|
|
| (2 intermediate revisions by the same user not shown) |
| Line 1: |
Line 1: |
| − | <!--
| |
| − | > [[MOOC:Accueil|MOOC]]>[[MOOC:Contenu|Contenu]]>[[MOOC:Sequence_4|Séquence 4]] > [[MOOC:Activité_41|Activité 41]]
| |
| − | ----
| |
| − | -->
| |
| − | __NOTOC__
| |
| | | | |
| − | <!-- ----------------------------------------- -->
| |
| − | = <div id="Deployer">Activité 41 : déployer IPv6 maintenant </div> =
| |
| − | <!-- ----------------------------------------- -->
| |
| − | {{Approfondissement}}
| |
| − |
| |
| − |
| |
| − |
| |
| − | == <div id="scenario"> Quel scénario pour le déploiement ? </div> ==
| |
| − |
| |
| − | Nous avons vu, dans les séquences précédentes, les détails de la technologie de communication liée à IPv6. Nous avons pu constater que le format des paquets et des adresses sont différents de ceux d'IPv4, et ces différences font que ces deux versions d'IP ne peuvent interopérer. L'Internet actuel fonctionne en IPv4 mais il a besoin d'IPv6 pour continuer sa croissance. Quelle que soit la version d'IP utilisée, l'objectif est de maintenir une connectivité globale. Se pose alors le problème de la coexistence des deux versions d'IP au sein d'un seul Internet. Plus exactement, le monde IPv6 doit intégrer des mécanismes afin qu'il puisse interopérer avec l'Internet version 4, c'est-à-dire la partie de l'Internet qui utilise encore IPv4.
| |
| − | Comme il n'y aura pas de jour du grand basculement d'IPv4 à IPv6, l'introduction d'IPv6 dans l'Internet s'effectue de façon progressive et en s'étalant dans le temps. Elle doit même se faire sans que l'utilisateur puisse s'en apercevoir. La phase de transition doit être simple ou, au minimum, moins compliquée qu'une utilisation prolongée d'IPv4. Cette introduction d'IPv6 progressive et sans rupture dans l'Internet démontre qu'IPv6 est une évolution d'IPv4. La migration doit se focaliser sur les nouveaux réseaux tout en laissant les anciens fonctionner sous IPv4. L'apparition d'IPv6 ne signifie pas que IPv4 cesse d'exister. En effet, la base d'équipements et de logiciels installés est tellement importante que cela assure au protocole IPv4 une durée de vie quasi "illimitée" à l'échelle humaine. Ceci rend l'idée de la migration sans fin. En fait, c'est notamment au travers des extensions du réseau actuel qu'IPv6 viendra suppléer IPv4.
| |
| − | Cet objectif de déployer IPv6 tout en laissant fonctionner IPv4 est rappelé dans le RFC 7381, qui décrit la démarche pour le déploiement d'IPv6 dans un réseau administré.
| |
| − |
| |
| − | <!-- intégration vs transition -->
| |
| − | Cette idée d'un protocole visant à soulager IPv4 est marquée par le terme d'''intégration''. Le terme de ''transition'', lorsqu'il est utilisé, porte l'idée du remplacement d'IPv4 par IPv6. Le remplacement est plus anxiogène car il annonce une migration d'un système de communication qui fonctionne pour aller vers un système plus inconnu. Le but du maintien d'IPv4 en activité est aussi d'éliminer la peur de détruire quelque chose qui fonctionne. De plus, dans le contexte actuel d'un Internet en IPv4, déployer IPv6 ne signifie pas que le réseau ne doit utiliser qu'IPv6. Au contraire, le déploiement d'IPv6 doit s'intégrer dans le réseau actuel et être vu comme une extension du réseau présent.
| |
| − | La suite de ce document va présenter les types de mécanismes d'intégration, leurs principes et leurs limites.
