document) détaille les choix de conception spécifiques au routage IPv6.
  
===Préparation===
+
La phase de préparation inclut également le plan d'adressage et l'allocation des adresses. Ces points sont abordés en détail dans la suite de ce document.
  
Objectif : identifier les points bloquants dans le déploiement (les solutions seront données dans les activités suivantes)
+
Il apparaît donc clairement que l'intégration d'IPv6 nécessite d'impliquer de nombreux corps de métiers. Les formations adéquates doivent donc être proposées au personnel de l'entreprise. Cela inclut aussi bien les administrateurs système et réseau, ceux en charge du routage, de l'infrastructure, les développeurs, que le personnel des centres d'appel du support technique. À titre d'exemple, citons l'article<ref> Cisco. (2011). White paper. [http://www.cisco.com/c/dam/en/us/products/collateral/ios-nx-os-software/enterprise-ipv6-solution/whitepaper_c11-637821_v5.pdf Solution Overview—Getting Started with IPv6]</ref> qui rapporte l'expérience de la migration en IPv6 d'un industriel.
  
 +
=== Vérification de la disponibilité d’IPv6 ===
 +
Le protocole IPv6 et ses protocoles associés sont pris en charge par les systèmes d'exploitation depuis plus de 10 ans. Il en découle qu'une grande majorité des nœuds de l'Internet comporte IPv6. Ainsi, au démarrage d'un nœud, même en l'absence d'un routeur IPv6 sur le lien de ce nœud, l'interface se configure automatiquement avec une adresse IPv6. Les exemples ci-dessous montrent que c'est le cas pour les OS les plus courants. Pour chacun des OS, une adresse "lien-local" (''link-local address'') a été allouée [voir la séquence 1]. Elle est utilisée pour les communications locales uniquement, comme par exemple le mécanisme de découverte de voisins [RFC 4861]. Elle n'est pas routable ni, par conséquent, utilisable pour une communication indirecte (passant par un routeur).
  
{{TODO|Décrire la méthode à l'aide du RFC 7381}}
+
Pour que cette vérification soit une formalité, il est nécessaire, bien en amont de l'intégration d'IPv6, d'exiger, dans les achats de matériels et logiciels, la disponibilité d'IPv6 ou la compatibilité<ref>RIPE documents. (2012). [https://www.ripe.net/publications/docs/ripe-554 Requirements for IPv6 in ICT Equipment]</ref>. Par exemple, c'est ce qu'a fait le département nord-américain de la défense<ref>
 
+
Marsan, C.D. (2010). Network World. [http://www.networkworld.com/article/2197203/lan-wan/u-s--military-strong-arming-it-industry-on-ipv6.html U.S. military strong-arming IT industry on IPv6]</ref>.
http://www.bortzmeyer.org/7381.html
+
 
+
===Disponibilité d’IPv6 sur les équipements ===
+
Lorsque vous consultez les interfaces réseaux de votre machine, vous pouvez voir que des adresses IPv6 sont déjà alloués.
+
  
 
MacOSX 10.9.2
 
MacOSX 10.9.2
Line 74: Line 82:
  
 
Linux 2.6.32 :
 
Linux 2.6.32 :
 
 
<pre>
 
<pre>
 
ifconfig eth0
 
ifconfig eth0
Line 89: Line 96:
  
 
Windows :
 
Windows :
 
 
<pre>
 
<pre>
 
c:\> ipconfig
 
c:\> ipconfig
Line 95: Line 101:
 
Ethernet adapter Local Area Connection:
 
Ethernet adapter Local Area Connection:
 
Connection-specific DNS Suffix . :  
 
Connection-specific DNS Suffix . :  
IPv6 Address. . . . . . . . . . . : 2001:db8:21da:7:713e:a426:d167:37ab
+
IPv6 Address. . . . . . . . . . . : 2001:db8:21da:7:713e:a426:d167:37ab
 
Temporary IPv6 Address. . . . . . : 2001:db8:21da:7:5099:ba54:9881:2e54
 
Temporary IPv6 Address. . . . . . : 2001:db8:21da:7:5099:ba54:9881:2e54
 
Link-local IPv6 Address . . . . . : fe80::713e:a426:d167:37ab%6
 
Link-local IPv6 Address . . . . . : fe80::713e:a426:d167:37ab%6
Line 114: Line 120:
 
</pre>
 
</pre>
  
Ces adresses sont dites lien local [Séquence 1]. Elles sont utilisées pour le mécanisme de découverte de voisins [RFC4861] ainsi que pour la composition de l'identificateur pour l'auto-configuration avec DHCPv6. Elle ne sont valides que sur un lien et ne sont donc pas utilisables pour assurer une communication indirecte (passant par un routeur).
+
=== Obtenir un préfixe IPv6  ===
 +
Pour une communication indirecte, il faut compléter la configuration avec une adresse IPv6 unicast qui soit routable. Il existe deux types d’adresses qui répondent à ce critère : les adresses "unicast locales" ULA (''Unique Local Address'') [RFC 4193] et les adresses "unicast globales" GUA (''Global Unicast Address'') [RFC 3587]. Pour rappel, les différences majeures entre ces deux types d’adresses sont les suivantes :
 +
* '''Portée''' : les adresses GUA sont des adresses publiques tandis que les adresses ULA sont des adresses privées. Les adresses privées ne peuvent être utilisées que pour des communications dans un intranet.
 +
* '''Routage''' : Les adresses GUA peuvent être routées dans l’internet. Les adresses ULA, routables uniquement sur une topologie privative, doivent être filtrées par les routeurs en bordure de site. Les préfixes ULA ne doivent pas être annoncés ni acceptés par les routeurs inter-AS.
 +
* '''Obtention''' :  Un préfixe ULA est généré de manière aléatoire par l’administrateur d'un site. Le GUA est obtenu auprès d'un opérateur tiers qui gère un registre d'allocation.  
  
Pour le cas d'une communication indirecte, Il faut compléter la configuration avec une adresse IPv6 unicast qui soit routable. Il existe deux types d’adresses qui répondent à ce critère : les adresses unicast locales ULA [RFC 4193] et les adresses globales GUA [RFC 3587]. Pour rappel, les différences majeures entre ces deux types d’ adresses sont les suivantes :
+
Mais quelle type d'adresse routable utiliser dans un site ? Quelles sont les cas d'utilisation des adresses ULA ? Les éléments de réponses à ces questions sont abordés dans le RFC 5375, qui développe les considérations à prendre en compte pour la mise en place de l'adressage unicast d'IPv6. Ainsi, il recommande un préfixe de lien de /64 pour, notamment, le bon fonctionnement de la procédure d'autoconfiguration d'adresses. Le RFC 6177 discute du préfixe à allouer à un site d'extrémité. Ce préfixe peut varier de /48 à /64Il est recommandé de donner des possibilités de sous-réseaux à l'intérieur du site, ce que ne permet pas une allocation de préfixe à /64.  
* '''Portée''': les adresses GUA sont  des adresses publiques tandis que les adresses ULA sont des adresses privées. Les adresses privées ne peuvent être utilisées pour des communications dans un intranet.
+
* '''Routage'': Les adresses GUA peuvent être routées dans l’internet. Les adresses ULA doivent être filtrées par les routeurs en bordure de site. Les prefixes ULA ne doivent pas être annoncés ni accepté par les routeurs inter AS.
+
* '''Obtention'':  Un préfixe ULA est générée de manière aléatoire par l’administrateur d'un site. Le GUA est obtenu soit auprès de son FAI ou auprès  du RIR  de sa région. On parle de préfixe PA (Préfix Aggregable) lorsqu'il est obtenu de son FAI. Si le FAI change, il faut rendre le préfixe et rénuméroter le réseau du site. Pour éviter ce désagrément, il est possible de demander un préfix independant d'un FAI. On parle alors de préfixe PI (Préfix Independant).  Ce type de préfixe est un nécessité pour les sites multi-domiciliés.
+
  
== Obtenir un préfixe IPv6  ==
+
Il faut tout d’abord noter que le préfixe alloué à un site est souvent très confortable au niveau du plan d'adressage. Il n'y a rien de commun avec ce qui est connu en IPv4. Lorsqu’un site obtient un préfixe /48, il peut avoir 2^16 sous-réseaux différents et 2^64 nœuds dans chacun de ces sous-réseaux. Même l'allocation d'un préfixe /64, qui reste problématique pour déployer des sous-réseaux, donne un nombre d’adresses disponibles qui dépasse de plusieurs ordres de grandeur le nombre de nœuds qu’il peut y avoir dans un réseau.
<!-- (Opérateur ou ULA, le pb de connectivité est abordé ensuite)
+
-->
+
  
Mais quelle type d'adresse routable utilisé dans son site ? Quelles sont les cas d'utilisation des adresses ULA ? Les éléments de réponses à ces questions sont abordés.
+
==== Préfixe ULA ====
Il faut tout d’abord noter que quelquesoit le type de préfixe alloué à un site; Au niveau de la taille du plan d'adressage celui-ci reste très confortable. Il n'a rien de commun avec ce qui est connu en IPv4.
+
Lorsque qu’un site obtient un prefixe /48, il peut avoir 2^16 sous réseaux différents et 2^64 hôtes dans chacun de ces réseaux. Même l'allocation d'un préfixe /64, laisse à l'utilisateur un nombre d’adresses administrables qui dépasse de plusieurs ordre de grandeur le nombre d’interfaces qu’il peut d’y avoir dans un réseau.
+
  
=== ULA  ===
+
Le préfixe ULA [RFC 4193] est l'équivalent, dans son usage, aux préfixes privés d'IPv4 [RFC 1918], mais quasi unique et sans registre central. Ce dernier point rend le préfixe ULA non agrégeable, et donc les adresses ULA non routables sur l’internet. La caractéristique d'unicité du préfixe ULA supprime le risque de conflit entre les 2 plans d'adressage lorsque 2 sites privés fusionnent, ce qui est loin d'être le cas en IPv4.  
Le préfixe ULA est l'équivalent dans son usage au préfixe privé d'IPv4. Les motivations ou les croyances à l'utilisation des adresse privées d'IPv4 ne s'appliquent plus dans le cas d'IPv6. Citons:
+
* '''ULA pour gerer la carence d’adresse IP publique ''' Dans l’internet IPv4, la motivation principale pour l’utilisation des adresses privées est que l’espace d’adressage publique obtenu n’est pas suffisant pour l’ensemble des machines. Dans le cas d’IPv6, cette motivation n’a clairement plus lieu d’être.
+
* ''ULA pour accroitre le niveau de sécurité ?''' L’utilisation des adresses privée dans IPv4 induits que les machines situées derrière un NAT sont plus difficilement accéssibles de l’exterieur. Cela la rend les attaques plus difficiles à réaliser. Cet effet de bord des adresses privées leur vaut la réputation d’être plus sécurisée que des adresses publiques. Certains estiment donc que les adresses GUA exposent les machines directement aux attaquant de l’internet et qu’il faut donc maintenir l’utilisation d’adresse privée au sein des sites et chez les clients. En pratique, même avec une adresse privé, il faut malgré tout utiliser un pare feu pour prévenir les attaques, filtrer le trafic entrant et sortant, restreindre les applications utilisables par les utilisateurs (...). Un simple règle sur un pare feu peut interdire l’ouverture de connection depuis l’exterieur et donc fournir le même niveau de sécurité qu’un NAT.
+
* '''ULA plus facile à deployer ?''' Pour utiliser des adresses ULA et fournir un accès internet à vos utilisateurs il vous faudra un NAT66 pour la translation d’adresses ULA en GUA. Cet équipement devra être acheté et maintenu par l’administrateur. De plus il vous faudra néanmoins demander une adresse publique ou un prefixe /48 à votre ISP. Un réseau basé sur les adresses ULA necessite donc plus de travail qu’un équivalent GUA.
+
  
Les seuls cas où l’utilisation des adresses ULA est réellement motivé sont les réseaux de tests (TPs, testbeds, déploiements prototype) et les réseaux necessitant un niveau de sécurité très élevé et dont les équipements n’ont pas à être connecté à l’internet (réseaux tactiques, hopitaux ...). Dans tous les autres cas, les adresses GUA sont plus faciles à deployer et à administrer.
+
Ce RFC propose, dans un espace réservé <tt>fc00::/7</tt>, de constituer, selon un algorithme, des adresses quasi uniques. Le format des adresses de type ULA est présenté dans l'activité 13. Il est rappelé que le format d'adresse ULA se compose d'un préfixe de 48 bits dont 40 bits (''Global ID'', GID) pour identifier le site. Les 40 bits du GID sont générés en utilisant une fonction de hachage (''i.e.'' SHA-1) de l'heure et de l'adresse MAC de la machine, exécutant l’algorithme détaillé dans le RFC.  
C'est aussi le conseil donné par l'auteur de cette note [http://www.howfunky.com/2013/09/ipv6-unique-local-address-or-ula-what.html].
+
Outre le script, sous licence libre GPL et développé par Hartmut Goebel, indiqué dans l'activité 13, il existe des sites pour générer automatiquement un préfixe ULA comme http://unique-local-ipv6.com/ ou http://www.kame.net/~suz/gen-ula.html, ou bien encore celui du [https://www.sixxs.net/tools/grh/ula/ SIXXS] qui, en plus de fournir un préfixe ULA, l'enregistre dans un registre.  
  
 +
Notons que les raisons conduisant à l'utilisation des adresses privées d'IPv4 ne s'appliquent plus dans le cas d'IPv6. Citons :
 +
* '''Manque d’adresses IP publiques'''. Dans l’internet IPv4, la motivation principale pour l’utilisation des adresses privées est que l’espace d’adressage publique n’est pas suffisant pour l’ensemble des machines. Dans le cas d’IPv6, cette motivation n’a clairement plus lieu d’être.
 +
* '''Accroitre le niveau de sécurité'''. L’utilisation des adresses privées dans IPv4 induit que les machines situées derrière un NAT sont plus difficilement accessibles de l’extérieur par un unique effet de bord. Cela rend les machines derrière le NAT moins vulnérables aux attaques extérieures. Certains estiment donc que les adresses GUA exposent les machines directement aux attaquants de l’internet et trouvent là une justification à l’utilisation d’adresses privées. On notera que cet argument est fallacieux car, avec un adressage privé, il faut malgré tout utiliser un pare-feu pour prévenir les attaques, ce qui montre que la sécurisation n'est pas une question de type d'adresse publique ou privée. Donc, une simple règle sur un pare-feu pour interdire l’ouverture de connexion depuis l’extérieur peut fournir le même niveau de sécurité qu’un NAT.
 +
* '''Facilité de déploiement'''. L'accès Internet, pour un site avec un adressage ULA, nécessite un NAT66 dénommé aussi NPTv6 (''Network Prefix Translation'') [RFC 6296] pour le changement d’adresses ULA en GUA. En plus de l'achat et de la maintenance de cet équipement, ce sont certaines tares du NAT qui reviennent dans le réseau IPv6 [RFC 5902]. L'usage d'ULA dans le cas d'un accès Internet n'économisera pas l'obtention d'un préfixe GUA (pour l'extérieur du NAT). Au final, un réseau basé sur les adresses ULA introduit un travail plus complexe et plus important qu’un équivalent GUA.
  
=== Obtention de préfixes ULA ===
+
Aussi, les seuls cas où l’utilisation des adresses ULA est réellement motivée sont les réseaux de tests (enseignement, bancs d'essais, déploiement de prototype) et les réseaux nécessitant un niveau de sécurité très élevé par un isolement complet, comme les réseaux tactiques ou d'hôpitaux. Le RFC 6296 propose une autre utilisation d'un plan d'adressage construit sur un préfixe ULA. Pour des sites de taille petite ou moyenne, un préfixe ULA couplé à un NAT66, offre une solution simple pour changer d'opérateur ou pour gérer la multi-domiciliation sans nécessiter un préfixe PI (''Provider Independent''). Ainsi, en cas de changement de fournisseur d'accès, la renumérotation n'impactera que le NAT. Les adresses ULA forment ainsi une sorte de substitut aux adresses PI.  Cette idée peut avoir un sens tant que des mécanismes simples de  renumérotation du réseau ne seront pas effectifs [RFC 7010].  Cette question de la renumérotation n'est pas une question simple {RFC 5887]. Dans tous les autres cas, les adresses GUA sont plus faciles à déployer et à administrer. C'est aussi le conseil donné par l'auteur de cette note<ref>Horley, E. (2013) [http://www.howfunky.com/2013/09/ipv6-unique-local-address-or-ula-what.html IPv6 Unique Local Address or ULA - what are they and why you shouldn't use them]</ref>.
  
