Information pour installer IPv6 dans un laboratoire ou une université

Fiche ressource Article, événement, site web...
  • Création ou MAJ importante : 24/02/11
  • Correction mineure : 04/03/11
Mots-clés

Information pour installer IPv6 dans un laboratoire ou une université

  • Type de ressource : article
  • Date de publication du document ou de l'événement : Janv 2011
  • Auteur(s) ou responsable(s) :

    X. Jeannin CNRS

  • Contact pour plus d'informations : Xavier.Jeannin@urec.cnrs.fr

1. But de cette fiche plume

Le but de cette fiche plume n’est pas d’expliquer IPv6 mais plutôt de fournir à la communauté « éducation recherche » une synthèse sur le pourquoi d’IPv6 et sur les informations pour mettre en œuvre un déploiement d’IPv6 dans le contexte particulier de la communauté « éducation recherche ». Cette fiche ne réécrit pas ce qu’une littérature abondante explique déjà bien, mais fournit des pointeurs vers des sources d’information : livre, article, site, liste de diffusion.

2. Pourquoi IPv6 et pourquoi maintenant

La nouvelle génération de "IP", qui a fini par prendre pour nom IPv6, a été conçue pour corriger un certain nombre de problèmes d’IPv4 et offre donc naturellement de nombreux avantages sur IPv4. Seule une partie de ces avantages a été adaptée et mise en place sur IPv4 comme par exemple IPsec. Le premier frein au déploiement de IPv6 est que le poids de l’existant est tel, que la mise en place d’IPv6 a été reportée tant que la pénurie d’adresses publiques IPv4 n'a pas été effective.

Le second frein pour le déploiement d’IPv6 est dû au fait qu’il est nécessaire de changer une partie du code des applications réseau. Même si ce changement est très localisé (à l’ouverture de la socket, puis dans la gestion du DNS), cet inconvénient a vraiment été le frein principal pour l’adoption d’IPv6. L’article suivant (http://www.urec.cnrs.fr/IMG/pdf/EGEE-III-IPV6_Compliance_C_Cpp_Java_Python_Perl.pdf) explique dans le détail, avec des exemples concrets, comment porter votre application sur IPv6.

Annoncée au cours des années 90 (1994), la pénurie d’adresses chez le distributeur mondial des adresses, IANA (Internet Assigned Numbers Authority), est désormais prévue pour l’année 2011 (février 2011 au moment de la rédaction de cette fiche, voir le site de prédiction de la fin des adresses IPv4 potaroo). Cette erreur de prédiction est dûe principalement au développement de l’usage des classes d'adresses privées, à la mise en place de solutions de traduction d’adresse NAT (Network address translation) et à l’usage des CIDR (Classless Internet Domain Routing). Cette erreur de prédiction a notamment beaucoup décrédibilisé les tenants du déploiement d’IPv6. Quoiqu’il en soit, nous sommes désormais face à cette pénurie d’adresses IPv4. Il convient cependant de noter que, de par le fonctionnement de la distribution des adresses IP, la pénurie ne se fera sentir pour l’usager que plusieurs mois après l’épuisement des adresses chez IANA. Car entre IANA et l’usager final, les Regional Internet Registries (RIR, un par
continent, RIPE pour l’Europe) et les Local Internet Registries (LIR, par exemple RENATER) ont un stock d’adresses IPv4 qu’ils vont distribuer eux aussi jusqu’à épuisement.

L’épuisement des adresses IPv4 ne va pas signifier l’arrêt de l’internet mais plutôt la fin de sa croissance. Néanmoins, la fin de cette croissance va sans doute impacter douloureusement les sociétés de l’internet, et comme de nombreux réseaux ne seront pas prêts pour IPv6, on parle déjà de surcoût dû au non déploiement d’IPv6 pour les entreprises.