| |
| − |
| |
| − | == Principes des mécanismes d'intégration ==
| |
| − | <!-- cas de coexistence -->
| |
| − | Ainsi, IPv6 doit se déployer sans remettre en cause l'existant, qui est opérationnel. Mais que faut-il faire pour passer son réseau en IPv6 ? En fait, il n'y a pas une solution unique, mais plusieurs réponses qui dépendent de la place occupée par IPv6 dans le système de communication. Il faut distinguer la bordure (les hôtes) et l'infrastructure de communication. L'infrastructure de communication traite du transport des données. Les hôtes sont les consommateurs et producteurs de données ou, de manière classique, les clients et les serveurs. La distinction entre hôte et réseau conduit à identifier six cas<ref>Soussi, M. (2011). AFNIC’s Issue Papers. [http://www.afnic.fr/medias/afnic-issue-paper-ipv6-2011-05.pdf IPv6, A Passport For The Future Internet]</ref> :
| |
| − | # un hôte IPv4 qui communique avec un hôte IPv4 via un réseau IPv4 ;
| |
| − | # un hôte IPv6 qui communique avec un hôte IPv6 via un réseau IPv6 ;
| |
| − | # un hôte IPv6 qui communique avec un hôte IPv6 via un réseau IPv4 ;
| |
| − | # un hôte IPv4 qui communique avec un hôte IPv4 via un réseau IPv6 ;
| |
| − | # un client IPv4 qui communique avec un serveur IPv6 ;
| |
| − | # un client IPv6 qui communique avec un serveur IPv4.
| |
| − |
| |
| − | Chaque cas pose un problème particulier qui demande un mécanisme dédié. En contrepartie, chaque mécanisme de transition introduit une charge administrative supplémentaire dans le réseau. Ces mécanismes dits d'intégration n'ont pas pour vocation à exister durablement. Ils devraient décroître dans le temps en fonction du nombre d'équipements IPv6 présents sur le réseau. Ils servent à rendre le coût du déploiement supportable en partant des composants existants. Les nouvelles applications, comme par exemple la domotique, pourraient directement démarrer en IPv6 natif et se passer des mécanismes.
| |
| − |
| |
| − | === Double pile ===
| |
| − |
| |
| − | Le premier cas exprime le point de départ de la migration ; le second cas en représente le point d'arrivée. La première idée, pour passer de IPv4 à IPv6, est d'avoir des nœuds qui soient bilingues en quelque sorte, c'est-à-dire capable de parler en IPv6 ou en IPv4 en fonction des capacités de leur correspondant. Pour cela, IPv4 et IPv6 coexistent dans les mêmes nœuds et les mêmes réseaux. Ainsi, les nœuds IPv6 restent compatibles avec les nœuds IPv4. Lorsqu'une nouvelle machine est déployée, elle possède donc une adresse IPv4 et une adresse IPv6. Avec cette idée, la croissance de la taille de l'Internet de ces dernières années aurait été aussi celle d'IPv6. La figure 5 schématise le principe de la communication en double pile.
| |
| − | Le déploiement d'IPv6 en double pile était le plan originel de migration. Après la période de spécification que furent les années 90, les années 2000 devaient servir au déploiement des solutions d'intégration. Ainsi, quand le plan d'adressage IPv4 viendrait à épuisement dans la première moitié des années 2010, IPv6 aurait été déployé. Hélas, cette idée n'a pas abouti car elle avait un coût immédiat dû à la double configuration pour un gain futur (à la fin du plan d'adressage IPv4). L'attentisme a régné au niveau du marché et des acteurs comme les fournisseurs d'accès. Ceux-ci n'ont pas montré un réel empressement à déployer une infrastructure en IPv6 pour fournir des préfixes IPv6 afin que leurs clients fonctionnent en double pile. Le déploiement de nœuds double pile a été au final très limité. Nous nous retrouvons maintenant avec deux problèmes à gérer simultanément : l'intégration d'IPv6 et l'épuisement des adresses IPv4 disponibles.
| |
| − | Il est à noter que les mécanismes qui suivent (tunnel et traduction) reposent sur des machines à double pile. Elles sont capables de communiquer dans les deux protocoles.
| |
| − | <center>
| |
| − | [[Image:41-fig5-hd.png|400px|center|thumb|Figure 5 : Double pile.]]