La première tache à effectuer par l’administrateur et de generer son prefix /48. Les 8 premiers bit servant à identifier le type d’adresse, seul 40bit sont spécifiques à ce site. Afin de mettre en évidence le fait que ces blocs d’adresse ne peuvent pas être aggregé et donc routé sur l’internet, les 40bits du GID sont générés aléatoirement. Notons qu’avec cet assignement aléatoire sur un espace aussi large, la probabilité que deux sites aient le même GID est quasi nulle. Cette propriété est particuliérement appreciable lorsque deux sites doivent fusionner.
+
==== Préfixe GUA ====
  
La RFC 4193 suggère d’utiliser une fonction de hash (i.e.. SHA-1) du timestamp et de l’EUI-64 de la machine executant l’algorithme. Le script, sous licence libre GPL, développé par Hartmut Goebel, disponible à l'URL [[3]], peut vous générer une série de préfixes conforme en utilisant une des adresses MAC ethernet de votre poste de travail.
+
Pour rappel, les préfixes GUA sont sous l'autorité de l’IANA<ref>IANA. [http://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xhtml IPv6 Global Unicast Address Assignments]</ref> qui délègue aux RIR (''Regional Internet Registry'') l'allocation. Les RIR délèguent eux-mêmes aux NIR (''National Internet Registery'') puis aux LIR (''Local Internet Registery'') et/ou finalement aux FAI. En Europe, le RIR est le [https://www.ripe.net/ RIPE-NCC]. Il délègue directement aux FAI/LIR sans passer par des NIR. Les LIR et certains FAI se voient déléguer des préfixes /32. Ils ont obligation d’allouer les blocs IPv6 à des utilisateurs finaux tels que des organismes ou des FAI. Le RIPE-NCC ne prévoit pas de recommandation sur la taille des préfixes alloués par les LIR aux FAI.
  
=== GUA ===
+
Le préfixe GUA peut être alloué par un FAI, par un LIR ou par un RIR. Le choix s'effectue selon le type de préfixe à détenir. Si le préfixe est destiné à un site, on parlera d'un préfixe PA (''Provider Assigned'' ou ''Provider Aggregatable'') ; si le site est multidomicilié, il faut un préfixe dit PI (''Provider Independent'').
  
Votre préfixe global peut vous être alloué par votre ISP, par un Local Internet Registery ou par un RIR. Il y a plusieurs cas à distinguer : si vous representez un organisme, on parlera d’assignement de site, si votre site est multidomicilié il vous faudra des prefix dits “provider independent” et enfin le cas où vous souhaitez obtenir un prefix pour votre usage personnel.
+
Le préfixe de type PA est attribué par le FAI/LIR. Il n'y a pas de formalités particulières à remplir. Le préfixe est alloué en même temps que la connectivité. Le préfixe est donc spécifique à un site et associe ce site à un opérateur. Ce dernier assure les services suivants : 
 +
* allocation du préfixe à l’organisme ;
 +
* transport du trafic de l’utilisateur ;
 +
* annonce d'un préfixe BGP dans lequel est inclus celui du site.
 +
La taille du préfixe alloué varie selon les opérateurs. Certains donneront un /52, voire un /60. Le préfixe alloué est au maximum /64. Si un site doit avoir un préfixe de moins de 48 bits, la demande doit être motivée.
 +
Si le FAI change, il faut rendre le préfixe et renuméroter le réseau du site, et cette action est pénible [RFC 5887].
 +
Pour éviter ce désagrément, il est possible de demander un préfixe PI auprès d'un RIR. Ce type de préfixe est une nécessité pour les sites multidomiciliés ou pour les sites qui doivent changer de FAI sans changer d’adresses. La demande de préfixe doit être faite directement à RIPE-NCC qui attribue un préfixe /48 ou un préfixe de longueur inférieure si la demande est motivée. Il faut que l'organisation qui en fait la demande soit membre de RIPE ou que la demande soit parrainée par un FAI/LIR membre de RIPE. Il est ensuite nécessaire que les FAI annoncent et routent le préfixe PI.
  
'''Internet Registery, des acteurs structurés :''' Pour rappel, les prefixes d’adresses IPv6 global unicast sont gérés par l’IANA qui délégue aux Regional Internet Registry (RIR). Les RIRs deleguent aux National Internet Registery (NIR) puis aux Local Internet Registery (LIR) et/ou aux ISP. En Europe, le RIR est le RIPE-NCC. Il delegue directement aux ISP/LIR sans passer par des NIR. Les LIR et certains ISP se voient déleguer des prefixes de longueur 32. Ils ont obligation d’allouer les blocs IPv6 à des utilisateurs finaux tels que des organismes ou des ISP. Le RIPE-NCC ne prévoit pas de recommandation sur la taille des prefixes alloués par les LIRs aux ISPs.
+
À noter que si un FAI ne propose pas IPv6, il est possible d'utiliser un service de tunnels. Certains d’entre eux (''e.g.'' Hurricane Electric) attribuent gratuitement un préfixe /48 lors de l’établissement d'un tunnel.
  
'''Assignement de site :''' Les ISP/LIR font des assignements de site aux utilisateurs. Le bloc d’adresse associé est donc spécifique à un site et associe un organisme à un ISP qui assure les services suivant :  l’ISP assigne le bloc d’adresse à l’organisme; assure un service de transit entre l’utilisateur et les autres sites; transporte le trafic de l’utilisateur et annonce un prefix BGP dans lequel est inclu celui de l’utlisateur. Les prefixes alloués sont au maxmimum sur 64 bits. Si un utilisateur souhaite avoir un prefix de moins de 48 bit pour son site, sa demande doit être motivée.
+
=== Définition du plan d’adressage de sous-réseau avec IPv6 ===
  
'''Multidomiciliation - Provider Independent prefix :''' Comme pour IPv4, si vous souhaitez que votre site soit multidomicilié ou si vous souhaitez changer d’ISP sans changer d’adresses, vous aurez besoin de prefix dits “Provider Independent”. La demande doit être faite directement à RIPE-NCC qui assignera un prefix /48 ou un prefix de longueur inferieur si la demande est motivée. Il faudra que votre organisation soit membre de RIPE ou que votre demande soit parainée par un ISP/LIR membre de RIPE. Il est ensuite necessaire que vos ISP annoncent et routent votre préfix.
+
Les préfixes alloués dans la majorité des cas laissent de nombreux bits pour gérer les liens à l'intérieur d'un site. Lorsque le préfixe alloué au site est un /48, le SID (''Subnet Identifier'') est codé sur 16 bits. Il est évident que la structuration du plan d'adressage est radicalement différente selon que l'on soit en IPv4 ou en IPv6. En IPv4, l'essentiel du travail sur l'adressage a pour but d'économiser les quelques adresses disponibles, pour pouvoir fonctionner malgré la pénurie. En IPv6, ce problème disparaît et la définition du plan d'adressage vise la facilité de son administration tout en rendant l'agrégation de routes efficace. La mise en œuvre des politiques de sécurités doit aussi être prise en compte dans la définition du plan d'adressage interne. Dans l'article<ref>Rooney, T. (2013). Deploy 360 Programme. Internet Society. [http://www.internetsociety.org/deploy360/resources/ipv6-address-planning-guidelines-for-ipv6-address-allocation/ IPv6 Address Planning: Guidelines for IPv6 address allocation]</ref>, l'auteur montre comment ces critères doivent servir à guider la définition d'un plan d'adressage pour un site. Comme nous l'avons vu dans l'activité 16, il est possible de structurer le routage interne de plusieurs manières :
  
 +
* reproduire le schéma IPv4 déjà déployé. Ainsi, par exemple, le préfixe privé (RFC 1918) <tt>10.0.0.0/8</tt> offre 24 bits d'identification locale à l’administrateur pour la structuration des sous-réseaux. En pratique, sur cet exemple, les plus petits sous-réseaux ont rarement des préfixes supérieurs à /24, ce qui laisse 16 bits (24 - 8) pour la structuration. Dans ce cas, il est donc possible de reproduire le plan d’adressage privé IPv4 à l’aide des 16 bits du SID ;
  
'''Client d’un ISP :''' Si vous êtes client d’un ISP qui propose IPv6, vous recevrez par défaut un prefix sur 64bit. Votre routeur ADSL sera configuré avec cette adresse et c’est ensuite à vous de configurer vos autres équipements (e.g. routeurs WiFi ..) pour permettre la configuration des machines, via RADV ou DCHPv6. Si votre ISP ne propose pas IPv6, il vous faudra utiliser un service de tunnels. Certains d’entre eux (e.g. hurricane electric) vous proposent l’assignement gratuit de prefixes sur 48 bit lors de l’etablissement de votre tunnel.
+
* numéroter de manière incrémentale les sous-réseaux (''e.g.'' 0001,0002,0003…). Simple à mettre en œuvre, cette technique peut cependant conduire à un adressage plat et difficile à mémoriser. Elle peut également complexifier l’écriture des règles de filtrage ainsi que l’agrégation ;
  
== Définition du plan d’adressage réseau avec IPv6 ==
+
* Utiliser le numéro de VLAN, ce qui est tout à fait possible puisque le VLAN ID n’occupe que 12 bits. Cette méthode permet d’éviter de mémoriser plusieurs niveaux de numérotation ;
  
Une fois votre préfixe obtenu pour votre site, il vous reste sans doute de nombreux bits pour gerer vos sous réseaux. Si tel n’est pas le cas e.g. si vous avez un prefix /64, deux solutions s’offrent à vous :
+
* séparer les types de réseaux et utiliser les chiffres de gauche pour les désigner. D'autres niveaux de structuration peuvent être définis sur les bits restant. Cette technique permet de faciliter les règles de filtrage, tout en utilisant des règles appropriées à la gestion de ces sous-réseaux pour la partie de droite. À titre d'exemple, le tableau 1 contient le plan de numérotation d'une université localisée sur plusieurs sites prenant en compte les différentes communautés d'utilisateurs. Ainsi, le préfixe :
* mettre en place un adressage privé avec un NAT66 pour faire la conversion. Cette solution vient avec le double inconvénient de necessiter un équipement supplémentaire et de rompre le principe de bout en bout.
+
** <tt>2001:db8:1234::/52</tt> servira pour la création de l'infrastructure, donc en particulier les adresses des interfaces des routeurs prises dans cet espace ;
* mettre en place des sous réseaux avec des prefixes de plus de 64 bits. La RFC7421 décrit les avantages et inconvenients de cette pratique. Il en ressort que même si les protocoles de routage et la pile protocolaire des hôtes supportent jusqu’à des prefixes de 128 bits, ce cas de figure n’est pas prévu par IPv6 qui indique clairement que le IID doit faire 64 bits. La RFC7368 considère même que le cas ou il n’y a pas suffisamment de bits pour l’adressage interne comme “une erreur”, le site devant à minima recevoir 16 bits pour le SID.
+
** <tt>2001:db8:1234:8000::/52</tt> servira pour le réseau Wi-Fi des invités ; la manière dont sont gérés les 12 bits restants du SID n'est pas spécifiée ;
 +
** <tt>2001:db8:1234:E000::/52</tt> servira pour le réseau des étudiants. L'entité représente la localisation géographique du campus. Dans chacun de ces campus, il sera possible d'avoir jusqu'à 16 sous-réseaux différents pour cette communauté.
  
Si on fait l’hypothèse que le site s’est vu alloué un /48, le SID alors de 16 bits, ce qui est a priori suffisant pour structurer le routage interne. Plusieurs solutions s’offrent à nous :
+
<center>
* reproduire le schema IPv4 déjà déployé : Le bloc privée de classe A 10.0.0.0/8 offre 24 bit à l’administrateur pour la structuration des sous réseaux. En réalité, les plus petits sous réseaux ont rarement des prefixes >24, ce qui ne laisse que 16 bits pour la structuration. Dans la plupart des cas, il sera donc possible de reproduire le plan d’adressage privé IPv4 à l’aide des 16 bits du SID.
+
{| border="1" cellpadding="5" cellspacing="0"
* numéroter de manière incrémentale les sous réseaux (e.g. 0001,0002,0003…). Simple à mettre en oeuvre, cette technique peut cependant conduire à un adressage plat et difficile à mémoriser. Elle peut également complexifier l’écriture des règles de filtrage ainsi que l’agregation.
+
* utiliser le numéro de VLAN, ce qui est tout à fait possible puisque le VLAN ID n’occupe que 12 bits. Cette méthode permet d’eviter de mémoriser plusieurs niveaux de numérotation.
+
* séparer les types de réseaux et utiliser les chiffres de gauche pour les désigner. Cette technique permet de faciliter les règles de filtrage, tout en utilisant des règles appropriées à la gestion de ces sous-réseaux pour la partie de droite. À titre d'exemple, le tableau suivant contient le plan de numérotation d'une université localisée sur plusieurs sites prenant en compte les différentes communautés d'utilisateurs :
+
 
+
 
+
{| class="wikitable center alternance" width="60%"
+
|+ Tableau
+
 
|-
 
|-
! scope=col | Communauté
+
! Communauté
! scope=col | 4 bits
+
! 4 bits
! scope=col | 8 bits
+
! 8 bits
! scope=col | 4 bits
+
! 4 bits
 
|-
 
|-
| width="33%" |
+
|Infrastructure
Infrastructure
+
|0
| width="34%" |
+
|valeurs spécifiques
 +
|
 
|-
 
|-
| width="33%" |
+
|Tests
Tests
+
|1
| width="34%" |
+
|valeurs spécifiques
1
+
|
| width="34%" |
+
valeurs spécifiques
+
| width="34%" |
+
 
+
 
|-
 
|-
| width="33%" |
+
|Tunnels
Tunnels
+
|6
| width="34%" |
+
|allocation de /60 aux utilisateurs
6
+
|  
| width="34%" |
+
allocation de /60 aux utilisateurs
+
| width="34%" |
+
 
+
 
|-
 
|-
| width="33%" |
+
|Invités Wi-Fi
Invités Wi-Fi
+
|8
| width="34%" |
+
|valeurs spécifiques
8
+
|
| width="34%" |
+
valeurs spécifiques
+
| width="34%" |
+
 
+
 
|-
 
|-
| width="33%" |
+
|Personnels
Personnels
+
|a
| width="34%" |
+
|Entité
A
+
|sous-réseaux
| width="34%" |
+
Entité
+
| width="34%" |
+
Sous-Réseaux
+
 
|-
 
|-
| width="33%" |
+
|Étudiants
Etudiants
+
|e
| width="34%" |
+
|Entité
E
+
|sous-réseaux
| width="34%" |
+
Entité
+
| width="34%" |
+
Sous-Réseaux
+
 
|-
 
|-
| width="33%" |
+
|Autre
Autre
+
|f
| width="34%" |
+
|valeurs spécifiques
F
+
|
| width="34%" |
+
valeurs spécifiques
+
| width="34%" |
+
 
|}
 
|}
 +
Tableau 1 :  Exemple de découpage du SID
 +
</center>
  
 +
== Déploiement des équipements en double pile  ==
  
Ainsi, le préfixe:
+
Les services indispensables au fonctionnement d'un réseau doivent être déployés et ceux existants doivent intégrer IPv6 ; par exemple, la configuration d’adresse (DHCP / SLAAC), le nommage (DNS) et l’administration de l’infrastructure (supervision, sécurité et métrologie). Cette section traite des problématiques liées à leur configuration.
* 2001:DB8:1234::/52 servira pour la création de l'infrastructure, donc en particulier les adresses des interfaces des routeurs seront prises dans cet espace;
+
* 2001:DB8:1234:8000::/52 servira pour le réseau Wi-Fi des invités. La manière dont sont gérés les 12 bits restants du SID ne sont pas spécifiés;
+
* 2001:DB8:1234:E000::/52 servira pour le réseau des étudiants. L'entité représente la localisation géographique du campus. Dans chacun de ces campus, il sera possible d'avoir jusqu'à 16 sous-réseaux différents pour cette communauté.
+
 
+
 
+
== Installation en double pile  ==
+
<!--(DHCP, DNS, Administration) -->
+
 
+
Une fois vos préfixes et votre connectivité double pile assurée pour votre réseau, il faut deployer les services qui lui seront indispensable e.g. la configuration d’adresse (DHCP / SLAAC), le nommage (DNS) et l’administration de l’infrastructure (supervision, sécurité et métrologie). Cette section traite des problématique liées au déploiement de ces services.
+
 
+
  
Un hôte en double pile présente une interface réseau de la manière suivante danss un environnement Unix:
+
Un hôte en double pile présente une interface réseau de la manière suivante dans un environnement Unix :
  
 
  eth0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
 
  eth0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
Line 265: Line 235:
 
  supported media: autoselect 100baseTX
 
  supported media: autoselect 100baseTX
  
 +
Notons qu’un réseau peut être entièrement en double pile ou partiellement, à condition que les segments IPv4 soient masqués par des tunnels dans lesquels IPv6 est encapsulé dans IPv4. Tous les équipementiers de cœur de réseau supportent ces mécanismes, ce qui permet rapidement d'acheminer du trafic IPv6 dans une infrastructure IPv4 existante. Lorsque le déploiement est partiel, une attention particulière doit être portée au protocole de routage utilisé, l'activation de fonctions permettant de gérer plusieurs topologies (v4 et v6) pouvant s'avérer nécessaire.
  
