Information pour installer IPv6 dans un laboratoire ou une université

Ressource Plume
  • Création ou MAJ importante : 24/02/11
  • Correction mineure : 04/03/11
  • Auteur de la fiche : Xavier Jeannin (UREC)
  • Fiches logiciel PLUME connexes : IPv6 CARE, Nagios
Mots clés

 

1. But de cette fiche plume

Le but de cette fiche plume n’est pas d’expliquer IPv6 mais plutôt de fournir à la communauté « éducation recherche » une synthèse sur le pourquoi d’IPv6 et sur les informations pour mettre en œuvre un déploiement d’IPv6 dans le contexte particulier de la communauté « éducation recherche ». Cette fiche ne réécrit pas ce qu’une littérature abondante explique déjà bien, mais fournit des pointeurs vers des sources d’information : livre, article, site, liste de diffusion.

2. Pourquoi IPv6 et pourquoi maintenant

La nouvelle génération de "IP", qui a fini par prendre pour nom IPv6, a été conçue pour corriger un certain nombre de problèmes d’IPv4 et offre donc naturellement de nombreux avantages sur IPv4. Seule une partie de ces avantages a été adaptée et mise en place sur IPv4 comme par exemple IPsec. Le premier frein au déploiement de IPv6 est que le poids de l’existant est tel, que la mise en place d’IPv6 a été reportée tant que la pénurie d’adresses publiques IPv4 n'a pas été effective.

Le second frein pour le déploiement d’IPv6 est dû au fait qu’il est nécessaire de changer une partie du code des applications réseau. Même si ce changement est très localisé (à l’ouverture de la socket, puis dans la gestion du DNS), cet inconvénient a vraiment été le frein principal pour l’adoption d’IPv6. L’article suivant (http://www.urec.cnrs.fr/IMG/pdf/EGEE-III-IPV6_Compliance_C_Cpp_Java_Python_Perl.pdf) explique dans le détail, avec des exemples concrets, comment porter votre application sur IPv6.

Annoncée au cours des années 90 (1994), la pénurie d’adresses chez le distributeur mondial des adresses, IANA (Internet Assigned Numbers Authority), est désormais prévue pour l’année 2011 (février 2011 au moment de la rédaction de cette fiche, voir le site de prédiction de la fin des adresses IPv4 potaroo). Cette erreur de prédiction est dûe principalement au développement de l’usage des classes d'adresses privées, à la mise en place de solutions de traduction d’adresse NAT (Network address translation) et à l’usage des CIDR (Classless Internet Domain Routing). Cette erreur de prédiction a notamment beaucoup décrédibilisé les tenants du déploiement d’IPv6. Quoiqu’il en soit, nous sommes désormais face à cette pénurie d’adresses IPv4. Il convient cependant de noter que, de par le fonctionnement de la distribution des adresses IP, la pénurie ne se fera sentir pour l’usager que plusieurs mois après l’épuisement des adresses chez IANA. Car entre IANA et l’usager final, les Regional Internet Registries (RIR, un par
continent, RIPE pour l’Europe) et les Local Internet Registries (LIR, par exemple RENATER) ont un stock d’adresses IPv4 qu’ils vont distribuer eux aussi jusqu’à épuisement.

L’épuisement des adresses IPv4 ne va pas signifier l’arrêt de l’internet mais plutôt la fin de sa croissance. Néanmoins, la fin de cette croissance va sans doute impacter douloureusement les sociétés de l’internet, et comme de nombreux réseaux ne seront pas prêts pour IPv6, on parle déjà de surcoût dû au non déploiement d’IPv6 pour les entreprises.

Enfin, certains envisagent de nouvelles mesures pour prolonger la vie d’IPv4. Le CGN “Carrier Grade Nat” (CGN), qui est une sorte de "super NAT", en est un exemple. Mais ces mesures ajoutent encore un niveau de complexité et donc de nouveaux problèmes. A l'inverse, la connectivité IPv6 doit permettre de simplifier l'architecture des réseaux, car l'espace d'adressage étant beaucoup plus important, chaque équipement peut être connecté à l'internet avec une adresse publique, donc sans devoir recourir à une quelconque traduction d'adresses.

La situation est donc maintenant devenue tendue et plusieurs états (Japon, Corée, Chine), la communauté européenne, des ministères (Department Of Defense, USA), des opérateurs et grands acteurs de l’Internet (Google, Facebook, Yahoo!, Akamai et Limelight Network), lancent des actions pour favoriser le déploiement d’IPv6 : le world IPv6 day (http://isoc.org/wp/worldipv6day/, http://test-ipv6.com/ipv6day.html), l'exigence de la compatibilité IPv6 dans tous les appels d’offres, des projets européens autour d’IPv6, …

IPv6 apporte les avantages suivants par rapport à IPv4 :

Les systèmes d’exploitation et les équipements réseaux récents sont désormais compatibles avec IPv6. Le protocole IPv6 et ses implémentations sont aujourd’hui matures et les exemples de déploiement réussis montrent que
celui-ci est facile à réaliser.

3. Les adresses IPv6

Les adresses IPv4 sont codées sur 32 bits soit 2 à la puissance 32 adresses possibles soit 4,294 milliards d’adresses en IPv4. Les adresses IPv6 sont codées sur 128 bits soit 2 à la puissance 128 soit 3,4 x10 à la puissance 38.

Exemple d’une adresse IPv6 : 2001:0660:3003:0001:0000:0000:6543:210F

L'écriture simplifiée donne : 2001:660:3003:1::6543:210F

(les :: successifs signifient une suite de 0)

Les 64 premiers bits de gauche sont utilisés pour tout ou partie pour former le préfixe du réseau. Pour l’adresse de l’interface
de l’hôte dans le réseau (sans le préfixe), on doit utiliser au minimum les 64 derniers bits de droite. On ajoute la notation /XX par exemple /48 pour indiquer la longueur du préfixe, c.a.d. le nombre de bits à gauche dédiés au préfixe.