| |
| − | </center>
| |
| − |
| |
| − | === Tunnel ===
| |
| − |
| |
| − | Les cas 3 et 4 se résolvent à l'aide de tunnels. Le paquet de la source est placé dans une enveloppe qui est en fait un paquet dans la version IP du réseau. Dans le troisième cas, une connectivité IPv6 est offerte au travers d'une infrastructure IPv4 existante comme le représente la figure 6. On parle de câbles virtuels (''softwire'') : un câble virtuel est un tunnel dans lequel une extrémité du tunnel encapsule les paquets IPv6 dans des paquets IPv4. Les paquets IPv4 transitent dans l'infrastructure IPv4 pour rejoindre l'extrémité du tunnel qui va désencapsuler le paquet IPv6. Le câble virtuel forme une liaison point à point entre 2 nœuds IPv6. IPv4 est alors vu comme un système de transmission, comme peut l'être Ethernet ou une liaison Wifi. Le masquage de la topologie du réseau IPv4 à IPv6 peut conduire à faire un routage des paquets IPv6 susceptible d'être "sous-optimal". Par conséquent, la solution des tunnels doit se faire en essayant de suivre la topologie du réseau et ces tunnels doivent être les plus courts possibles en terme de routeurs IPv4 traversés. Comme les systèmes d'extrémités sont compatibles, la solution à base de tunnels introduit certes une complexité, mais ce n'est pas la plus forte.
| |
| − | <center>
| |
| − | [[Image:41-fig6-hd.png|300px|center|thumb|Figure 6 : Tunnel.]]
| |
| − | </center>
| |
| − |
| |
| − | === Traduction ===
| |
| − |
| |
| − | Les deux derniers cas traitent la situation où les extrémités sont incompatibles.
| |
| − | Pour certaines catégories d'applications, comme le mail ou le web, le succès d'IPv6 est fortement lié à l'interopérabilité avec IPv4 puisque, jusqu'à présent, la majorité des informations et des utilisateurs ne sont accessibles qu'avec cette version du protocole. Pour des applications distribuées, la technique de traduction (''translation'') consiste à rendre possible la communication entre un système IPv6 et un système IPv4, comme indiqué par la figure 7. C'est l'idée du NAT d'IPv4 appliquée à IPv6. Dans le cas du NAT IPv4, le format du paquet reste le même, mais avec IPv6, le format du paquet change en même temps que les adresses. Ainsi, un coté du NAT est en IPv4 et l'autre coté repose sur IPv6.
| |
| − |
| |
| − | Cette traduction peut se faire à différents niveaux de l'architecture réseau :
| |
| − | * au niveau applicatif, par des passerelles ou ALG (''Application Level Gateway''). Le proxy est un exemple d'ALG qui comporte, en plus des fonctions de traduction, un cache. Le principe d'une traduction par une ALG consiste à ce que le client envoie sa requête en IPv6 à la passerelle applicative. Celle-ci la renvoie vers le serveur en IPv4. Dans l'exemple du DNS, ceci se conçoit très facilement. Le ''resolver'' du client envoie la requête au serveur local en IPv6. Ce dernier envoie la requête au serveur suivant en IPv4. De même, certains protocoles applicatifs, tel le protocole de transfert de courrier SMTP, fonctionnent nativement en mode relais. Le message passe de relais en relais pour atteindre le serveur de courrier de destination. Le relayage s'effectuant au niveau applicatif, chaque saut peut indifféremment s'effectuer en v6 ou en v4. Pour ces applications largement diffusées, comme le web, la messagerie, le DNS, ou encore les serveurs d'impression, la traduction est donc relativement simple à faire. On peut également souligner que le web et la messagerie constituent une part significative des flux Internet actuels. Cette méthode de migration devrait permettre de traiter la majorité des flux. Mais sa mise en œuvre est complexe car l'ALG est très liée à l'application et la multiplication des applications empêche d'avoir une proposition universelle ;
| |