=== Configuration des adresses ===
+
=== Configuration d'adresses ===
  
Pour la configuration des interfaces réseaux, plusieurs méthodes s’offrent à vous. Pour rappel, avec la méthode SLAAC (StateLess Address Auto Configuration), l’interface génère elle même ses adresses. Cependant cette méthode peut présenter des inconvénients :
+
La configuration des interfaces réseaux en IPv6 peut s'effectuer selon plusieurs méthodes.  
* Absence du DNS : la RFC définissant le protocole de decouverte de voisins ne prévoyait pas de champs pour renseigner le DNS. Ce n’est pas un problème si l’adresse d’un serveur DNS est obtenue via l’interface le DHCP de l’interface IPv4. Cela rend donc indispensable l’existence d’une telle interface. Notons toutefois que la RFC6106 prévoit l’ajout d’une option DNS dans les message RA.
+
* Il n’y a pas de contrôle sur les adresses utilisées par les interfaces et il n’y a pas moyen fiable d’enregistrer l’association machine / adresse IP.
+
  
Le Stateless DHCP [RFC3736] permet de contourner certains de ces problèmes. En effet, il utilise le méthode SLAAC pour définir les adresses et permet à l’hote de demander explicitement les informations manquantes à un serveur DHCP dit sans état.
+
Avec la méthode SLAAC (''StateLess Address Auto Configuration'' ) [RFC 4862], l’interface génère elle-même ses adresses à partir des informations émises par le routeur local. Si SLAAC est sans doute plus simple et plus rapide à déployer, elle peut présenter des inconvénients :
 +
* absence du DNS. SLAAC n'intègre pas de champ pour transmettre le serveur DNS local. Ce n’est pas un problème si l’adresse d’un serveur DNS est obtenue via le DHCP de l’interface IPv4, mais cela rend donc indispensable l’existence d’une telle interface. Toutefois, le RFC 8106 rend désormais possible l’ajout d’une option DNS dans les messages RA (''Router Advertisment'') ;
 +
* absence de contrôle sur les adresses. Il n'y a pas de moyen fiable d’enregistrer l’association "adresse MAC - adresse IP". Le logiciel NDPMON (''Neighbor Discovery Protocol Monitor'') permet cependant d'écouter le réseau en permanence et de mémoriser les correspondances entre les adresses IP et MAC.
  
Avec DHCPv6, le client obtient son adresse et ses informations aupres du serveur DHCP. Ce dernier peut donc controler les informations renseignées à chaque machine, controler les adresses assignées et mémoriser ces dernières.
+
Avec DHCPv6 [RFC 8415], le client obtient son adresse et ses informations auprès du serveur DHCP. Ce dernier peut donc contrôler les informations indiquées à chaque machine, contrôler les adresses attribuées et mémoriser ces dernières. Le serveur DHCP est aussi l'endroit logique où faire des mises à jour dynamiques du DNS pour refléter les changements d'adresses IP. Comme DHCP offre davantage de contrôle que SLAAC, DHCP est en général apprécié dans les réseaux d'organisations.
  
=== Précaution lors du déploiement du DHCPv6 en double pile ===
+
Lorsque DHCP est utilisé dans sa version "sans état", comme le permet le RFC 8415, il sert à distribuer uniquement des paramètres statiques, comme les adresses des serveurs de noms. Dans cette situation, la méthode SLAAC est utilisée pour allouer les adresses et le nœud doit récupérer les informations manquantes à sa configuration par le serveur DHCP "sans état".
  
Lors du déploiement de DHCPv6 en double pile, l’inconvenient majeur va être la gestion des informations recueillies via des sources différentes. Ce problème bien connu est notamment décrit dans la [RFC4477]. En effet, des informations pouvant être reçues à la fois du DHCPv4 et du DHCPv6, il peut y avoir inconsistance. Le client doit savoir s’il doit utiliser les informations les plus récentes ou fusionner ces informations selon des critères bien précis. Ce problème peut être d’autant plus prononcé si le réseau IPv6 et IPv4 n’ont pas les mêmes administrateurs.
+
Lors du déploiement de DHCPv6 en double pile, l’inconvénient majeur va être la gestion des informations recueillies via des sources différentes. Ce problème bien connu est notamment décrit dans le RFC 4477. En effet, des informations pouvant être reçues à la fois du DHCPv4 et du DHCPv6, il peut y avoir inconsistance. Par exemple, des informations relatives à la pile IPv6 renseignées manuellement dans la configuration de l’OS (''e.g.'' /etc/resolv.conf) peuvent être effacées par le client DHCPv4. Le client doit savoir s’il doit utiliser les informations les plus récentes ou fusionner ces informations selon des critères bien précis. Ce problème est encore plus prononcé si les réseaux IPv6 et IPv4 n’ont pas les mêmes administrateurs.
  
Des informations relatives à la pile IPv6 renseignées manuellement dans la configuration de l’OS (e.g. /etc/resolv.conf) peuvent être effacées par le client DHCPv4.
+
=== Résolution d’adresses ===
 +
Les points importants relatifs au DNS (''Domain Naming System'') dans le déploiement d'IPv6 sont présentés dans le RFC 4472.  
 +
Pour IPv6, le DNS est d'autant plus indispensable que les adresses sur 128 bits ne sont pas simples à lire ni à mémoriser. Le DNS est utilisé pour associer les noms avec les adresses IP. Un nouvel enregistrement (''resource record'') appelé AAAA a été défini pour les adresses IPv6 [RFC 3596].
 +
Les "résolveurs" DNS (clients du DNS) doivent être capables d’interpréter les enregistrements A pour IPv4 et les enregistrements AAAA pour IPv6. Lorsque les deux types sont retournés par le serveur DNS, le "résolveur" doit trier l’ordre des enregistrements retournés de manière à favoriser IPv6. Par ailleurs, le client (de la couche application) doit pouvoir spécifier au "résolveur" s’il souhaite obtenir les entrées de type A ou AAAA.
  
Notons que lorsque DHCPv6 et SLAAC sont deployés simultanement sur le réseau, leur interaction peut également être problématique.
+
=== Administration du réseau ===
  
 +
Il est indispensable que IPv6 et IPv4 soient isofonctionnels. Pour ce faire, il faut maîtriser les outils d'administration réseau IPv6 et en particulier s'assurer du bon fonctionnement des services et équipements IPv6.
  
=== Résolution d’adresses ===
+
L’administration d’un réseau peut se décomposer en trois tâches : la supervision, la métrologie et la sécurité. Les pare-feux sont depuis longtemps capables d’appliquer leurs règles de filtrage au trafic IPv6. Il est à noter que les mécanismes de chiffrement et les certificats n’ont pas été impactés par IPv6. Les outils de métrologie sont généralement assez faciles à adapter à IPv6 puisqu’il y a peu de dépendance entre les logiciels.
Dans IPv6, l’adresse IP est d’autant moins évidente à retenir ce qui renforce la necessité du DNS. Afin d’integrer le possibilité qu’une machine identifiée par son nom soit accèssible en IPv4 et en IPv6, la RFC3596 prévoit un nouveau type d’entrée dans les fichiers de zone. L’adresse IPv4 associée à un nom est toujours renseigné par le type “A” tandis que le nouveau type “AAAA” permet maintenant de renseigner l’adresse IPv6.
+
 
 +
La difficulté principale réside dans les outils de supervision. Le protocole de supervision SNMP sert à collecter dans des bases de données appelées MIB (''Management Information Base'') diverses informations qui sont stockées sur les équipements réseaux. Net-SNMP intègre IPv6 depuis 2002. Cette intégration était nécessaire pour interroger les nœuds uniquement IPv6. Cette intégration d'IPv6 n'était pas indispensable dans le cas d'un réseau double pile puisqu'il est possible d'interroger un équipement via SNMP depuis son interface IPv4. L'évolution des MIB a été beaucoup plus délicate mais elle est achevée et le RFC 4001 prévoit que l'adresse IP soit de longueur variable et constituée de deux champs, un pour identifier le type d’adresse et un pour l’adresse elle-même.
 +
 
 +
Les principales solutions de supervision (''e.g.'' Nagios) et équipementiers supportent désormais largement IPv6. Il faut malgré tout s’assurer que l’ensemble des outils utilisés dans le cadre de SNMP supportent la version unifiée et modifiée de la MIB.
  
Les resolveurs DNS doivent être capable d’interpreter les deux types d’entrée. Lorsque les deux types sont retournés par le serveur, le resolveur doit influencer l’ordre des entrées retournées de manière à favoriser IPv6. Par ailleurs, le client doit pouvoir spécifier au resolveur s’il souhaite obtenir les entrées de type A ou AAAA.
 
  
=== Administration du réseau double pile ===
+
<!--
 +
Texte en commentaire pour une future extension (Ne Pas Supprimer)
  
L’administration d’un réseau peut se décomposer en trois principales taches :  
+
L’administration d’un réseau peut se décomposer en trois principales tâches :  
 
* La supervision : permet de vérifier en temps reel le bon fonctionnement des machines et services déployés dans le réseau.
 
* La supervision : permet de vérifier en temps reel le bon fonctionnement des machines et services déployés dans le réseau.
 
* La métrologie : mesure la quantité et la nature du trafic qui transite sur le réseau. Elle permet de dimensionner ce dernier de manière adéquate et de suivre la consommation des utilisateurs.
 
* La métrologie : mesure la quantité et la nature du trafic qui transite sur le réseau. Elle permet de dimensionner ce dernier de manière adéquate et de suivre la consommation des utilisateurs.
* La sécurité : assure l’integrité et la confidentialité des données et se fait au travers de la sécurisation de l’accès aux équipements, la restriction de l’accès aux ressources (firewall) et le chiffrement des informations qui transitent sur le réseau.
+
* La sécurité : assure l’intégrité et la confidentialité des données et se fait au travers de la sécurisation de l’accès aux équipements, la restriction de l’accès aux ressources (pare-feu) et le chiffrement des informations qui transitent sur le réseau.
  
Les firewalls sont depuis longtemps capables d’appliquer leurs règles sur du trafic IPv6 et les mécanismes de chiffrement et certificats n’ont pas été impactés par IPv6. Les outils de metrologie sont generalement assez facile à porter puisqu’il n’y a peu de dépendance entre les logiciels.
+
Les pare-feu sont depuis longtemps capables d’appliquer leurs règles sur du trafic IPv6 et les mécanismes de chiffrement et certificats n’ont pas été impactés par IPv6. Les outils de metrologie sont généralement assez facile à porter puisqu’il n’y a peu de dépendance entre les logiciels.
  
La difficulté principale a été porté sur les outils de supervision. En effet, le protocole SImple Network Management Protocol (SNMP) utilisé pour la supervision permet de collecter de diverses informations qui sont stockées sur les équipements réseaux dans des bases de données appelées MIBs (Management Information Base).
+
La difficulté principale porte sur les outils de supervision. Le protocole Simple Network Management Protocol (SNMP) utilisé pour la supervision permet de collecter de diverses informations qui sont stockées sur les équipements réseaux dans des bases de données appelées MIBs (Management Information Base).
  
'''Evolution de SNMP vers IPv6 :''' Le protocole SNMP étant independant de la couche réseau L’évolution vers IPv6 du protocole SNMP n’a pas posé de problème particulier car les paquets SNMP sont encapsulés dans UDP. De plus il est possible de superviser des équipements IPv6 depuis un réseau IPv4 pour peu que ces derniers soient en double pile. Pour les réseaux qui sont exclusivement en IPv6, implementation Open Source NET-SNMP intègre IPv6 depuis 2002 et peut utiliser IPv6 pour l’acheminement des données SNMP.
+
'''Evolution de SNMP vers IPv6 :''' Le protocole SNMP étant indépendant de la couche réseau, l’évolution vers IPv6 n’a pas posé de problème particulier car les paquets SNMP sont encapsulés dans UDP. De plus, il est possible de superviser des équipements IPv6 depuis un réseau IPv4 pour peu que ces derniers soient en double pile. Pour les réseaux qui sont exclusivement en IPv6, l'implémentation Open Source NET-SNMP intègre IPv6 depuis 2002 et peut utiliser IPv6 pour l’acheminement des données SNMP.
  
'''Evolution des MIBs vers IPv6 :''' A l’inverse, l’evolution des MIBs a été beaucoup plus laborieuse. En effet, l’encodage du champs IP a initialement été prévu sur 4 octets (RFC1902) ce qui ne permettait pas de representer les adresses IPv6 sur 16 octets. La RFC2465 a par la suite speficifié le champs IP sur 16 octets. Cette modification a eu des repercutions sur de nombreuses autres RFC ainsi que sur les équipements et logiciels qui s’y conformaient. Afin de limiter l’impact sur les RFC existantes, il a été décidé de mettre en oeuvre des versions de la MIB indépendante pour IPv4 et IPv6. Il a été par la suite reconnu que la maintenance de ces deux bases contenant des informations similaires aurait été trop lourde. Les deux MIBs ont donc été fusionnées dans une MIB unifiée (RFC2851). Dans cette MIB l’adresse IP est de longueur variable et constitué de deux champs, un pour identifier le type d’adresse et un pour l’adresse en elle même.
+
'''Evolution des MIBs vers IPv6 :''' A l’inverse, l’évolution des MIBs a été beaucoup plus laborieuse. En effet, l’encodage du champ IP a initialement été prévu sur 4 octets (RFC1902), ce qui ne permettait pas de représenter les adresses IPv6 sur 16 octets. La RFC2465 a par la suite spécifié le champ IP sur 16 octets. Cette modification a eu des répercussions sur de nombreuses autres RFC ainsi que sur les équipements et logiciels qui s’y conformaient. Afin de limiter l’impact sur les RFC existantes, il a été décidé de mettre en oeuvre des versions de la MIB indépendantes pour IPv4 et IPv6. Il a été par la suite reconnu que la maintenance de ces deux bases contenant des informations similaires aurait été trop lourde. Les deux MIBs ont donc été fusionnées dans une MIB unifiée (RFC2851). Dans cette MIB, l’adresse IP est de longueur variable et constitué de deux champs, un pour identifier le type d’adresse et un pour l’adresse en elle même.
  
Les principales solutions de supervision (e.g. Nagios ...) et équipementiers supportent désormais largement IPv6. Il faut malgré tout s’assurer que l’ensemble des outils utilisés dans le cadre de SNMP supportent la version unifiée de la MIB et ses modifications.
+
Les principales solutions de supervision (e.g. Nagios ...) et équipementiers supportent désormais largement IPv6. Il faut malgré tout s’assurer que l’ensemble des outils utilisés dans le cadre de SNMP supportent la version unifiée de la MIB et ses modifications.-->
  
==Déploiement au niveau des services==
+
==<div id="Service">Déploiement d'IPv6 pour les services</div>==
 +
 
 +
=== Les adresses IPv4 imbriquées dans une adresse IPv6 ===
 +
Les premières adresses IPv4 imbriquées dans une adresse IPv6 ont été décrites dès les premières spécifications des mécanismes d'interopérabilité, dont certains ont depuis été officiellement dépréciés. Parmi ces adresses historiques nous trouvons :
 +
* '''adresse IPv4 compatible''' (''IPv4-Compatible IPv6 address'' RFC 4213, RFC 3513)  <tt>'''::a.b.c.d/96'''</tt> ou <tt>'''::xxxx:xxxx/96'''</tt>. Ces adresses ont été dépréciées par le RFC 4291.
 +
* '''« IPv4 mappées »''' (''IPv4-mapped IPv6 address'' RFC 4291) <tt>'''::ffff:a.b.c.d/96'''</tt> ou <tt>'''::ffff:xxxx:xxxx/96'''</tt>. Ces adresses font référence à un nœud supportant uniquement IPv4.
 +
* '''« IPv4 translatées »''' (''IPv4-translated IPv6 address'' RFC 7915) <tt>'''::ffff:0:a.b.c.d/96'''</tt> ou <tt>'''::ffff:0:xxxx:xxxx/96'''</tt>. Ces adresses référençaient dans l'espace v4 un nœud uniquement v6, dans le cadre du protocole de traduction sans état entre IPv4 et IPv6 (IP/ICMP Translation Algorithm SIIT, RFC 7915). Elles se distinguent des « IPv4 mappées » par un décalage à gauche de 16 bits du mot <tt>ffff</tt>.
 +
 
 +
Les préfixes de ces adresses sont composés de mots nuls ou tout à 1 (<tt>:ffff:</tt>), ce qui les rend neutres vis-à-vis du calcul du ''checksum'' intégrant le pseudo-entête (cf. séquence 3).
 +
 
 +
Les longs préfixes nuls de ces adresses les rendent difficilement routables sur le réseau. Ces adresses sont cependant adaptées pour les interfaces logiques internes aux machines double pile (''dual-stack''). Les adresses « IPv4 mappées » sont par exemple utilisées pour aiguiller les flux vers la pile IPv4, dans le cadre d'applicatifs conformes IPv6 hébergés sur des machines double pile.
  