Enfin, certains envisagent de nouvelles mesures pour prolonger la vie d’IPv4. Le CGN “Carrier Grade Nat” (CGN), qui est une sorte de "super NAT", en est un exemple. Mais ces mesures ajoutent encore un niveau de complexité et donc de nouveaux problèmes. A l'inverse, la connectivité IPv6 doit permettre de simplifier l'architecture des réseaux, car l'espace d'adressage étant beaucoup plus important, chaque équipement peut être connecté à l'internet avec une adresse publique, donc sans devoir recourir à une quelconque traduction d'adresses.

La situation est donc maintenant devenue tendue et plusieurs états (Japon, Corée, Chine), la communauté européenne, des ministères (Department Of Defense, USA), des opérateurs et grands acteurs de l’Internet (Google, Facebook, Yahoo!, Akamai et Limelight Network), lancent des actions pour favoriser le déploiement d’IPv6 : le world IPv6 day (http://isoc.org/wp/worldipv6day/, http://test-ipv6.com/ipv6day.html), l'exigence de la compatibilité IPv6 dans tous les appels d’offres, des projets européens autour d’IPv6, …

IPv6 apporte les avantages suivants par rapport à IPv4 :

  • Un espace d’adressage beaucoup grand.
  • La possibilité de bénéficier d’adresses publiques tellement importante qu'elle évite la nécessité de translation d'adresses NAT et
    rétablit la connexion de bout en bout (très utile pour certaines applications: voix sur IP, etc …).
  • Un espace d’adressage hiérarchique qui permet de réduire considérablement les tables de routages. La taille de ces tables est en effet un problème pour les routeurs de cœur de l’Internet.
  • Les problèmes de mobilité des postes sont bien mieux traités avec IPv6.
  • L’auto-configuration des postes clients.

Les systèmes d’exploitation et les équipements réseaux récents sont désormais compatibles avec IPv6. Le protocole IPv6 et ses implémentations sont aujourd’hui matures et les exemples de déploiement réussis montrent que
celui-ci est facile à réaliser.

3. Les adresses IPv6

Les adresses IPv4 sont codées sur 32 bits soit 2 à la puissance 32 adresses possibles soit 4,294 milliards d’adresses en IPv4. Les adresses IPv6 sont codées sur 128 bits soit 2 à la puissance 128 soit 3,4 x10 à la puissance 38.

Exemple d’une adresse IPv6 : 2001:0660:3003:0001:0000:0000:6543:210F

L'écriture simplifiée donne : 2001:660:3003:1::6543:210F

(les :: successifs signifient une suite de 0)

Les 64 premiers bits de gauche sont utilisés pour tout ou partie pour former le préfixe du réseau. Pour l’adresse de l’interface
de l’hôte dans le réseau (sans le préfixe), on doit utiliser au minimum les 64 derniers bits de droite. On ajoute la notation /XX par exemple /48 pour indiquer la longueur du préfixe, c.a.d. le nombre de bits à gauche dédiés au préfixe.

2001:660:3003:1::6543:210F/48 veut dire que le préfixe est 2001:660:3003 et l’adresse de l’interface de l’hôte
est 0001:0000:0000:6543:210F dans le réseau 2001:660:3003.

Une interface réseau peut avoir plusieurs adresses en IPv6, mais nous ne détaillerons pas ce point qui dépasse le cadre de cet article.

Pour l’instant le plan d’adressage décidé pour IPv6 au niveau de l’internet n’utilise qu’un huitième de tout l’espace disponible en IPv6, il donc possible de changer ce dernier si des problèmes apparaissaient.

4. Méthode de déploiement

a. le dual-stack (double pile)