| − | * au niveau réseau, par des NAT qui agissent au niveau de l'en-tête IP. Le paquet IPv4 est construit à partir d'informations déjà contenues dans l'en-tête IPv6, en particulier différents formats d'adressage permettent de véhiculer une adresse IPv4 dans une adresse IPv6 (le RFC 6052 formalise les différentes variantes d'embarquement d'une adresse IPv4 dans une adresse IPv6). La difficulté d'assurer la compatibilité entre les deux mondes n'est, cependant, pas symétrique. Il est beaucoup plus facile d'initier une session partant du monde IPv6 pour aller vers le monde IPv4. Autrement dit, il est plus facile d'avoir le client du coté IPv6 et le serveur du coté IPv4. En effet, un client IPv6 peut gérer une adresse IPv4 (une adresse sur 128 bits peut contenir une adresse sur 32 bits). Dans le sens inverse, c'est plus complexe : le client IPv4 se retrouve à gérer une adresse en 128 bits et, de plus, il est impossible de modifier l'existant en IPv4 ;
| |
| − | * au niveau transport, au moyen de relais SOCKS [RFC 1928] ou de relais TRT (''Transport Relay Translator'') [RFC 3142]. Les relais transport peuvent être perçus comme des "proxys génériques" pour relayer de manière contrôlée les protocoles TCP ou UDP. L'équipement relais accepte les flux ou connexions entrantes issus du client, auprès de qui il se fait donc passer pour le serveur, et les relaie vers le serveur authentique en se faisant passer pour le client. Ce type de solution n'est pas totalement satisfaisante d'un point de vue sécurité car le relais a un comportement de type «''Man in the Middle''» qui intercepte et éventuellement manipule les flux, y compris les flux sécurisés tels que TLS ou SSH. Ce relais peut en effet négocier une clé intermédiaire lors de l'initialisation de la session sécurisée comme SSH (''Secure Shell'') et déchiffrer le flux SSH reçu avant de le réémettre chiffré avec sa propre clé sur la connexion de sortie. Le relayeur aurait alors tout loisir d'observer le flux en clair. C'est une des limitations importantes des passerelles de niveau transport. Quel niveau de confiance peut-on accorder à la passerelle transport ? On notera également que, compte tenu de son niveau (transport), le relais bloque les flux de contrôle de niveau réseau (ICMP, ICMPv6). Pour ces raisons, l'usage de relais transport est donc aujourd'hui déconsidéré en faveur des deux autres mécanismes précédents.
| |
| − |
| |
| − | <center>
| |
| − | [[Image:41-fig7-hd.png|300px|center|thumb|Figure 7 : Traduction IPv6-IPv4.]]
| |
| − | </center>
| |
| − |
| |
| − | ==Conclusion==
| |
| − |
| |
| − | <!-- Une étude des besoins et des choix à faire-->
| |
| − |
| |
| − | L'adoption d'IPv6 dépend des besoins de chacun mais aussi de la hausse du coût généré par la pénurie d'adresses IPv4. Quand ce coût dépasse une valeur admise propre à chaque acteur, la décision du passage à IPv6 s'impose. IPv6 peut s'utiliser dans le réseau de son site, que son réseau de communication soit à construire ou qu'il existe déjà, que la connectivité de son opérateur soit ou non en IPv6. Notons qu'il est envisageable de déployer un intranet en IPv6 tout en laissant les communications avec l'Internet en IPv4. Quoi qu'il en soit, tant qu'il y aura de l'Internet version 4, il faut maintenir cette connectivité depuis le monde IPv6. Donc, en plus du déploiement d'IPv6, il faut installer des éléments pour réaliser cette connectivité.
| |
| − |
| |
| − | Pour chaque situation, l'IETF a développé des mécanismes de coexistence. Chaque mécanisme répond à une problématique précise du déploiement d'IPv6 dans un monde IPv4. La migration vers IPv6 ne soulève pas tous les problèmes possibles. Par conséquent, il faut choisir les mécanismes qui s'appliquent à sa situation. Le fait qu'il y ait un choix à faire dans la multitude des mécanismes est même devenu un argument pour ne pas passer à IPv6. Cette multitude renvoie une image de complexité. Il faut comprendre que chaque technique répond à un problème bien précis, et qu'il n'est pas nécessaire de maîtriser toutes les techniques.