 
=== Au niveau des applications ===
 
=== Au niveau des applications ===
  
Quelque soit la version de protocole utilisée au niveau de l'application cela ne doit rien changer. Il faut cependant que l'application puisse exprimer l'adresse de son correspondant que ce soit en IPv4 ou en IPv6. Pour cela, les adresses doivent être codées sur 128 bits. Un type d'adresse IPv6 a été défini à cet usage à savoir comporter l'adresse IPv4 d'une communication IPv4(''IPv4 mapped IPv6 address'') L'adresse IPv4 est imbriquée dans une adresse IPv6 comme le montre la figure 3.   Le format des adresses IPv4 imbriquées est ::FFFF:<ipv4 address> comme par exemple ::FFFF:1.2.3.4.  Avec ce type d'adresse l'espace d'adressage IPv4 est vu comme une partie de l'espace d'adressage IPv6.
+
La version de protocole IP utilisée doit être transparente au niveau de l'application et cela ne doit rien changer. Il faut cependant que l'application puisse exprimer l'adresse de son correspondant, que ce soit en IPv4 ou en IPv6. Pour cela, les adresses doivent être codées sur 128 bits. Un type d'adresse IPv6 a été défini à cet usage, à savoir comporter l'adresse IPv4 d'une communication IPv4 (''IPv4 mapped IPv6 address'', « IPv4 mappées »). L'adresse IPv4 est imbriquée dans une adresse IPv6 comme le montre la figure 4. Le format des adresses IPv4 imbriquées est <tt>::ffff:<ipv4 address></tt>, comme par exemple <tt>::ffff:192.0.2.1</tt> (affichée <tt>::ffff:c000:201</tt>).  Avec ce type d'adresse, l'espace d'adressage IPv4 est vu comme une partie de l'espace d'adressage IPv6.
Le problème au niveau des applications est par conséquent que les applications utilisent le format d'adresse IPv6 pour leur communication. Car nous venons de le voir une application compatible IPv6 peut dialoguer indifférement en IPv4 et en IPv6. Alors qu'une application utilisant un format d'adresse IPv4 reste cantonné à ce protocole.
+
 
Pour rendre une application IPv6, il faut qu'elles soient compilées ou recompilées avec l'API IPv6. Ceci est bien sur possible que sur les équipements pourvus d'un système ayant une pile IPv6. Ce qui est aujourd'hui dans la quasi totalité des cas vrai. Reste le problèmee des applications non recompilables (code source non disponible), ce genre de situation est traité par la suite dans l'activité de traduction.
+
{{HorsTexte|tolérance de notation (rappel)|Lorsque l'adresse IPv4 occupe la partie basse de l'adresse IPv6, les 32 bits de poids faible (bits 97 à 128), la notation décimale pointée traditionnelle d'IPv4 est tolérée. Ainsi, l'adresse <tt>2001:db8:900d:cafe::'''c0a8:a05'''</tt> peut être notée <tt>2001:db8:900d:cafe::'''192.168.10.5'''</tt> lors d'une saisie (configuration manuelle d'interface ou passage de paramètre en ligne de commande...). Cependant, elle sera affichée sous sa forme canonique (RFC 5952) <tt>2001:db8:900d:cafe::c0a8:a05</tt> dans le journal de bord (''log system'') de la machine. Dans ce cas, si la saisie peut nous sembler familière, la correspondance entre l'adresse IPv6 et l'adresse IPv4 embarquée est moins évidente à l'affichage.}}
  
[[image:CS176.gif]]<br>
+
<center>
Figure 3: Adresse IPv4 imbriquée dans une adresse IPv6.
+
[[image:42-fig4-hd.png|400px|center|thumb|Figure 4 : Adresse IPv4 imbriquée dans une adresse IPv6.]]
 +
</center>
  
Quand la pile IPv4 d'un équipement reçoit un paquet et qu'une application s'est enregistrée via une socket IPv6 (famille de protocoles <tt>PF_INET6</tt>), les adresses IPv4 imbriquées source et destination sont construites à partir des informations contenues dans l'en-tête du paquet. Réciproquement quand une application IPv6 émet des paquets avec une adresse IPv4 imbriquées, ceux-ci sont aiguillés vers la pile IPv4.
+
Quand la pile IPv4 d'un équipement reçoit un paquet et qu'une application utilise le format d'adresse d'IPv6, les adresses IPv4 imbriquées "source" et "destination" sont construites à partir des informations contenues dans l'en-tête du paquet. Réciproquement, quand une application émet des paquets avec des adresses IPv4 imbriquées, ceux-ci sont aiguillés vers la pile IPv4.
  
L'exemple suivant illustre ce fonctionnement. Le client telnet compilé en IPv6 et fonctionnant sur une machine double pile peut contacter les équipements IPv4 en utilisant leur adresse IPv4 mais bien sur les équipements IPv6 avec leur adresse IPv6.
+
L'exemple suivant illustre ce fonctionnement. Le client Telnet compilé en IPv6 et fonctionnant sur une machine double pile peut contacter les équipements IPv4 en utilisant leur adresse IPv4 mais, bien sûr, les équipements IPv6 avec leur adresse IPv6.
  
 
  >'''telnet rhadamanthe'''
 
  >'''telnet rhadamanthe'''
Line 340: Line 329:
 
  login:
 
  login:
  
===De la qualité  de service perçues par l'utilisateurs ===
+
Nous venons de le voir : une application compatible IPv6 peut dialoguer indifféremment en IPv4 et en IPv6, alors qu'une application utilisant un format d'adresse IPv4 restera limitée à ce protocole. Ceci ramène au problème du développement du code lié à la communication des applications. Plus généralement, le développement d'applications ''IPv6 compatible'' demande de nouvelles méthodes et pratiques au niveau de la programmation du fait du changement de la longueur de l'adresse IP, de la suppression de la diffusion d'IPv4<ref>Cisco. (2011); White paper. [http://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/network-registrar/white_paper_c11-687444.html IPv6 and Applications]</ref>.
 +
Pour rendre une application "IPv6 compatible", il faut qu'elle soit compilée ou recompilée avec l'interface de programmation (API) IPv6 ou, pour les applications écrites avec un langage de haut niveau d'abstraction, que la bibliothèque intègre IPv6. Ceci n'est bien sûr possible que sur les équipements pourvus d'un système ayant une pile IPv6, ce qui est aujourd'hui vrai dans la quasi-totalité des cas. Reste le problème des applications non recompilables (code source non disponible) : ce genre de situation est traité par la suite dans l'activité de traduction.
  
Vous avez choisi de permettre aux utilisateurs de votre réseau ou de votre service d’y acceder en IPv6 et en IPv4. A priori, même si un problème se produit avec la connectivité IPv6, l’utilisateur pourra toujours acceder au service via IPv4 et l’intégration de IPv6 devrait donc être indolore.
+
Devant le coût des développements, la problématique de la compatibilité des applications à IPv6 doit être traitée dès le début, dans la stratégie de migration vers IPv6.
  
Si vous ne prenez pas un minimum de précaution, cette hypothèse pourra s’averer éronnée et le deploiement en double pile s’averer préjudiciable. Cette section décrit les problèmes qui peuvent survenir et comment les prévenir.
+
== Problèmes liés au déploiement d'IPv6 ==
  
====insatisfaction de l’utilisateur a.k.a. eyeball problem====
+
L’intégration d'IPv6 devrait être indolore. L'utilisateur ne devrait pas voir de différence lorsqu'il accède à un service en IPv6. Cependant, en l'absence d'un minimum de précaution, ce souhait peut ne pas être satisfait, et le déploiement d'IPv6 en double pile peut dégrader le fonctionnement des services. Nous allons voir quels sont les problèmes engendrés au niveau du service perçu et comment les prévenir.
  
Problèmes à l’etablissament de la connexion : Soit un service accessible à l’adresse “monservice.org”. L’application du client demande au resolveur DNS la liste des adresses IP pour “monservice.org” et ce dernier retourne une adresse IPv6 et une adresse IPv4. Conformement aux preconisations de la RFC 6724, par défaut, la connexion se fera à l’adresse IPv6. Si la connexion IPv6 échoue, une autre adresse, potentiellement en V4, sera essayée. Si le service est accessible sur une des adresses retournées par le DNS, le client finira par établir une connexion au service. L’inconvenient de cette méthode est que les tentatives de connexions sont bloquantes et donc effectuées de manière séquentielle. Le délai d’attente pour considerer qu’une connexion a échouée est de l’ordre de plusieurs dizaines de secondes.  
+
Le premier problème porte sur la phase d’établissement de la connexion comme expliqué par cet article<ref>Bortzmeyer, S. (2011). [http://www.bortzmeyer.org/globes-oculaires-heureux.html Le bonheur des globes oculaires (IPv6 et IPv4)]</ref>. Pour l'illustrer, prenons un service “monservice.org” accessible aux adresses IPv4 et IPv6 comme représenté sur la figure 5. L’application du client demande au "résolveur" DNS la liste des adresses IP pour joindre “monservice.org”, et ce dernier retourne une adresse IPv6 et une adresse IPv4. Conformément aux préconisations du RFC 6724, la connexion commence avec l’adresse IPv6. Si la connexion IPv6 échoue, une autre adresse, potentiellement en IPv4, est essayée. Si le service est accessible sur une des adresses retournées par le DNS, le client finira par établir une connexion au service. L’inconvénient de cette méthode est que les tentatives de connexion sont bloquantes et donc effectuées de manière séquentielle. Le délai d’attente pour considérer qu’une connexion a échoué est de l’ordre de plusieurs dizaines de secondes.  
  
Cela implique que si il y a un problème dans la connectivité IPv6, du point de vue de l’utilisateur c’est l’ensemble du réseau qui sera perçu comme étant dégradé. De la même manière, si un service (e.g. un site internet) propose dans le DNS une adresse IPv6, les utilisateurs percevront le service comme étant dégradé et ce même si les problèmes sont situés côté client. C’est la raison pour laquelle encore aujourd’hui, il y a si peu de sites internet accessibles en IPv6.
+
Dans l'état actuel du déploiement d'IPv6, bien des sites ont une connexion IPv6 totalement ou partiellement inopérante. Si un serveur fonctionne en IPv4 et en IPv6, et que son client n'a qu'IPv4, il n'y aura pas de problème. Mais si le client a IPv6, tente de l'utiliser, mais que sa connectivité IPv6 est plus ou moins défaillante, il aura des temps de réponse très importants. Les utilisateurs percevront le service comme très dégradé. C’est la raison pour laquelle, encore aujourd’hui, il y a si peu de sites Internet accessibles en IPv6.
  
Problèmes une fois la connection établie : Même si la connexion a pu être établie en IPv6, il n’est pas exclu que l’utilisateur puisse acceder au service via IPv6. En effet, IPv6 présente des problèmes de MTU bien plus souvent que IPv4. La taille des paquets utilisés lors de l’etablissement de la connexion est largement inférieur à la MTU. Une fois la connexion établie, le transfert des données demarre et depasse potentiellement la MTU. Si les paquets ICMPv6 sont bloqués par le parefeu, la source ne pourra s’adapter et la connexion va finalement se fermer pour cause de timeout.
+
<center>
 +
[[image:42-fig5.png|400px|center|thumb|Figure 5 : Établissement de connexion d'un client en double pile.]]
 +
</center>
  
Problèmes de performance : La connexion IPv6 passe souvent par des tunnels. Si ces derniers ont des points de presence trop éloignés de votre utilisateur, le délai peut significativement augmenter. Si vos utilisateurs sont dans une zone éloignée et faiblement connectées, le délai peut alors depasser les valeurs souhaitables pour les applications interactives temps réel (ToIP, video conference, jeux en ligne...) et même pour le Web. L’utilisateur verra alors sa qualité d’experience chuter par rapport au réseau simple pile IPv4 et ce même si la connection IPv6 est parfaitement fonctionnelle.
+
Le second problème est relatif à la taille des paquets IPv6, comme montré dans cet article<ref name="huston"> Huston, G. (2009). The ISP Column. [http://www.potaroo.net/ispcol/2009-01/mtu6.html A Tale of Two Protocols: IPv4, IPv6, MTUs and Fragmentation]</ref>. Une fois la connexion établie en IPv6, l’utilisateur peut rencontrer des problèmes pour les échanges avec le serveur. En effet, en raison de l'utilisation de tunnels, IPv6 présente un problème de MTU bien plus souvent que IPv4. Le lien « standard » sur Internet a une MTU de 1500 octets, héritée d'Ethernet. Si, de bout en bout, tous les liens ont cette MTU, la machine émettrice peut fabriquer des paquets de 1500 octets et ils arriveront intacts. Mais, s'il y a sur le trajet un tunnel qui réduit la MTU, le problème de MTU peut se produire, comme la figure 6 le représente. Le problème de MTU se manifeste par le fait que les paquets de petite taille, tels ceux utilisés lors de l’établissement de la connexion, passent, mais les gros paquets, comme les transferts de fichiers avec HTTP, bloquent mystérieusement. Les paquets dépassant la MTU du chemin ne sont jamais remis à la destination. Si les messages ICMP avertissant de ce problème sont bloqués par un routeur sur le chemin, la source n'apprendra pas le problème et ne pourra donc pas s’adapter. La connexion va finalement se fermer pour cause d'inactivité (aucune réception n'est faite). Ce problème est assez sérieux dans l'Internet et a fait l'objet du RFC 4459. Dans l'article<ref name="huston" />, le problème de MTU est détaillé et illustré par des captures de traces.
  
====Rendre les eye-balls heureux====
+
<center>
 +
[[image:42-fig6.png|400px|center|thumb|Figure 6 : Le problème de MTU.]]
 +
</center>
  
Pour éviter que les utilisateurs desactivent IPv6 en réponse à la baisse de performance qu’ils observent, il existe plusieurs solutions.  
+
Le troisième problème porte sur la performance perçue pour un service reposant sur la connectivité IPv6. Celle-ci sera évaluée comme dégradée à l'image de l'interactivité. La connectivité IPv6 est souvent constituée de tunnels. Si les sorties des tunnels sont trop éloignées du point d'entrée, le temps de réponse peut significativement augmenter et dépasser les valeurs souhaitables pour les applications interactives (ToIP, vidéoconférence, jeux en ligne...) et même pour le Web. L’utilisateur verra alors sa qualité de service chuter par rapport au réseau simple pile IPv4 et ce, même si la connectivité IPv6 est parfaitement fonctionnelle. Ce problème de délai important en IPv6 est illustré par la figure 7 dans laquelle le temps de réponse (noté RTT ''Round Trip Time'') est plus long en IPv6 du fait d'un chemin plus long en terme de nœuds de commutation et en distance.
  
Les problèmes qui apparaissent lors de la phase d’établissement de la connexion sont dus au fait que le client tente de se connecter séquentiellement aux différentes adresses du service. IPv6 étant éssayé en premier, il faut attendre que la tentative de connexion échoue, ce qui peut prendre plusieurs secondes. La RFC6555 propose d’établir les connexion en parallèles et de ne concerver que la plus rapide. Les navigateurs internet ont pris en compte ces recommandations mais leur implémentations divergent.  
+
<center>
 +
[[Image:42-fig7.png|400px|center|thumb|Figure 7 : Illustration des délais importants en IPv6.]]
 +
</center>
  
Le navigateur Safari conserve dans une table le délai moyen pour atteindre chaque adresse du serveur. L’adresse ayant le délai le plus cours est utilisée en premier mais si elle ne répond pas avant le délai prévu, l’adresse suivante est essayée en parallèle. La connexion qui sera établie en premier (SYN ACK) sera utilisée. Cette solution peut cependant induire un délai non négligeable si le serveur comporte de nombreuses adresses et que seule la dernière (celle de plus long délai moyen) est accessible.
+
Des solutions ont été proposées pour éviter que les utilisateurs désactivent IPv6 en réponse à la baisse de performance qu’ils observent. Il est ici intéressant de noter que les problèmes que nous venons de décrire trouvent leur origine dans l'utilisation d'IPv4 dans la connectivité IPv6. La bonne solution serait de généraliser IPv6 pour un usage sans IPv4. En attendant, les solutions proposées sont détaillées par la suite afin qu'IPv6 fonctionne aussi bien qu'IPv4.
  