Il existe différentes manières de déployer IPv6, cela dépend surtout de votre existant : votre matériel, vos applications et l’offre de votre opérateur. La période de transition verra certainement une mise en oeuvre d’IPv6 au coté d’IPv4 au sein de l’Internet grâce à des systèmes dits « dual-stack » (double pile) et ceci pour une période qui pourra être longue. Le dual-stack permet à une machine de "parler" à la fois IPv4 et IPv6. Dans cette architecture, le DNS joue un rôle primordial, c'est lui qui permet à l'initiateur d'une connexion réseau de choisir s'il veut se connecter en IPv4 ou en IPv6 selon ses propres possibilités et les possibilités de la machine à laquelle il veut accéder. Quand un client compatible IPv6 demande l'adresse IP d'une machine, le DNS renvoie les deux types d'adresses (IPv6 et IPv4) selon les possibilités de la machine ou service visé. Si le client n'est pas compatible IPv6, il utilise alors l'ancienne forme d'appel DNS, et le DNS ne lui renverra que l'adresse IPv4. Le dual-stack assure le maintien de l’existant, c.a.d. le maintien des vieilles applications et vieux matériels non compatibles IPv6. La technique dite de double pile, peut convenir à tous les environnements actuels – bien qu‘elle ne règle pas le problème de la pénurie des adresses IPv4.

Avantages :

  • Assurance de pouvoir maintenir l’intégralité de l’existant
  • Possibilité de déployer IPv6 dans un sous-réseau sans que les nœuds soient tous compatibles IPv6
  • Progressivité possible (IPv6 dans un testbed, pour les services réseaux ou pour tous les nœuds, tous les sites ou seulement certains d’entre eux)
  • Il s’agit dans ce cas plus d’un déploiement que d’une migration

Inconvénients :

  • Un surcoût de gestion de deux versions du protocole IP
  • Persistance d’IPv4 plus longtemps
  • Les utilisations du réseau continueront de passer en grande majorité par IPv4 dans un premier temps

La solution dual-IP possède donc quelques inconvénients mineurs mais l’immense avantage est de garantir le bon fonctionnement des services et applications sous IPv4, ce qui assure que les applications et les services, pour l’instant incompatibles avec IPv6, resteront opérationnels.

b. Méthodologie de déploiement, phases

La méthode retenue est de déployer IPv6 au côté d’IPv4 en utilisant des machines double pile. Les phases proposées pour un projet de déploiement d’IPv6 sont :

  • Vérifier les pré-requis : cela passe par la vérification que votre réseau de collecte fournisse le service de connectivité IPv6, par un inventaire de la compatibilité IPv6 des équipements réseaux et par une acquisition de compétences IPv6 (formation).
  • Les préparatifs: après avoir obtenu un préfixe IPv6 auprès de votre opérateur réseau (RENATER ou autre), vous définissez un plan d’adressage et votre stratégie de gestion du DNS, premier service nécessaire au déploiement d’IPv6.
  • La phase de test : elle consiste en la configuration sur une zone test des premières machines et routeurs, puis vous ajoutez leurs adresses IPv6 dans la configuration de votre DNS.
  • La phase pilote : vous vous raccordez au réseau de collecte et paramétrez votre routage externe et interne. La sécurité doit être mise en place au travers de filtres comme en IPv4, mais avec quelques spécificités IPv6 qu’il convient de prendre en compte.
  • La phase de déploiement des services : vous migrez progressivement vos services réseaux sous IPv6. La quasi-totalité des services TCP/IP classiques supportent IPv6 et sont faciles à mettre en place.
  • La phase de déploiement au public : après avoir déterminé une stratégie pour l’auto-configuration, vous pouvez déployer IPv6 chez les utilisateurs.

Le document suivant (http://www.urec.cnrs.fr/IMG/pdf/IPv6_par_ou_commencer.pdf) propose une méthodologie de déploiement d’IPv6 pour le CNRS que vous pourrez adapter à votre contexte.

5. La sécurité

La sécurité en IPv6 ressemble fortement à celle en IPv4 à quelques exceptions près. De manière générale le sujet a été traité de manière approfondie dans le document suivant « Guidelines for the Secure Deployment of IPv6 » (http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf) et de manière plus pratique pour notre contexte dans le document « La sécurité dans une transition vers IPv6 » (http://www.urec.cnrs.fr/IMG/pdf/secu.articles.Archi.Securite.IPv6.pdf).