| |
| − | C'est à partir de l'étude de ses propres besoins qu'il faut identifier lesquelles des techniques sont à appliquer. La démarche consiste, à partir de l'inventaire du réseau IPv4, à se demander ce qui n'est pas compatible IPv6. Dans la situation d'un nouveau réseau IPv6, ce sont les services accessibles uniquement en IPv4 qui vont guider le choix. La question à élucider quelle que soit la situation est la suivante : quels sont les problèmes qui vont apparaître en utilisant IPv6 ? C'est à partir de ce constat que les techniques de transition vont être retenues. Alors, ce sont ces techniques-là qu'il convient d'apprendre et de maîtriser. Par exemple, après une étude de son réseau de communication, l'utilisation d'IPv6 montre un problème sur la connectivité avec l'Internet version 6 car son fournisseur d'accès Internet est resté en IPv4. Un tunnel statique peut être la solution (voir la technique TSP de l'activité 43).
| |
| − |
| |
| − | Il convient de garder à l'esprit que la finalité n'est pas d'installer des mécanismes d'intégration. Ces mécanismes sont vus comme temporaires, mais sur une période temporaire qui peut durer. L'objectif final est d'avoir l'Internet en IPv6 partout comme le rappelle le RFC 6180. Le but des mécanismes de coexistence est de faciliter le déploiement progressif et indépendant du protocole IPv6 dans tous les segments du réseau constituant l'Internet. Lorsque cela sera fait, ces mécanismes deviendront obsolètes et leur disparition rendra l'usage d'IPv6 beaucoup plus simple, à l'image d'IPv4 avant l'apparition de son problème de pénurie d'adresses.
| |
| − |
| |
| − | La démarche du déploiement d'IPv6 dans un réseau administré d'une organisation est décrite dans le RFC 7381. Ce document suggère 3 phases :
| |
| − | # Une phase de préparation et d'analyse au cours de laquelle l'inventaire de l'existant est effectué afin de déterminer quels sont les matériels et les logiciels fonctionnant en IPv6. Le choix de la phase suivante est aussi décidé en fonction des priorités de l'organisation.
| |
| − | # Une phase interne consistant à déployer IPv6 pour les communications internes.
| |
| − | # Une phase externe dans laquelle il s'agit de traiter la connectivité de son Intranet avec l'Internet.
| |
| − |
| |
| − | Les auteurs<ref>Boucadair, M.; Binet, D. et Jacquenet, C. (2011). Techniques de l'ingénieur. [http://www.techniques-ingenieur.fr/base-documentaire/technologies-de-l-information-th9/reseau-internet-protocoles-multicast-routage-mpls-et-mobilite-42289210/transition-ipv6-te7507/ Transition IPv6 - Outils et stratégies de migration]</ref> montrent aussi que selon l'usage du réseau (mobile, fixe, ou de voix sur IP), la stratégie de migration n'est pas la même et doit prendre en compte leurs spécificités. Plusieurs mécanismes de la migration vers IPv6 sont présentés dans la suite de ce chapitre : le déploiement d'IPv6 dans le réseau local en premier lieu, le maintien de la connectivité entre les îlots IPv6 ensuite et, pour finir, l'interopérabilité avec les services en IPv4.
| |
| − |
| |
| − | == Références bibliographiques ==
| |
| − | <references />
| |
| − |
| |
| − | == Pour aller plus loin==
| |
| − |
| |
| − | Pénurie d'adresses IPv4
| |
| − | * Bortzmeyer, S (2014), article de blog: [http://www.bortzmeyer.org/epuisement-adresses-ipv4.html Épuisement des adresses IPv4]
| |
| − | * Huston, G. (2014) [http://www.potaroo.net/papers/2014-03-28-oecd-IPv6.pdf The Internet in Transition: The state of the transition to IPv6 in Today's Internet and of measures to support the continued use of IPv4] .
| |
| − | * Huston, G (2015). [http://www.potaroo.net/ispcol/2015-01/addressing2014.html Addressing 2014 - And then there were 2!]