Le navigateur Chrome mesure les délai pour l’obtention des adresses v4 et v6 via le DNS. Il tente d’établir une connexion avec le protocole dont l’adresse a été obtenu en premier. Notons que pour maximiser les chances des réussite, il envoie deux segments SYN en parallèle avec des ports sources differents. Si aucun segment SYN+ACK n’est reçu après 250ms, un dernier est émis depuis un troisième port. Si aucun segment SYN ACK n’est reçu après un total de 300ms, le protocole suivant sera essayé. Dans le cas ou un problème apparait avec un seul des protocoles, le délai est donc au maximum ralongé de 300ms. Si un problème apparait avec les deux protocoles, c’est la méthode par défaut de l’OS qui sera utilisée. Notons que si le RTT est supérieur à 300ms, les deux protocoles seront systématiquement utilisés. Le navigateur Firefox implémente strictement les recommandations de la RFC6555 et essaye les deux protocoles en parallèles.
+
Les problèmes qui apparaissent lors de la phase d’établissement de la connexion sont dus au fait que le client tente de se connecter séquentiellement aux différentes adresses du service. IPv6 étant testé en premier lieu, il faut attendre que la tentative de connexion échoue, ce qui peut prendre plusieurs secondes. Le RFC 8305 propose d'essayer d'établir une connexion TCP à la fois en IPv4 et en IPv6 et de conserver la première connexion établie. Le RFC précise que les demandes de connexion doivent être émises de sorte que ce soit celle portée par IPv6 qui puisse être conservée.
 +
Les navigateurs Web ont pris en compte ces recommandations mais les mises en œuvre divergent comme le rapporte l'article<ref>Huston, G. (2012). The ISP Column. [http://www.potaroo.net/ispcol/2012-05/notquite.html Bemused Eyeballs: Tailoring Dual Stack Applications for a CGN Environment]</ref>:
 +
* Le navigateur Safari conserve, dans une table, le délai moyen pour atteindre chaque adresse du serveur. L’adresse ayant le délai le plus court est utilisée en priorité, mais si elle ne répond pas avant le délai attendu, l’adresse suivante est essayée. La demande de connexion est émise en décalé sur les différentes adresses du serveur. La première connexion établie sera utilisée pour la suite des échanges. Cette solution peut cependant induire un délai non négligeable si le serveur comporte de nombreuses adresses et que seule la dernière (celle de plus long délai moyen) est accessible.
 +
* Le navigateur Chrome mesure les délais pour l’obtention des adresses IPv4 et IPv6 via le DNS. Il tente d’établir une connexion avec le protocole dont l’adresse a été obtenue en premier. Notons que pour maximiser les chances de réussite, il envoie deux segments SYN en parallèle avec des ports "source" différents. Si aucun segment SYN + ACK n’est reçu après 250 ms, un dernier segment SYN est émis depuis un troisième port. Si aucun segment SYN + ACK n’est reçu après un total de 300 ms, le protocole suivant sera essayé. Dans le cas un problème apparaît avec un seul des protocoles, le délai est donc au maximum allongé de 300 ms. Si un problème apparaît avec les deux protocoles, c’est la méthode par défaut de l’OS qui sera utilisée. Notons que si le RTT est supérieur à 300 ms, les deux protocoles seront systématiquement utilisés.  
 +
* Le navigateur Firefox implémente strictement les recommandations du RFC 8305 et essaye les deux protocoles en parallèle.
 +
Des mises en œuvre similaires à celles des navigateurs sont à développer pour les clients des différentes applications (''e.g.'' mail, VoIP, chat...).
 +
Pour ne pas avoir les inconvénients des accès séquentiels, il faudrait ne pas attendre l’expiration des temporisateurs de l’OS, mais choisir des temps de garde plus agressifs et ayant moins d’impact pour les utilisateurs. Par exemple, si IPv6 ne répond pas avant un délai de 300 ms ou deux RTT, alors IPv4 est essayé.
  
Des implementations similaires à celles des navigateurs sont à mettre en oeuvre pour vos differents clients (e.g. mail, VoIP, chat ...).
+
Notons cependant que le parallélisme a un effet pervers pour les opérateurs. En effet, l’utilisation des CGN pour la connectivité IPv4 leur est coûteuse et le maintien des états relatifs à l’ouverture de chaque connexion consomme des ressources. En suggérant l’ouverture de plusieurs connexions en parallèle, le RFC 8305 va à l’encontre des intérêts des opérateurs et potentiellement des utilisateurs si les CGN sont saturés. C'est pourquoi, il suggère d’essayer en priorité le protocole qui ne générera pas d’état dans le réseau, à savoir IPv6.  
  
Notons cependant que le parallèlisme a un effet pervers pour les opérateurs. En effet, l’utilisation des CGN leur est couteuse et le maintien des états relatifs à l’ouverture de chaque connexion consomme des ressources. En suggerant l’ouverture de plusieurs connexion en parallèle, la RFC6555 va à l’encontre des interets des operateurs et potentiellement des utilisateurs si les CGN sont saturés.
+
Pour les problèmes de MTU, la solution réside dans le fait de forcer les utilisateurs à choisir une faible MTU, par exemple 1400 octets, dans l'espoir qu'il n'y ait pas un lien sur la route dont la MTU soit inférieure à cette valeur. Cela peut être fait lors de la configuration de l'interface réseau ou lors de l'établissement d'une connexion TCP en réduisant la taille maximum des segments autorisée. Cette réduction est effectuée par le routeur (''MSS clamping''). Dans le RFC 4821, les auteurs proposent une solution qui ne repose pas sur ICMP. L'idée consiste à ce que TCP relève la taille des segments perdus. Si ce sont les segments de grande taille, TCP diminue la MSS (''Maximum Segment Size'') de lui-même (et, par voie de conséquence, la valeur de la MTU). Le RFC 8899 étend cette technique à d'autres protocoles de transport que TCP et SCTP.
  
La RFC6555 prend en compte ce paramètre et suggère d’essayer en priorité le protocole qui ne generera pas d’états dans le réseau e.g. IPv6. Pour ne pas retrouver les mêmes inconvenients qu’avec un pur accès séquentiel, il faudrait établir simplement ne pas attendre l’expiration des timeout de l’OS mais choisir des valeurs plus agressives et ayant moins d’impact pour les utilisateurs. Par exemple, si IPv6 ne répond pas avant un minimum de 300ms ou deux RTT, alors IPv4 est essayé. Par ailleurs contrairement aux propsitions ci-dessus, il faudrait continuer à écouter les segments SYN ACK de IPv6 même si les timeurs ont expirés.
+
Les problèmes de performance en termes de délai sont dus à l'utilisation de tunnels. La solution réside dans la sélection de points de sorties plus proches pour les tunnels. Au moment de la rédaction de ce document, le problème de délai n'a pas de solution (au niveau application) faisant l'objet d'une recommandation similaire à celle du RFC 8305.
  
 
==Conclusion==
 
==Conclusion==
  
Le mécanisme de double pile permet de résoudre tous les problèmes d'interopérabilité liés à l'introduction de la pile IPv6. Quand cela est possible, la communication se fait en utilisant la nouvelle version du protocole. Dès qu'un des éléments n'est pas compatible (réseau, système d'exploitation, application), le protocole IPv4 est utilisé. Le principal intérêt vient du fait qu'il est possible d'écrire des applications en IPv6 qui restent compatibles avec les applications IPv4 existantes. Pourtant ce mécanisme n'est pas suffisant :
+
Le mécanisme de double pile permet de résoudre les craintes liées à la migration vers IPv6. Dès lors, il ne s'agit plus d'une migration mais d'une intégration de IPv6 dans le réseau existant. Le réseau IPv4 reste pleinement fonctionnel et l'intégration d'IPv6 ne risque pas de compromettre le bon fonctionnement des services déployés. En effet, quand cela est possible, la communication se fait en utilisant la nouvelle version du protocole. Dès qu'un des éléments n'est pas compatible (réseau, système d'exploitation, application), le protocole IPv4 est utilisé. Le principal intérêt réside dans l'adaptation progressive de son système d'information et de son personnel à IPv6.
 +
 
 +
Notons que le déploiement double pile ne doit être que transitoire car il ne résout pas le problème de la pénurie d'adresses puisque chaque machine doit disposer d'une adresse IPv4 et d'une adresse IPv6. Cela complique aussi les mécanismes de configuration automatique et augmente la charge pour l'administrateur réseau. Lors de l'activation d'IPv6 pour un service existant en IPv4, il faut prendre des précautions afin que la qualité perçue par l'utilisateur ne soit pas dégradée.
 +
 
 +
==Références bibliographiques==
 +
<references />
 +
 
 +
== Pour aller plus loin ==
 +
 
 +
Scénarios de déploiement :
 +
* Guide de déploiement d'IPv6 par RIPE: [https://www.ripe.net/publications/ipv6-info-centre/deployment-planning Deploy IPv6 Now]
 +
* [http://www.hpc.mil/index.php/2013-08-29-16-03-23/networking-overview/2013-10-03-17-24-38/ipv6-frequently-asked-questions/deploying-ipv6-in-the-home-and-small-office-home-office-soho Deploying IPv6 in the Home and Small Office/Home Office (SOHO)]
 +
 
 +
Sécurité :
 +
* Bortzmeyer, S. (2013). [http://www.bortzmeyer.org/ipv6-securite.html Exposé sur la sécurité d'IPv6 à l'ESGI]
 +
* Cisco White paper (2011).  [http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/enterprise-ipv6-solution/white_paper_c11-678658.html IPv6 Security Brief]
 +
 
 +
Pour développer des applications compatibles avec IPv6 :
 +
* [https://www.arin.net/knowledge/preparing_apps_for_v6.pdf Livre blanc ARIN]
 +
* Cisco. White Paper. [http://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/network-registrar/white_paper_c11-687444.html IPv6 and Applications]
 +
* Bortzmeyer, S. (2013) [http://www.bortzmeyer.org/bindv6only.html Lier une prise à IPv6 seulement ou bien aux deux familles, v4 et v6 ?]
 +
 
 +
 
 +
RFC et leur analyse par S. Bortzmeyer :
 +
* RFC 1918 Address Allocation for Private Internets
 +
* RFC 3587 IPv6 Global Unicast Address Format
 +
* RFC 3596 DNS Extensions to Support IP Version 6
 +
* RFC 4001 Textual Conventions for Internet Network Addresses [http://www.bortzmeyer.org/4001.html Analyse]
 +
* RFC 4038 Application Aspects of IPv6 Transition
 +
* RFC 4057 IPv6 Enterprise Network Scenarios
 +
* RFC 4193 Unique Local IPv6 Unicast Addresses [http://www.bortzmeyer.org/4193.html Analyse]
 +
* RFC 4213 Basic Transition Mechanisms for IPv6 Hosts and Routers [http://www.bortzmeyer.org/4213.html Analyse]
 +
* RFC 4459 MTU and Fragmentation Issues with In-the-Network Tunneling [http://www.bortzmeyer.org/4459.html Analyse]
 +
* RFC 4472 Operational Considerations and Issues with IPv6 DNS [http://www.bortzmeyer.org/4472.html Analyse]
 +
* RFC 4477 Dynamic Host Configuration Protocol (DHCP): IPv4 and IPv6 Dual-Stack Issues
 +
* RFC 4821 Packetization Layer Path MTU Discovery [http://www.bortzmeyer.org/4821.html Analyse]
 +
* RFC 4861 Neighbor Discovery for IP version 6 (IPv6) [http://www.bortzmeyer.org/4861.html Analyse]
 +
* RFC 4862 IPv6 Stateless Address Autoconfiguration [http://www.bortzmeyer.org/4862.html Analyse]
 +
* RFC 5211 An Internet Transition Plan [http://www.bortzmeyer.org/5211.html Analyse]
 +
* RFC 5375 IPv6 Unicast Address Assignment Considerations [http://www.bortzmeyer.org/5375.html Analyse]
 +
* RFC 5887 Renumbering Still Needs Work  [http://www.bortzmeyer.org/5887.html Analyse]
 +
* RFC 5902 IAB thoughts on IPv6 Network Address Translation  [http://www.bortzmeyer.org/5902.html Analyse]
 +
* RFC 6018: IPv4 and IPv6 Greynets [http://www.bortzmeyer.org/6018.html Analyse]
 +
* RFC 6092 Recommended Simple Security Capabilities in Customer Premises Equipment for Providing Residential IPv6 Internet Service [http://www.bortzmeyer.org/6092.html Analyse]
 +
* RFC 6104 Rogue IPv6 Router Advertisement Problem Statement [http://www.bortzmeyer.org/6104.html Analyse]
 +
* RFC 6164 Using 127-Bit IPv6 Prefixes on Inter-Router Links [http://www.bortzmeyer.org/6164.html Analyse]
 +
* RFC 6177 IPv6 Address Assignment to End Sites
 +
* RFC 6180  Guidelines for Using IPv6 Transition Mechanisms during IPv6 Deployment [http://www.bortzmeyer.org/6180.html Analyse]
 +
* RFC 6296 IPv6-to-IPv6 Network Prefix Translation
 +
* RFC 6724 Default Address Selection for Internet Protocol version 6 (IPv6) [http://www.bortzmeyer.org/6724.html Analyse]
 +
* RFC 7010 IPv6 Site Renumbering Gap Analysis [http://www.bortzmeyer.org/7010.html Analyse]
 +
* RFC 7084 Basic Requirements for IPv6 Customer Edge Routers [http://www.bortzmeyer.org/7084.html Analyse]
 +
* RFC 7113 Implementation Advice for IPv6 Router Advertisement Guard (RA-Guard) [http://www.bortzmeyer.org/7113.html Analyse]
 +
* RFC 7123 Security Implications of IPv6 on IPv4 Networks [http://www.bortzmeyer.org/7123.html Analyse]
 +
* RFC 7381 Enterprise IPv6 Deployment Guidelines [http://www.bortzmeyer.org/7381.html Analyse]
 +
* RFC 7707 Network Reconnaissance in IPv6 Networks [http://www.bortzmeyer.org/7707.html Analyse]
 +
* RFC 7915 IP/ICMP Translation Algorithm  [https://www.bortzmeyer.org/7915.html Analyse]
 +
* RFC 8106 IPv6 Router Advertisement Options for DNS Configuration [http://www.bortzmeyer.org/8106.html Analyse]
 +
* RFC 8305 Happy Eyeballs Version 2: Better Connectivity Using Concurrency [http://www.bortzmeyer.org/8305.html Analyse]
 +
* RFC 8415 Dynamic Host Configuration Protocol for IPv6 (DHCPv6) [http://www.bortzmeyer.org/8415.html Analyse]
 +
* RFC 8899 : Packetization Layer Path MTU Discovery for Datagram Transports [https://www.bortzmeyer.org/8899.html Analyse]
 +
* RFC 8981 Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6
 +
[http://www.bortzmeyer.org/8981.html Analyse]
  
* Il ne résout pas le problème de la pénurie d'adresses puisque chaque machine doit disposer d'une adresse IPv4 et d'une adresse IPv6. Cela complique aussi les mécanismes de configuration automatique.
+
Présentations sur le déploiement d'IPv6 :
* Il implique que tous les routeurs soient aussi configurés pour router les deux types de paquets.
+
* Scott Hogg (2015) Keynote in Nanog. [https://www.nanog.org/sites/default/files/ANOTR5-SuccessfullyDeployIPv6.pdf Successfully Deploying IPv6]
* Les applications doivent être compilées pour IPv6, ce qui implique la disponibilité du code source et un "effort" de reprogrammation.
+
* Leslie Nobile, Mark Kosters. (2015) Keynote in Nanog. [https://www.nanog.org/sites/default/files/moving-to-ipv6_Nobile_Kosters.v2.pdf Moving to IPv6]
 +
* Huston, G (2010) [http://www.potaroo.net/presentations/2010-10-19-ipv6-transition.pdf An  Economic Perspective on the Transition to  IPv6]
 +
* Cisco (2005) [http://www.cisco.com/c/dam/en/us/products/collateral/ios-nx-os-software/enterprise-ipv6-solution/ent_ipv6_dep.pdf Enterprise IPv6 Deployment]

Latest revision as of 09:17, 10 January 2023


Activité 41 : Communiquer en double pile

Introduction

Une organisation qui a une infrastructure de communication reposant sur le protocole IPv4 rencontre des difficultés pour faire croître son réseau de manière simple. Elle décide de passer à IPv6 avec, comme cahier des charges :

  • déployer IPv6 sans casser ou perturber ce qui fonctionne en IPv4 ;
  • rendre le déploiement complètement transparent à l'utilisateur ;
  • viser des améliorations en terme de simplicité de gestion et de performance du réseau ou, au pire, que cette dernière soit équivalente à celle obtenue en IPv4 ;
  • maintenir la connectivité avec l'Internet IPv4.