2001:660:3003:1::6543:210F/48 veut dire que le préfixe est 2001:660:3003 et l’adresse de l’interface de l’hôte
est 0001:0000:0000:6543:210F dans le réseau 2001:660:3003.

Une interface réseau peut avoir plusieurs adresses en IPv6, mais nous ne détaillerons pas ce point qui dépasse le cadre de cet article.

Pour l’instant le plan d’adressage décidé pour IPv6 au niveau de l’internet n’utilise qu’un huitième de tout l’espace disponible en IPv6, il donc possible de changer ce dernier si des problèmes apparaissaient.

4. Méthode de déploiement

a. le dual-stack (double pile)

Il existe différentes manières de déployer IPv6, cela dépend surtout de votre existant : votre matériel, vos applications et l’offre de votre opérateur. La période de transition verra certainement une mise en oeuvre d’IPv6 au coté d’IPv4 au sein de l’Internet grâce à des systèmes dits « dual-stack » (double pile) et ceci pour une période qui pourra être longue. Le dual-stack permet à une machine de "parler" à la fois IPv4 et IPv6. Dans cette architecture, le DNS joue un rôle primordial, c'est lui qui permet à l'initiateur d'une connexion réseau de choisir s'il veut se connecter en IPv4 ou en IPv6 selon ses propres possibilités et les possibilités de la machine à laquelle il veut accéder. Quand un client compatible IPv6 demande l'adresse IP d'une machine, le DNS renvoie les deux types d'adresses (IPv6 et IPv4) selon les possibilités de la machine ou service visé. Si le client n'est pas compatible IPv6, il utilise alors l'ancienne forme d'appel DNS, et le DNS ne lui renverra que l'adresse IPv4. Le dual-stack assure le maintien de l’existant, c.a.d. le maintien des vieilles applications et vieux matériels non compatibles IPv6. La technique dite de double pile, peut convenir à tous les environnements actuels – bien qu‘elle ne règle pas le problème de la pénurie des adresses IPv4.

Avantages :

Inconvénients :

La solution dual-IP possède donc quelques inconvénients mineurs mais l’immense avantage est de garantir le bon fonctionnement des services et applications sous IPv4, ce qui assure que les applications et les services, pour l’instant incompatibles avec IPv6, resteront opérationnels.

b. Méthodologie de déploiement, phases

La méthode retenue est de déployer IPv6 au côté d’IPv4 en utilisant des machines double pile. Les phases proposées pour un projet de déploiement d’IPv6 sont :

Le document suivant (http://www.urec.cnrs.fr/IMG/pdf/IPv6_par_ou_commencer.pdf) propose une méthodologie de déploiement d’IPv6 pour le CNRS que vous pourrez adapter à votre contexte.

5. La sécurité

La sécurité en IPv6 ressemble fortement à celle en IPv4 à quelques exceptions près. De manière générale le sujet a été traité de manière approfondie dans le document suivant « Guidelines for the Secure Deployment of IPv6 » (http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf) et de manière plus pratique pour notre contexte dans le document « La sécurité dans une transition vers IPv6 » (http://www.urec.cnrs.fr/IMG/pdf/secu.articles.Archi.Securite.IPv6.pdf).

L’un des points importants est que la sécurité de votre réseau repose sur du filtrage comme en IPv4. Cependant, même si les fournisseurs de firewall proposent les mêmes fonctionnalités, il se peut que les performances obtenues avec IPv6 soient moindres (il arrive que des fonctionnalités implémentées au niveau matériel en IPv4 le soient au niveau logiciel en IPv6, il faut donc bien se renseigner au préalable).

6. La métrologie reseau

La métrologie réseau recouvre les mesures de la performance du réseau avec pour objectifs :

Ces objectifs sont réalisés en IPv6 comme en IPv4.Le protocole SNMP peut récupérer des mesures concernant IPv6 à partir d'un transport soit en IPv4 soit en IPv6. Les MIB pour IPv6 sont globalement disponibles mais il faut vérifier que les contructeurs les ont bien implémentées. Les outils classiques de mesures acties comme Iperf, etc. sont compatibles avec IPv6 en général.

Pour la partie analyse de flux, c'est à partir de NetFlow version 9 qu'IPv6 est supporté.

7. La supervision

La supervision d’un réseau IPv6 se fait de la même manière qu’en IPv4. L’important est d’utiliser le même outil pour les deux versions du protocole afin de ne pas augmenter le travail de supervision.
Argus (http://argus.tcp4me.com/) est un outil très simple et facile à déployer, il convient très bien pour un petit environnement.
Nagios (http://www.projet-plume.org/fr/fiche/nagios) est très connu et fournit plus de fonctionnalités, il convient très bien pour un environnement plus étendu.

 

8. Des références

Livre et documentation générale

Sites Internet autour d’IPv6

Projet de réseaux métropolitains, régionaux et mise en place de service

Vous trouverez de nombreux exemples de mise en place de services réseaux comme DNS, SMTP, IMAP, POP, HTTP etc. sur ces sites

Configuration d’un hôte

Fonctionnement d’IPv6 sur un serveur ou un client

Sécurité

Métrologie réseau

La métrologie réseau recouvre les mesures de la performance du réseau avec pour objectifs :

Outil de supervision

Quelques articles dans notre communauté

Transition vers IPv6

Liste de diffusion

Epuisement des adresses IPv4 et action pour le déploiement d’IPv6

Opérateurs