| |
| − | * Van Beijnum, I. (2014). [http://arstechnica.com/information-technology/2014/06/12/with-the-americas-running-out-of-ipv4-its-official-the-internet-is-full/ With the Americas running out of IPv4, it’s official: The Internet is full]
| |
| − |
| |
| − | Statistiques sur IPv6
| |
| − | * APNIC [http://labs.apnic.net/dists/v6dcc.html IPv6 Deployment Report]
| |
| − | * APNIC Lab [http://labs.apnic.net/?cat=7 List of statistics]
| |
| − | * APNIC [http://icons.apnic.net/display/IPv6/Home IPv6 deployment support site]. (''Useful and up to date information on IPv6')
| |
| − | * RIPE [https://www.ripe.net/publications/ipv6-info-centre/statistics-and-tools IPv6 statistics]
| |
| − | * RIPE Lab [https://labs.ripe.net/statistics-information List of statistics]
| |
| − | * Internet Society [http://www.internetsociety.org/deploy360/ipv6/statistics/ Liste de pointeurs]
| |
| − | * [http://resources.potaroo.net/iso3166/v6dcc.html IPv6 Users by Country]
| |
| − | * [http://www.cidr-report.org/v6/as2.0/ IPv6 CIDR report]
| |
| − | * [http://www.ipv6matrix.org/hosts IPv6 host count] by IPv6 matrix
| |
| − |
| |
| − | Techniques de transition
| |
| − | * Wikipedia [http://en.wikipedia.org/w/index.php?title=IPv6_transition_mechanism IPv6 transition mechanism]
| |
| − |
| |
| − | RFC et leur analyse par S. Bortzmeyer :
| |
| − | * RFC 1918 Address Allocation for Private Internets [http://www.bortzmeyer.org/1918.html Analyse]
| |
| − | * RFC 1928 SOCKS Protocol Version 5
| |
| − | * RFC 2663 IP Network Address Translator (NAT) Terminology and Considerations [http://www.bortzmeyer.org/2663.html Analyse]
| |
| − | * RFC 2993 Architectural Implications of NAT [http://www.bortzmeyer.org/2993.html Analyse]
| |
| − | * RFC 3142 An IPv6-to-IPv4 Transport Relay Translator
| |
| − | * RFC 4864 Local Network Protection for IPv6
| |
| − | * RFC 5128 State of Peer-to-Peer (P2P) Communication across Network Address Translators (NATs) [http://www.bortzmeyer.org/5128.html Analyse]
| |
| − | * RFC 5157 IPv6 Implications for Network Scanning [http://www.bortzmeyer.org/5157.html Analyse]
| |
| − | * RFC 5684 Unintended Consequence of NAT deployments with Overlapping Address Space [http://www.bortzmeyer.org/5684.html Analyse]
| |
| − | * RFC 6052: IPv6 Addressing of IPv4/IPv6 Translators [http://www.bortzmeyer.org/6052.html Analyse]
| |
| − | * RFC 6180 Guidelines for Using IPv6 Transition Mechanisms during IPv6 Deployment [http://www.bortzmeyer.org/6180.html Analyse]
| |
| − | * RFC 6269 Issues with IP Address Sharing [http://www.bortzmeyer.org/6269.html Analyse]
| |
| − | * RFC 6319: Issues Associated with Designating Additional Private IPv4 Address Space [http://www.bortzmeyer.org/6319.html Analyse]
| |
| − | * RFC 6586 Experiences from an IPv6-Only Network [http://www.bortzmeyer.org/6586.html Analyse]
| |
| − | * RFC 6888: Common requirements for Carrier Grade NATs (CGNs) [http://www.bortzmeyer.org/6888.html Analyse]
| |
| − | * RFC 7021 Assessing the Impact of Carrier-Grade NAT on Network Applications [http://www.bortzmeyer.org/7021.html Analyse]
| |
| − | * RFC 7368 IPv6 Home Networking Architecture Principles [http://www.bortzmeyer.org/7368.html Analyse]
| |
| − | * RFC 7381 Enterprise IPv6 Deployment Guidelines [http://www.bortzmeyer.org/7381.html Analyse]
| |
| − | * RFC 7663 IAB Workshop on Stack Evolution in a Middlebox Internet (SEMI) Report [http://www.bortzmeyer.org/7663.html Analyse]
| |
| − | * RFC 7707: Network Reconnaissance in IPv6 Networks [http://www.bortzmeyer.org/7707.html Analyse]
| |