Afin d'avoir un déploiement progressif d'IPv6, elle s'oriente vers un déploiement en double pile qui est un des premiers mécanismes de coexistence, et le plus recommandé. En effet, il évite les problèmes liés à l'utilisation des tunnels. C'est la technique de transition originellement envisagée comme nous le rappellerons. La suite de ce document décrit les principaux éléments relatifs à l’activation d’une double pile. Dans un premier temps, l'adressage et la configuration à mettre en place sont étudiés. Ensuite, les points propres à chacune des principales applications réseaux (DHCP, DNS, pare-feu, supervision) à prendre en compte lors du passage en IPv6 sont soulevés. Enfin, les problèmes induits par l’utilisation de la double pile ainsi que leurs solutions sont précisés.

Technique de la double pile

Le mécanisme de double pile IP (Dual Stack), spécifié par le RFC 4213, consiste à doter un équipement du réseau de la pile protocolaire IPv6, en plus de celle d'IPv4, et d'affecter une adresse IPv4 et IPv6 à chaque interface réseau. La configuration des équipements réseaux en double pile exige clairement un double travail de configuration à la fois en IPv4 et en IPv6. L’utilisation parallèle des piles IPv4 et IPv6 vise l’intégration de IPv6 tout en assurant aux nœuds en double pile une compatibilité parfaite avec le réseau IPv4 existant. Ainsi, les nœuds en double pile sont capables de communiquer dans les deux versions du protocole IP. La figure 1 illustre ce principe.

Figure 1 : Architecture d'un nœud en double pile.

Dans le cas d'un routeur, il y a une table de routage pour chaque version du protocole. Le routeur est ainsi capable de relayer à la fois les paquets IPv6 et IPv4. De cette façon, IPv4 et IPv6 coexistent sur la même infrastructure. Autrement dit, IPv6 n'a pas besoin d'une infrastructure dédiée.

La technique de la double pile résout le problème d'interopérabilité lié à l'introduction de la pile IPv6. Quand cela est possible, la communication se fait en utilisant la nouvelle version du protocole. Dès qu'un des éléments n'est pas compatible (réseau, système d'exploitation, application), le protocole IPv4 est utilisé. Mais, pour que cette technique soit pleinement utilisable, cela implique que les routeurs entre les 2 correspondants soient aussi configurés pour router les deux types de paquets et que des applications soient capables de traiter des communications avec des adresses IPv6. Avec cette technique, il est possible d'écrire des applications en IPv6 qui restent compatibles avec les applications IPv4 existantes.

Étude et préparation du déploiement d'IPv6

En fonction du contexte de déploiement, les enjeux et contraintes ne seront pas les mêmes. Il faut distinguer le réseau résidentiel de l'utilisateur domestique qui se caractérise par l'absence d'administration, du réseau d'entreprise qui est administré.

  • Au sein d’un réseau résidentiel, les problématiques sont liées à la configuration des équipements terminaux, au déploiement des services de résolution de noms et configuration d’adresses, ainsi qu’aux performances perçues par l’utilisateur.
  • Dans le cas d’un réseau d’entreprise, il faudra ajouter les problématiques d’obtention du préfixe IPv6, la définition du plan d’adressage, et la configuration du routage IPv6, en plus de celui d'IPv4. Comme les réseaux d’entreprises hébergent de nombreux services tels que le DNS ou le web, il faut aussi prendre en compte la mise à niveau de ces services.

Méthode

L'intégration d'IPv6 dans un réseau d'entreprise demande de la méthode, comme le montre le RFC 7381. Une phase d'étude et d'analyse est un préalable indispensable pour identifier les points bloquant à l'intégration d'IPv6 dans le contexte professionnel.

L'intégration d'IPv6 commence par la désignation d'une personne en charge de suivre et coordonner les actions liées à l'intégration d'IPv6. Sa première tâche consistera à dresser un inventaire des équipements du réseau afin de déterminer ceux qui supportent IPv6. Cet inventaire va être un élément clef pour orienter le choix des techniques de transition. Par exemple, si de nombreux segments du réseau ne sont pas "IPv6 compatible", il n'est pas question de tout jeter et de racheter, mais il faudra retenir la technique de transition adaptée à son réseau. En plus du matériel, il faut également faire l'inventaire des logiciels utilisés pour déterminer lesquels supportent IPv6 et lesquels nécessitent une mise à jour.

Les applications "métiers", développées en interne, doivent être modifiées le plus tôt possible afin de les rendre capables de manipuler des adresses sur 128 bits. Le RFC 4038 propose des méthodes pour développer du code indépendant des versions d'IP. Dans une note[1] S. Bortzmeyer propose d'utiliser des bibliothèques de langage de plus haut niveau d'abstraction. Ainsi, les détails de la communication ne remontent pas jusqu'au développeur d'application. Le RFC 6724 indique comment sélectionner les adresses sources. Le RFC 8305 liste et solutionne les problèmes liés à la baisse de performance parfois observée dans les déploiements "double pile". Ce dernier point est développé dans la section "Déploiement au niveau des services" de cette activité.

Un point, dans cette phase d'étude, à ne pas négliger concerne la sécurité. L'essentiel des failles de sécurité d'un réseau IPv6 est commune avec celles d'un réseau IPv4. Celles qui sont spécifiques à IPv6 peuvent être dues au manque de support d'IPv6 par les fournisseurs d'équipement de sécurité tels que les NIDS (Network Based Intrusion Detection System), pare-feu, outils de monitoring... Ces dispositifs doivent supporter IPv6 aussi bien qu'IPv4 mais ce n'est pas toujours le cas. La faible maturité du code source est également une faille relevée par le RFC 7381. Les problèmes de sécurité spécifiques à IPv6 peuvent aussi être dus à la configuration. Les pare-feu et ACL (Access Control List) des logiciels peuvent avoir des règles strictes pour IPv4 mais beaucoup moins pour IPv6. Étant donné que leur réseau est beaucoup moins sollicité en IPv6, des administrateurs sont tentés de ne pas fournir autant d'efforts que pour la sécurisation d'IPv4. L'utilisation d'adresses protégeant la vie privée des utilisateurs [RFC 8981] complique également la tâche des administrateurs. Elles sont un frein pour une identification rapide des nœuds. Les mécanismes de transition reposant sur des tunnels encapsulant IPv6 sur les réseaux IPv4 apportent également des failles inhérentes à l'utilisation des tunnels [RFC 7123]. S'ils sont mal déployés, ils peuvent créer des back doors qui offrent un moyen de passer outre les sécurités de l'entreprise (en particulier avec Teredo et 6to4 [RFC 6180]).

Même si IPv6 n'est pas déployé dans un réseau, il faut malgré tout prendre en compte IPv6 pour la sécurisation. En effet, la plupart des hôtes sont désormais en double pile. Ils ont une adresse IPv6 "lien-local" qui peut être utilisée pour la communication entre les équipements d'un même lien. Ce trafic peut être filtré sur les équipements de niveau 2 s'ils le permettent. La double pile rend le nœud sensible aux attaques par fausses annonces de routeurs (rogues RA) [RFC 6104]. Ces annonces configurent chez les hôtes une fausse connectivité IPv6. Les hôtes enverront le trafic au routeur par défaut, lequel pourra fournir une connectivité IPv6 aux utilisateurs via des tunnels et mettre en œuvre des attaques de type MitM (Man in the Middle). Le RFC 7113 propose une méthode d'analyse de l'en-tête IPv6 appelée 'RA-Guard (IPv6 Router Advertisement Guard) à mettre en œuvre au niveau des commutateurs. En dépit du fait que les annonces de routeurs illégitimes soient la plupart du temps le fait d'erreurs de configuration de machines hôtes qui émettent des RA, il ne faut néanmoins pas les négliger car une connectivité IPv6 non fonctionnelle ou de mauvaise qualité va affecter la qualité de service perçue par l'utilisateur (voir le paragraphe "problèmes liés à la double pile" de cette activité). Notons que la sécurisation des mécanismes d'autoconfiguration n'est pas un problème spécifique à IPv6. En IPv4, des serveurs DHCP mal intentionnés (idem pour DHCPv6) peuvent également envoyer des informations erronées suite à une requête DHCP. Aussi bien les RA que le DCHP peuvent être sécurisés via l'authentification des messages, mais ces solutions sont très peu déployées en pratique.

L'impact des différences entre les deux versions d'IP est souvent mal évalué. Par exemple, l'utilisation d'un préfixe IPv6 GUA pour les hôtes et l'absence de NAT, notamment dans les routeurs SOHO (Small Office / Home Office) est perçue comme une faille de sécurité. En plus des règles de filtrage nécessaires à la sécurisation, les RFC 6092 et RFC 7084 imposent que les routeurs SOHO filtrent par défaut les connexions venant de l'extérieur au réseau. De cette manière, l'absence de NAT dans le cadre d'IPv6 n'ouvrira pas plus de faille de sécurité que sur les routeurs SOHO en IPv4. La sécurité de IPv6 peut aussi être surévaluée, comme dans les attaques par balayage de l'espace d'adressage. Malgré la taille gigantesque de l'espace d'adressage en IPv6, le RFC 7707 montre que IPv6 est malgré tout sensible aux attaques par balayage, et qu'il faut s'en protéger. À cet effet, le RFC 6018 propose l'utilisation de greynets pour IPv4 et IPv6.

Ensuite, vient la problématique du routage interne. Les principaux protocoles de routage intègrent depuis longtemps IPv6. OSPFv3 supporte IPv4 et IPv6 mais diffère de OSPFv2 sur certains points. Notons qu'il est possible d'utiliser des protocoles de routage différents pour les trafics IPV4 et IPV6. Le document [2] (en cours d'étude au moment de la rédaction de ce document) détaille les choix de conception spécifiques au routage IPv6.

La phase de préparation inclut également le plan d'adressage et l'allocation des adresses. Ces points sont abordés en détail dans la suite de ce document.

Il apparaît donc clairement que l'intégration d'IPv6 nécessite d'impliquer de nombreux corps de métiers. Les formations adéquates doivent donc être proposées au personnel de l'entreprise. Cela inclut aussi bien les administrateurs système et réseau, ceux en charge du routage, de l'infrastructure, les développeurs, que le personnel des centres d'appel du support technique. À titre d'exemple, citons l'article[3] qui rapporte l'expérience de la migration en IPv6 d'un industriel.

Vérification de la disponibilité d’IPv6

Le protocole IPv6 et ses protocoles associés sont pris en charge par les systèmes d'exploitation depuis plus de 10 ans. Il en découle qu'une grande majorité des nœuds de l'Internet comporte IPv6. Ainsi, au démarrage d'un nœud, même en l'absence d'un routeur IPv6 sur le lien de ce nœud, l'interface se configure automatiquement avec une adresse IPv6. Les exemples ci-dessous montrent que c'est le cas pour les OS les plus courants. Pour chacun des OS, une adresse "lien-local" (link-local address) a été allouée [voir la séquence 1]. Elle est utilisée pour les communications locales uniquement, comme par exemple le mécanisme de découverte de voisins [RFC 4861]. Elle n'est pas routable ni, par conséquent, utilisable pour une communication indirecte (passant par un routeur).

Pour que cette vérification soit une formalité, il est nécessaire, bien en amont de l'intégration d'IPv6, d'exiger, dans les achats de matériels et logiciels, la disponibilité d'IPv6 ou la compatibilité[4]. Par exemple, c'est ce qu'a fait le département nord-américain de la défense[5].

MacOSX 10.9.2

ifconfig en0
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
    ether 14:10:9f:f0:60:46
    inet6 fe80::1610:9fff:fef0:6046%en0 prefixlen 64 scopeid 0x4
    inet 192.168.1.143 netmask 0xffffff00 broadcast 192.168.1.255
    nd6 options=1<PERFORMNUD>
    media: autoselect
    status: active

Linux 2.6.32 :

ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 60:eb:69:9b:87:97  
          inet addr:195.154.87.139  Bcast:195.154.87.255  Mask:255.255.255.0
          inet6 addr: fe80::62eb:69ff:fe9b:8797/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:75115704 errors:5 dropped:0 overruns:0 frame:5
          TX packets:17934141 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6583563265 (6.5 GB)  TX bytes:5944865545 (5.9 GB)
          Memory:feae0000-feb00000

Windows :

c:\> ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . : 
IPv6 Address. . . . . . . . . . . : 2001:db8:21da:7:713e:a426:d167:37ab
Temporary IPv6 Address. . . . . . : 2001:db8:21da:7:5099:ba54:9881:2e54
Link-local IPv6 Address . . . . . : fe80::713e:a426:d167:37ab%6
IPv4 Address. . . . . . . . . . . : 157.60.14.11
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::20a:42ff:feb0:5400%6
IPv4 Default Gateway  . . . . . . : 157.60.14.1
Tunnel adapter Local Area Connection* 6:
Connection-specific DNS Suffix . :
IPv6 Address. . . . . . . . . . . : 2001:db8:908c:f70f:0:5efe:157.60.14.11
Link-local IPv6 Address . . . . . : fe80::5efe:157.60.14.11%9
Site-local IPv6 Address . . . . . : fec0::6ab4:0:5efe:157.60.14.11%1
Default Gateway . . . . . . . . . : fe80::5efe:131.107.25.1%9
fe80::5efe:131.107.25.2%9
Tunnel adapter Local Area Connection* 7:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :

Obtenir un préfixe IPv6

Pour une communication indirecte, il faut compléter la configuration avec une adresse IPv6 unicast qui soit routable. Il existe deux types d’adresses qui répondent à ce critère : les adresses "unicast locales" ULA (Unique Local Address) [RFC 4193] et les adresses "unicast globales" GUA (Global Unicast Address) [RFC 3587]. Pour rappel, les différences majeures entre ces deux types d’adresses sont les suivantes :

  • Portée : les adresses GUA sont des adresses publiques tandis que les adresses ULA sont des adresses privées. Les adresses privées ne peuvent être utilisées que pour des communications dans un intranet.
  • Routage : Les adresses GUA peuvent être routées dans l’internet. Les adresses ULA, routables uniquement sur une topologie privative, doivent être filtrées par les routeurs en bordure de site. Les préfixes ULA ne doivent pas être annoncés ni acceptés par les routeurs inter-AS.
  • Obtention : Un préfixe ULA est généré de manière aléatoire par l’administrateur d'un site. Le GUA est obtenu auprès d'un opérateur tiers qui gère un registre d'allocation.

Mais quelle type d'adresse routable utiliser dans un site ? Quelles sont les cas d'utilisation des adresses ULA ? Les éléments de réponses à ces questions sont abordés dans le RFC 5375, qui développe les considérations à prendre en compte pour la mise en place de l'adressage unicast d'IPv6. Ainsi, il recommande un préfixe de lien de /64 pour, notamment, le bon fonctionnement de la procédure d'autoconfiguration d'adresses. Le RFC 6177 discute du préfixe à allouer à un site d'extrémité. Ce préfixe peut varier de /48 à /64. Il est recommandé de donner des possibilités de sous-réseaux à l'intérieur du site, ce que ne permet pas une allocation de préfixe à /64.

Il faut tout d’abord noter que le préfixe alloué à un site est souvent très confortable au niveau du plan d'adressage. Il n'y a rien de commun avec ce qui est connu en IPv4. Lorsqu’un site obtient un préfixe /48, il peut avoir 2^16 sous-réseaux différents et 2^64 nœuds dans chacun de ces sous-réseaux. Même l'allocation d'un préfixe /64, qui reste problématique pour déployer des sous-réseaux, donne un nombre d’adresses disponibles qui dépasse de plusieurs ordres de grandeur le nombre de nœuds qu’il peut y avoir dans un réseau.

Préfixe ULA

Le préfixe ULA [RFC 4193] est l'équivalent, dans son usage, aux préfixes privés d'IPv4 [RFC 1918], mais quasi unique et sans registre central. Ce dernier point rend le préfixe ULA non agrégeable, et donc les adresses ULA non routables sur l’internet. La caractéristique d'unicité du préfixe ULA supprime le risque de conflit entre les 2 plans d'adressage lorsque 2 sites privés fusionnent, ce qui est loin d'être le cas en IPv4.

Ce RFC propose, dans un espace réservé fc00::/7, de constituer, selon un algorithme, des adresses quasi uniques. Le format des adresses de type ULA est présenté dans l'activité 13. Il est rappelé que le format d'adresse ULA se compose d'un préfixe de 48 bits dont 40 bits (Global ID, GID) pour identifier le site. Les 40 bits du GID sont générés en utilisant une fonction de hachage (i.e. SHA-1) de l'heure et de l'adresse MAC de la machine, exécutant l’algorithme détaillé dans le RFC. Outre le script, sous licence libre GPL et développé par Hartmut Goebel, indiqué dans l'activité 13, il existe des sites pour générer automatiquement un préfixe ULA comme http://unique-local-ipv6.com/ ou http://www.kame.net/~suz/gen-ula.html, ou bien encore celui du SIXXS qui, en plus de fournir un préfixe ULA, l'enregistre dans un registre.