L’un des points importants est que la sécurité de votre réseau repose sur du filtrage comme en IPv4. Cependant, même si les fournisseurs de firewall proposent les mêmes fonctionnalités, il se peut que les performances obtenues avec IPv6 soient moindres (il arrive que des fonctionnalités implémentées au niveau matériel en IPv4 le soient au niveau logiciel en IPv6, il faut donc bien se renseigner au préalable).

6. La métrologie reseau

La métrologie réseau recouvre les mesures de la performance du réseau avec pour objectifs :

  • Connaître le taux d’utilisation du réseau : comptabilité 
  • Connaître la charge des liens : bonne répartition et architecture du réseau ? Goulots d’étranglement ? 
  • Connaître la nature du trafic : sécurité, analyse, statistiques 
  • Connaître les performances du réseau : contrat de service, QoS

Ces objectifs sont réalisés en IPv6 comme en IPv4.Le protocole SNMP peut récupérer des mesures concernant IPv6 à partir d'un transport soit en IPv4 soit en IPv6. Les MIB pour IPv6 sont globalement disponibles mais il faut vérifier que les contructeurs les ont bien implémentées. Les outils classiques de mesures acties comme Iperf, etc. sont compatibles avec IPv6 en général.

Pour la partie analyse de flux, c'est à partir de NetFlow version 9 qu'IPv6 est supporté.

7. La supervision

La supervision d’un réseau IPv6 se fait de la même manière qu’en IPv4. L’important est d’utiliser le même outil pour les deux versions du protocole afin de ne pas augmenter le travail de supervision.
Argus (http://argus.tcp4me.com/) est un outil très simple et facile à déployer, il convient très bien pour un petit environnement.
Nagios (http://www.projet-plume.org/fr/fiche/nagios) est très connu et fournit plus de fonctionnalités, il convient très bien pour un environnement plus étendu.

 

8. Des références

Livre et documentation générale

  • Gizèle Cizault - (ouvrage collectif du G6) - IPv6 Théorie et Pratique disponible sur le site http://livre.g6.asso.fr/index.php/Main_Page
  • IPv6 : The New Internet Protocol C. Huitema Prentice Hall, Englewood Cliffs, New Jersey -1996. 188 pages
  • IPv6 and the TCP/IP Protocols Stephen A. Thomas Wiley Computer Publishing -1996. 481 pages ( disponible chez Eyrolles et au CNET )

Sites Internet autour d’IPv6

Projet de réseaux métropolitains, régionaux et mise en place de service

Vous trouverez de nombreux exemples de mise en place de services réseaux comme DNS, SMTP, IMAP, POP, HTTP etc. sur ces sites

Configuration d’un hôte

Fonctionnement d’IPv6 sur un serveur ou un client

Sécurité

  • 6net Large scale international IPv6 pilot network, http://www.6net.org/
  • Migration IPv6 : enjeux de sécurité, CERTA n°CERTA-2006-INF-004
  • Davis, Mohacsis - Recommendations for Filtering ICMPv6 Messages in Firewalls, IETF Draft draft-ietf-v6ops-icmpv6-filtering-recs-00.txt
  • La sécurité sous IPv6 - UREC/CNRS - Gaël Beauquin

Métrologie réseau

La métrologie réseau recouvre les mesures de la performance du réseau avec pour objectifs :

  • Connaître le taux d’utilisation du réseau : comptabilité 
  • Connaître la charge des liens : bonne répartition et architecture du
    réseau ? Goulots d’étranglements ? 
  • Connaître la nature du trafic : sécurité, analyse, statistiques 
  • Connaître les performances du réseau : contrat de service, QoS

Outil de supervision

Quelques articles dans notre communauté

Transition vers IPv6

Liste de diffusion

  • forumIPv6 [at] g6 [dot] asso [dot] fr (généraliste)
  • ipv6tech [at] g6 [dot] asso [dot] fr (technique)
  • ipv6 [at] ietf [dot] org (technique)

Epuisement des adresses IPv4 et action pour le déploiement d’IPv6

Opérateurs

Commentaires

Autre relecture

Cette fiche a aussi été relue et complétée par Etienne Dublé.