Notons que les raisons conduisant à l'utilisation des adresses privées d'IPv4 ne s'appliquent plus dans le cas d'IPv6. Citons :

  • Manque d’adresses IP publiques. Dans l’internet IPv4, la motivation principale pour l’utilisation des adresses privées est que l’espace d’adressage publique n’est pas suffisant pour l’ensemble des machines. Dans le cas d’IPv6, cette motivation n’a clairement plus lieu d’être.
  • Accroitre le niveau de sécurité. L’utilisation des adresses privées dans IPv4 induit que les machines situées derrière un NAT sont plus difficilement accessibles de l’extérieur par un unique effet de bord. Cela rend les machines derrière le NAT moins vulnérables aux attaques extérieures. Certains estiment donc que les adresses GUA exposent les machines directement aux attaquants de l’internet et trouvent là une justification à l’utilisation d’adresses privées. On notera que cet argument est fallacieux car, avec un adressage privé, il faut malgré tout utiliser un pare-feu pour prévenir les attaques, ce qui montre que la sécurisation n'est pas une question de type d'adresse publique ou privée. Donc, une simple règle sur un pare-feu pour interdire l’ouverture de connexion depuis l’extérieur peut fournir le même niveau de sécurité qu’un NAT.
  • Facilité de déploiement. L'accès Internet, pour un site avec un adressage ULA, nécessite un NAT66 dénommé aussi NPTv6 (Network Prefix Translation) [RFC 6296] pour le changement d’adresses ULA en GUA. En plus de l'achat et de la maintenance de cet équipement, ce sont certaines tares du NAT qui reviennent dans le réseau IPv6 [RFC 5902]. L'usage d'ULA dans le cas d'un accès Internet n'économisera pas l'obtention d'un préfixe GUA (pour l'extérieur du NAT). Au final, un réseau basé sur les adresses ULA introduit un travail plus complexe et plus important qu’un équivalent GUA.

Aussi, les seuls cas où l’utilisation des adresses ULA est réellement motivée sont les réseaux de tests (enseignement, bancs d'essais, déploiement de prototype) et les réseaux nécessitant un niveau de sécurité très élevé par un isolement complet, comme les réseaux tactiques ou d'hôpitaux. Le RFC 6296 propose une autre utilisation d'un plan d'adressage construit sur un préfixe ULA. Pour des sites de taille petite ou moyenne, un préfixe ULA couplé à un NAT66, offre une solution simple pour changer d'opérateur ou pour gérer la multi-domiciliation sans nécessiter un préfixe PI (Provider Independent). Ainsi, en cas de changement de fournisseur d'accès, la renumérotation n'impactera que le NAT. Les adresses ULA forment ainsi une sorte de substitut aux adresses PI. Cette idée peut avoir un sens tant que des mécanismes simples de renumérotation du réseau ne seront pas effectifs [RFC 7010]. Cette question de la renumérotation n'est pas une question simple {RFC 5887]. Dans tous les autres cas, les adresses GUA sont plus faciles à déployer et à administrer. C'est aussi le conseil donné par l'auteur de cette note[6].

Préfixe GUA

Pour rappel, les préfixes GUA sont sous l'autorité de l’IANA[7] qui délègue aux RIR (Regional Internet Registry) l'allocation. Les RIR délèguent eux-mêmes aux NIR (National Internet Registery) puis aux LIR (Local Internet Registery) et/ou finalement aux FAI. En Europe, le RIR est le RIPE-NCC. Il délègue directement aux FAI/LIR sans passer par des NIR. Les LIR et certains FAI se voient déléguer des préfixes /32. Ils ont obligation d’allouer les blocs IPv6 à des utilisateurs finaux tels que des organismes ou des FAI. Le RIPE-NCC ne prévoit pas de recommandation sur la taille des préfixes alloués par les LIR aux FAI.

Le préfixe GUA peut être alloué par un FAI, par un LIR ou par un RIR. Le choix s'effectue selon le type de préfixe à détenir. Si le préfixe est destiné à un site, on parlera d'un préfixe PA (Provider Assigned ou Provider Aggregatable) ; si le site est multidomicilié, il faut un préfixe dit PI (Provider Independent).

Le préfixe de type PA est attribué par le FAI/LIR. Il n'y a pas de formalités particulières à remplir. Le préfixe est alloué en même temps que la connectivité. Le préfixe est donc spécifique à un site et associe ce site à un opérateur. Ce dernier assure les services suivants :

  • allocation du préfixe à l’organisme ;
  • transport du trafic de l’utilisateur ;
  • annonce d'un préfixe BGP dans lequel est inclus celui du site.

La taille du préfixe alloué varie selon les opérateurs. Certains donneront un /52, voire un /60. Le préfixe alloué est au maximum /64. Si un site doit avoir un préfixe de moins de 48 bits, la demande doit être motivée. Si le FAI change, il faut rendre le préfixe et renuméroter le réseau du site, et cette action est pénible [RFC 5887]. Pour éviter ce désagrément, il est possible de demander un préfixe PI auprès d'un RIR. Ce type de préfixe est une nécessité pour les sites multidomiciliés ou pour les sites qui doivent changer de FAI sans changer d’adresses. La demande de préfixe doit être faite directement à RIPE-NCC qui attribue un préfixe /48 ou un préfixe de longueur inférieure si la demande est motivée. Il faut que l'organisation qui en fait la demande soit membre de RIPE ou que la demande soit parrainée par un FAI/LIR membre de RIPE. Il est ensuite nécessaire que les FAI annoncent et routent le préfixe PI.

À noter que si un FAI ne propose pas IPv6, il est possible d'utiliser un service de tunnels. Certains d’entre eux (e.g. Hurricane Electric) attribuent gratuitement un préfixe /48 lors de l’établissement d'un tunnel.

Définition du plan d’adressage de sous-réseau avec IPv6

Les préfixes alloués dans la majorité des cas laissent de nombreux bits pour gérer les liens à l'intérieur d'un site. Lorsque le préfixe alloué au site est un /48, le SID (Subnet Identifier) est codé sur 16 bits. Il est évident que la structuration du plan d'adressage est radicalement différente selon que l'on soit en IPv4 ou en IPv6. En IPv4, l'essentiel du travail sur l'adressage a pour but d'économiser les quelques adresses disponibles, pour pouvoir fonctionner malgré la pénurie. En IPv6, ce problème disparaît et la définition du plan d'adressage vise la facilité de son administration tout en rendant l'agrégation de routes efficace. La mise en œuvre des politiques de sécurités doit aussi être prise en compte dans la définition du plan d'adressage interne. Dans l'article[8], l'auteur montre comment ces critères doivent servir à guider la définition d'un plan d'adressage pour un site. Comme nous l'avons vu dans l'activité 16, il est possible de structurer le routage interne de plusieurs manières :

  • reproduire le schéma IPv4 déjà déployé. Ainsi, par exemple, le préfixe privé (RFC 1918) 10.0.0.0/8 offre 24 bits d'identification locale à l’administrateur pour la structuration des sous-réseaux. En pratique, sur cet exemple, les plus petits sous-réseaux ont rarement des préfixes supérieurs à /24, ce qui laisse 16 bits (24 - 8) pour la structuration. Dans ce cas, il est donc possible de reproduire le plan d’adressage privé IPv4 à l’aide des 16 bits du SID ;
  • numéroter de manière incrémentale les sous-réseaux (e.g. 0001,0002,0003…). Simple à mettre en œuvre, cette technique peut cependant conduire à un adressage plat et difficile à mémoriser. Elle peut également complexifier l’écriture des règles de filtrage ainsi que l’agrégation ;
  • Utiliser le numéro de VLAN, ce qui est tout à fait possible puisque le VLAN ID n’occupe que 12 bits. Cette méthode permet d’éviter de mémoriser plusieurs niveaux de numérotation ;
  • séparer les types de réseaux et utiliser les chiffres de gauche pour les désigner. D'autres niveaux de structuration peuvent être définis sur les bits restant. Cette technique permet de faciliter les règles de filtrage, tout en utilisant des règles appropriées à la gestion de ces sous-réseaux pour la partie de droite. À titre d'exemple, le tableau 1 contient le plan de numérotation d'une université localisée sur plusieurs sites prenant en compte les différentes communautés d'utilisateurs. Ainsi, le préfixe :
    • 2001:db8:1234::/52 servira pour la création de l'infrastructure, donc en particulier les adresses des interfaces des routeurs prises dans cet espace ;
    • 2001:db8:1234:8000::/52 servira pour le réseau Wi-Fi des invités ; la manière dont sont gérés les 12 bits restants du SID n'est pas spécifiée ;
    • 2001:db8:1234:E000::/52 servira pour le réseau des étudiants. L'entité représente la localisation géographique du campus. Dans chacun de ces campus, il sera possible d'avoir jusqu'à 16 sous-réseaux différents pour cette communauté.
Communauté 4 bits 8 bits 4 bits
Infrastructure 0 valeurs spécifiques
Tests 1 valeurs spécifiques
Tunnels 6 allocation de /60 aux utilisateurs
Invités Wi-Fi 8 valeurs spécifiques
Personnels a Entité sous-réseaux
Étudiants e Entité sous-réseaux
Autre f valeurs spécifiques

Tableau 1 : Exemple de découpage du SID

Déploiement des équipements en double pile

Les services indispensables au fonctionnement d'un réseau doivent être déployés et ceux existants doivent intégrer IPv6 ; par exemple, la configuration d’adresse (DHCP / SLAAC), le nommage (DNS) et l’administration de l’infrastructure (supervision, sécurité et métrologie). Cette section traite des problématiques liées à leur configuration.

Un hôte en double pile présente une interface réseau de la manière suivante dans un environnement Unix :

eth0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.108.119.134 netmask 0xffffff00 broadcast 192.108.119.255
inet6 2001:db8:1002:1:2b0:d0ff:fe5c:4aee/64
inet6 fe80::2b0:d0ff:fe5c:4aee/64
ether 00:b0:d0:5c:4a:ee
media: 10baseT/UTP <half-duplex>
supported media: autoselect 100baseTX

Notons qu’un réseau peut être entièrement en double pile ou partiellement, à condition que les segments IPv4 soient masqués par des tunnels dans lesquels IPv6 est encapsulé dans IPv4. Tous les équipementiers de cœur de réseau supportent ces mécanismes, ce qui permet rapidement d'acheminer du trafic IPv6 dans une infrastructure IPv4 existante. Lorsque le déploiement est partiel, une attention particulière doit être portée au protocole de routage utilisé, l'activation de fonctions permettant de gérer plusieurs topologies (v4 et v6) pouvant s'avérer nécessaire.

Configuration d'adresses

La configuration des interfaces réseaux en IPv6 peut s'effectuer selon plusieurs méthodes.

Avec la méthode SLAAC (StateLess Address Auto Configuration ) [RFC 4862], l’interface génère elle-même ses adresses à partir des informations émises par le routeur local. Si SLAAC est sans doute plus simple et plus rapide à déployer, elle peut présenter des inconvénients :

  • absence du DNS. SLAAC n'intègre pas de champ pour transmettre le serveur DNS local. Ce n’est pas un problème si l’adresse d’un serveur DNS est obtenue via le DHCP de l’interface IPv4, mais cela rend donc indispensable l’existence d’une telle interface. Toutefois, le RFC 8106 rend désormais possible l’ajout d’une option DNS dans les messages RA (Router Advertisment) ;
  • absence de contrôle sur les adresses. Il n'y a pas de moyen fiable d’enregistrer l’association "adresse MAC - adresse IP". Le logiciel NDPMON (Neighbor Discovery Protocol Monitor) permet cependant d'écouter le réseau en permanence et de mémoriser les correspondances entre les adresses IP et MAC.

Avec DHCPv6 [RFC 8415], le client obtient son adresse et ses informations auprès du serveur DHCP. Ce dernier peut donc contrôler les informations indiquées à chaque machine, contrôler les adresses attribuées et mémoriser ces dernières. Le serveur DHCP est aussi l'endroit logique où faire des mises à jour dynamiques du DNS pour refléter les changements d'adresses IP. Comme DHCP offre davantage de contrôle que SLAAC, DHCP est en général apprécié dans les réseaux d'organisations.

Lorsque DHCP est utilisé dans sa version "sans état", comme le permet le RFC 8415, il sert à distribuer uniquement des paramètres statiques, comme les adresses des serveurs de noms. Dans cette situation, la méthode SLAAC est utilisée pour allouer les adresses et le nœud doit récupérer les informations manquantes à sa configuration par le serveur DHCP "sans état".

Lors du déploiement de DHCPv6 en double pile, l’inconvénient majeur va être la gestion des informations recueillies via des sources différentes. Ce problème bien connu est notamment décrit dans le RFC 4477. En effet, des informations pouvant être reçues à la fois du DHCPv4 et du DHCPv6, il peut y avoir inconsistance. Par exemple, des informations relatives à la pile IPv6 renseignées manuellement dans la configuration de l’OS (e.g. /etc/resolv.conf) peuvent être effacées par le client DHCPv4. Le client doit savoir s’il doit utiliser les informations les plus récentes ou fusionner ces informations selon des critères bien précis. Ce problème est encore plus prononcé si les réseaux IPv6 et IPv4 n’ont pas les mêmes administrateurs.

Résolution d’adresses

Les points importants relatifs au DNS (Domain Naming System) dans le déploiement d'IPv6 sont présentés dans le RFC 4472. Pour IPv6, le DNS est d'autant plus indispensable que les adresses sur 128 bits ne sont pas simples à lire ni à mémoriser. Le DNS est utilisé pour associer les noms avec les adresses IP. Un nouvel enregistrement (resource record) appelé AAAA a été défini pour les adresses IPv6 [RFC 3596]. Les "résolveurs" DNS (clients du DNS) doivent être capables d’interpréter les enregistrements A pour IPv4 et les enregistrements AAAA pour IPv6. Lorsque les deux types sont retournés par le serveur DNS, le "résolveur" doit trier l’ordre des enregistrements retournés de manière à favoriser IPv6. Par ailleurs, le client (de la couche application) doit pouvoir spécifier au "résolveur" s’il souhaite obtenir les entrées de type A ou AAAA.

Administration du réseau

Il est indispensable que IPv6 et IPv4 soient isofonctionnels. Pour ce faire, il faut maîtriser les outils d'administration réseau IPv6 et en particulier s'assurer du bon fonctionnement des services et équipements IPv6.

L’administration d’un réseau peut se décomposer en trois tâches : la supervision, la métrologie et la sécurité. Les pare-feux sont depuis longtemps capables d’appliquer leurs règles de filtrage au trafic IPv6. Il est à noter que les mécanismes de chiffrement et les certificats n’ont pas été impactés par IPv6. Les outils de métrologie sont généralement assez faciles à adapter à IPv6 puisqu’il y a peu de dépendance entre les logiciels.

La difficulté principale réside dans les outils de supervision. Le protocole de supervision SNMP sert à collecter dans des bases de données appelées MIB (Management Information Base) diverses informations qui sont stockées sur les équipements réseaux. Net-SNMP intègre IPv6 depuis 2002. Cette intégration était nécessaire pour interroger les nœuds uniquement IPv6. Cette intégration d'IPv6 n'était pas indispensable dans le cas d'un réseau double pile puisqu'il est possible d'interroger un équipement via SNMP depuis son interface IPv4. L'évolution des MIB a été beaucoup plus délicate mais elle est achevée et le RFC 4001 prévoit que l'adresse IP soit de longueur variable et constituée de deux champs, un pour identifier le type d’adresse et un pour l’adresse elle-même.

Les principales solutions de supervision (e.g. Nagios) et équipementiers supportent désormais largement IPv6. Il faut malgré tout s’assurer que l’ensemble des outils utilisés dans le cadre de SNMP supportent la version unifiée et modifiée de la MIB.


Déploiement d'IPv6 pour les services

Les adresses IPv4 imbriquées dans une adresse IPv6

Les premières adresses IPv4 imbriquées dans une adresse IPv6 ont été décrites dès les premières spécifications des mécanismes d'interopérabilité, dont certains ont depuis été officiellement dépréciés. Parmi ces adresses historiques nous trouvons :

  • adresse IPv4 compatible (IPv4-Compatible IPv6 address RFC 4213, RFC 3513) ::a.b.c.d/96 ou ::xxxx:xxxx/96. Ces adresses ont été dépréciées par le RFC 4291.
  • « IPv4 mappées » (IPv4-mapped IPv6 address RFC 4291) ::ffff:a.b.c.d/96 ou ::ffff:xxxx:xxxx/96. Ces adresses font référence à un nœud supportant uniquement IPv4.
  • « IPv4 translatées » (IPv4-translated IPv6 address RFC 7915) ::ffff:0:a.b.c.d/96 ou ::ffff:0:xxxx:xxxx/96. Ces adresses référençaient dans l'espace v4 un nœud uniquement v6, dans le cadre du protocole de traduction sans état entre IPv4 et IPv6 (IP/ICMP Translation Algorithm SIIT, RFC 7915). Elles se distinguent des « IPv4 mappées » par un décalage à gauche de 16 bits du mot ffff.

Les préfixes de ces adresses sont composés de mots nuls ou tout à 1 (:ffff:), ce qui les rend neutres vis-à-vis du calcul du checksum intégrant le pseudo-entête (cf. séquence 3).

Les longs préfixes nuls de ces adresses les rendent difficilement routables sur le réseau. Ces adresses sont cependant adaptées pour les interfaces logiques internes aux machines double pile (dual-stack). Les adresses « IPv4 mappées » sont par exemple utilisées pour aiguiller les flux vers la pile IPv4, dans le cadre d'applicatifs conformes IPv6 hébergés sur des machines double pile.

Au niveau des applications

La version de protocole IP utilisée doit être transparente au niveau de l'application et cela ne doit rien changer. Il faut cependant que l'application puisse exprimer l'adresse de son correspondant, que ce soit en IPv4 ou en IPv6. Pour cela, les adresses doivent être codées sur 128 bits. Un type d'adresse IPv6 a été défini à cet usage, à savoir comporter l'adresse IPv4 d'une communication IPv4 (IPv4 mapped IPv6 address, « IPv4 mappées »). L'adresse IPv4 est imbriquée dans une adresse IPv6 comme le montre la figure 4. Le format des adresses IPv4 imbriquées est ::ffff:<ipv4 address>, comme par exemple ::ffff:192.0.2.1 (affichée ::ffff:c000:201). Avec ce type d'adresse, l'espace d'adressage IPv4 est vu comme une partie de l'espace d'adressage IPv6.

tolérance de notation (rappel)

Lorsque l'adresse IPv4 occupe la partie basse de l'adresse IPv6, les 32 bits de poids faible (bits 97 à 128), la notation décimale pointée traditionnelle d'IPv4 est tolérée. Ainsi, l'adresse 2001:db8:900d:cafe::c0a8:a05 peut être notée 2001:db8:900d:cafe::192.168.10.5 lors d'une saisie (configuration manuelle d'interface ou passage de paramètre en ligne de commande...). Cependant, elle sera affichée sous sa forme canonique (RFC 5952) 2001:db8:900d:cafe::c0a8:a05 dans le journal de bord (log system) de la machine. Dans ce cas, si la saisie peut nous sembler familière, la correspondance entre l'adresse IPv6 et l'adresse IPv4 embarquée est moins évidente à l'affichage.

Figure 4 : Adresse IPv4 imbriquée dans une adresse IPv6.

Quand la pile IPv4 d'un équipement reçoit un paquet et qu'une application utilise le format d'adresse d'IPv6, les adresses IPv4 imbriquées "source" et "destination" sont construites à partir des informations contenues dans l'en-tête du paquet. Réciproquement, quand une application émet des paquets avec des adresses IPv4 imbriquées, ceux-ci sont aiguillés vers la pile IPv4.

L'exemple suivant illustre ce fonctionnement. Le client Telnet compilé en IPv6 et fonctionnant sur une machine double pile peut contacter les équipements IPv4 en utilisant leur adresse IPv4 mais, bien sûr, les équipements IPv6 avec leur adresse IPv6.

>telnet rhadamanthe
Trying 2001:db8:1002:1:2b0:d0ff:fe5c:4aee...
Connected to rhadamanthe.ipv6.rennes.enst-bretagne.fr.
Escape character is '^]'.
 
FreeBSD/i386 (rhadamanthe.ipv6.rennes.enst-br) (ttyp3)
 
login:^D
>telnet bloodmoney
Trying ::ffff:193.52.74.211...
Connected to bloodmoney.rennes.enst-bretagne.fr.
Escape character is '^]'.
 
 
SunOS UNIX (bloodmoney)
 
login:

Nous venons de le voir : une application compatible IPv6 peut dialoguer indifféremment en IPv4 et en IPv6, alors qu'une application utilisant un format d'adresse IPv4 restera limitée à ce protocole. Ceci ramène au problème du développement du code lié à la communication des applications. Plus généralement, le développement d'applications IPv6 compatible demande de nouvelles méthodes et pratiques au niveau de la programmation du fait du changement de la longueur de l'adresse IP, de la suppression de la diffusion d'IPv4[9]. Pour rendre une application "IPv6 compatible", il faut qu'elle soit compilée ou recompilée avec l'interface de programmation (API) IPv6 ou, pour les applications écrites avec un langage de haut niveau d'abstraction, que la bibliothèque intègre IPv6. Ceci n'est bien sûr possible que sur les équipements pourvus d'un système ayant une pile IPv6, ce qui est aujourd'hui vrai dans la quasi-totalité des cas. Reste le problème des applications non recompilables (code source non disponible) : ce genre de situation est traité par la suite dans l'activité de traduction.

Devant le coût des développements, la problématique de la compatibilité des applications à IPv6 doit être traitée dès le début, dans la stratégie de migration vers IPv6.

Problèmes liés au déploiement d'IPv6

L’intégration d'IPv6 devrait être indolore. L'utilisateur ne devrait pas voir de différence lorsqu'il accède à un service en IPv6. Cependant, en l'absence d'un minimum de précaution, ce souhait peut ne pas être satisfait, et le déploiement d'IPv6 en double pile peut dégrader le fonctionnement des services. Nous allons voir quels sont les problèmes engendrés au niveau du service perçu et comment les prévenir.

Le premier problème porte sur la phase d’établissement de la connexion comme expliqué par cet article[10]. Pour l'illustrer, prenons un service “monservice.org” accessible aux adresses IPv4 et IPv6 comme représenté sur la figure 5. L’application du client demande au "résolveur" DNS la liste des adresses IP pour joindre “monservice.org”, et ce dernier retourne une adresse IPv6 et une adresse IPv4. Conformément aux préconisations du RFC 6724, la connexion commence avec l’adresse IPv6. Si la connexion IPv6 échoue, une autre adresse, potentiellement en IPv4, est essayée. Si le service est accessible sur une des adresses retournées par le DNS, le client finira par établir une connexion au service. L’inconvénient de cette méthode est que les tentatives de connexion sont bloquantes et donc effectuées de manière séquentielle. Le délai d’attente pour considérer qu’une connexion a échoué est de l’ordre de plusieurs dizaines de secondes.

Dans l'état actuel du déploiement d'IPv6, bien des sites ont une connexion IPv6 totalement ou partiellement inopérante. Si un serveur fonctionne en IPv4 et en IPv6, et que son client n'a qu'IPv4, il n'y aura pas de problème. Mais si le client a IPv6, tente de l'utiliser, mais que sa connectivité IPv6 est plus ou moins défaillante, il aura des temps de réponse très importants. Les utilisateurs percevront le service comme très dégradé. C’est la raison pour laquelle, encore aujourd’hui, il y a si peu de sites Internet accessibles en IPv6.

Figure 5 : Établissement de connexion d'un client en double pile.

Le second problème est relatif à la taille des paquets IPv6, comme montré dans cet article[11]. Une fois la connexion établie en IPv6, l’utilisateur peut rencontrer des problèmes pour les échanges avec le serveur. En effet, en raison de l'utilisation de tunnels, IPv6 présente un problème de MTU bien plus souvent que IPv4. Le lien « standard » sur Internet a une MTU de 1500 octets, héritée d'Ethernet. Si, de bout en bout, tous les liens ont cette MTU, la machine émettrice peut fabriquer des paquets de 1500 octets et ils arriveront intacts. Mais, s'il y a sur le trajet un tunnel qui réduit la MTU, le problème de MTU peut se produire, comme la figure 6 le représente. Le problème de MTU se manifeste par le fait que les paquets de petite taille, tels ceux utilisés lors de l’établissement de la connexion, passent, mais les gros paquets, comme les transferts de fichiers avec HTTP, bloquent mystérieusement. Les paquets dépassant la MTU du chemin ne sont jamais remis à la destination. Si les messages ICMP avertissant de ce problème sont bloqués par un routeur sur le chemin, la source n'apprendra pas le problème et ne pourra donc pas s’adapter. La connexion va finalement se fermer pour cause d'inactivité (aucune réception n'est faite). Ce problème est assez sérieux dans l'Internet et a fait l'objet du RFC 4459. Dans l'article[11], le problème de MTU est détaillé et illustré par des captures de traces.

Figure 6 : Le problème de MTU.

Le troisième problème porte sur la performance perçue pour un service reposant sur la connectivité IPv6. Celle-ci sera évaluée comme dégradée à l'image de l'interactivité. La connectivité IPv6 est souvent constituée de tunnels. Si les sorties des tunnels sont trop éloignées du point d'entrée, le temps de réponse peut significativement augmenter et dépasser les valeurs souhaitables pour les applications interactives (ToIP, vidéoconférence, jeux en ligne...) et même pour le Web. L’utilisateur verra alors sa qualité de service chuter par rapport au réseau simple pile IPv4 et ce, même si la connectivité IPv6 est parfaitement fonctionnelle. Ce problème de délai important en IPv6 est illustré par la figure 7 dans laquelle le temps de réponse (noté RTT Round Trip Time) est plus long en IPv6 du fait d'un chemin plus long en terme de nœuds de commutation et en distance.

Figure 7 : Illustration des délais importants en IPv6.

Des solutions ont été proposées pour éviter que les utilisateurs désactivent IPv6 en réponse à la baisse de performance qu’ils observent. Il est ici intéressant de noter que les problèmes que nous venons de décrire trouvent leur origine dans l'utilisation d'IPv4 dans la connectivité IPv6. La bonne solution serait de généraliser IPv6 pour un usage sans IPv4. En attendant, les solutions proposées sont détaillées par la suite afin qu'IPv6 fonctionne aussi bien qu'IPv4.

Les problèmes qui apparaissent lors de la phase d’établissement de la connexion sont dus au fait que le client tente de se connecter séquentiellement aux différentes adresses du service. IPv6 étant testé en premier lieu, il faut attendre que la tentative de connexion échoue, ce qui peut prendre plusieurs secondes. Le RFC 8305 propose d'essayer d'établir une connexion TCP à la fois en IPv4 et en IPv6 et de conserver la première connexion établie. Le RFC précise que les demandes de connexion doivent être émises de sorte que ce soit celle portée par IPv6 qui puisse être conservée. Les navigateurs Web ont pris en compte ces recommandations mais les mises en œuvre divergent comme le rapporte l'article[12]:

  • Le navigateur Safari conserve, dans une table, le délai moyen pour atteindre chaque adresse du serveur. L’adresse ayant le délai le plus court est utilisée en priorité, mais si elle ne répond pas avant le délai attendu, l’adresse suivante est essayée. La demande de connexion est émise en décalé sur les différentes adresses du serveur. La première connexion établie sera utilisée pour la suite des échanges. Cette solution peut cependant induire un délai non négligeable si le serveur comporte de nombreuses adresses et que seule la dernière (celle de plus long délai moyen) est accessible.
  • Le navigateur Chrome mesure les délais pour l’obtention des adresses IPv4 et IPv6 via le DNS. Il tente d’établir une connexion avec le protocole dont l’adresse a été obtenue en premier. Notons que pour maximiser les chances de réussite, il envoie deux segments SYN en parallèle avec des ports "source" différents. Si aucun segment SYN + ACK n’est reçu après 250 ms, un dernier segment SYN est émis depuis un troisième port. Si aucun segment SYN + ACK n’est reçu après un total de 300 ms, le protocole suivant sera essayé. Dans le cas où un problème apparaît avec un seul des protocoles, le délai est donc au maximum allongé de 300 ms. Si un problème apparaît avec les deux protocoles, c’est la méthode par défaut de l’OS qui sera utilisée. Notons que si le RTT est supérieur à 300 ms, les deux protocoles seront systématiquement utilisés.
  • Le navigateur Firefox implémente strictement les recommandations du RFC 8305 et essaye les deux protocoles en parallèle.

Des mises en œuvre similaires à celles des navigateurs sont à développer pour les clients des différentes applications (e.g. mail, VoIP, chat...). Pour ne pas avoir les inconvénients des accès séquentiels, il faudrait ne pas attendre l’expiration des temporisateurs de l’OS, mais choisir des temps de garde plus agressifs et ayant moins d’impact pour les utilisateurs. Par exemple, si IPv6 ne répond pas avant un délai de 300 ms ou deux RTT, alors IPv4 est essayé.

Notons cependant que le parallélisme a un effet pervers pour les opérateurs. En effet, l’utilisation des CGN pour la connectivité IPv4 leur est coûteuse et le maintien des états relatifs à l’ouverture de chaque connexion consomme des ressources. En suggérant l’ouverture de plusieurs connexions en parallèle, le RFC 8305 va à l’encontre des intérêts des opérateurs et potentiellement des utilisateurs si les CGN sont saturés. C'est pourquoi, il suggère d’essayer en priorité le protocole qui ne générera pas d’état dans le réseau, à savoir IPv6.

Pour les problèmes de MTU, la solution réside dans le fait de forcer les utilisateurs à choisir une faible MTU, par exemple 1400 octets, dans l'espoir qu'il n'y ait pas un lien sur la route dont la MTU soit inférieure à cette valeur. Cela peut être fait lors de la configuration de l'interface réseau ou lors de l'établissement d'une connexion TCP en réduisant la taille maximum des segments autorisée. Cette réduction est effectuée par le routeur (MSS clamping). Dans le RFC 4821, les auteurs proposent une solution qui ne repose pas sur ICMP. L'idée consiste à ce que TCP relève la taille des segments perdus. Si ce sont les segments de grande taille, TCP diminue la MSS (Maximum Segment Size) de lui-même (et, par voie de conséquence, la valeur de la MTU). Le RFC 8899 étend cette technique à d'autres protocoles de transport que TCP et SCTP.

Les problèmes de performance en termes de délai sont dus à l'utilisation de tunnels. La solution réside dans la sélection de points de sorties plus proches pour les tunnels. Au moment de la rédaction de ce document, le problème de délai n'a pas de solution (au niveau application) faisant l'objet d'une recommandation similaire à celle du RFC 8305.

Conclusion

Le mécanisme de double pile permet de résoudre les craintes liées à la migration vers IPv6. Dès lors, il ne s'agit plus d'une migration mais d'une intégration de IPv6 dans le réseau existant. Le réseau IPv4 reste pleinement fonctionnel et l'intégration d'IPv6 ne risque pas de compromettre le bon fonctionnement des services déployés. En effet, quand cela est possible, la communication se fait en utilisant la nouvelle version du protocole. Dès qu'un des éléments n'est pas compatible (réseau, système d'exploitation, application), le protocole IPv4 est utilisé. Le principal intérêt réside dans l'adaptation progressive de son système d'information et de son personnel à IPv6.

Notons que le déploiement double pile ne doit être que transitoire car il ne résout pas le problème de la pénurie d'adresses puisque chaque machine doit disposer d'une adresse IPv4 et d'une adresse IPv6. Cela complique aussi les mécanismes de configuration automatique et augmente la charge pour l'administrateur réseau. Lors de l'activation d'IPv6 pour un service existant en IPv4, il faut prendre des précautions afin que la qualité perçue par l'utilisateur ne soit pas dégradée.

Références bibliographiques

  1. Botzmeyer, S. (2006). Programmer pour IPv6 ou tout simplement programmer à un niveau supérieur ?
  2. Matthews, P. Kuarsingh, V. (2015). Internet-Draft. Some Design Choices for IPv6 Networks
  3. Cisco. (2011). White paper. Solution Overview—Getting Started with IPv6
  4. RIPE documents. (2012). Requirements for IPv6 in ICT Equipment
  5. Marsan, C.D. (2010). Network World. U.S. military strong-arming IT industry on IPv6
  6. Horley, E. (2013) IPv6 Unique Local Address or ULA - what are they and why you shouldn't use them
  7. IANA. IPv6 Global Unicast Address Assignments
  8. Rooney, T. (2013). Deploy 360 Programme. Internet Society. IPv6 Address Planning: Guidelines for IPv6 address allocation
  9. Cisco. (2011); White paper. IPv6 and Applications
  10. Bortzmeyer, S. (2011). Le bonheur des globes oculaires (IPv6 et IPv4)
  11. 11.0 11.1 Huston, G. (2009). The ISP Column. A Tale of Two Protocols: IPv4, IPv6, MTUs and Fragmentation
  12. Huston, G. (2012). The ISP Column. Bemused Eyeballs: Tailoring Dual Stack Applications for a CGN Environment

Pour aller plus loin

Scénarios de déploiement :

Sécurité :

Pour développer des applications compatibles avec IPv6 :


RFC et leur analyse par S. Bortzmeyer :

Analyse

Présentations sur le déploiement d'IPv6 :

Personal tools