IPv6 c'est maintenant !
08 Jan 2013IPv6 a fait l’objet d’un lancement mondial le 6/6/2012. A cette occasion, de nombreux FAI ont inaugurés leur offres IPv6 et des sites majeurs sont passés en IPv6 (ou venaient de le faire) :
- www.google.com
- www.facebook.com
- www.youtube.com
- www.wikipedia.org
- www.yahoo.com
- www.bing.com
- ...
Cette liste tombe certes un peu à plat sans le fabuleux xavierraffin.com.
L’explication de ce raté est simple : mon blog n’existait pas à cette date. Mais c’est maintenant chose faite et l’IPv6 de mon blog est : 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f, et c’est ce qui m’a inspiré cet article.
En détail
L'IPv6 décolle Des conséquences techniques majeures Comment se passe la transition ? Comment participer ? 1) en tant qu'internaute 2) en tant que webmaster 3) en tant qu'admin réseau en entreprise Conclusion : IPv6 pour tisseo.fr ?L'IPv6 décolle
Avant d’entrer dans des considérations techniques, quelques chiffres qui montrent que l’IPv6 devient une réalité :
On peut même être fiers car la France est largement devant les états-unis sur ce point grâce à un FAI qui a tout compris :
Des conséquences techniques majeures
IPv6 avec des adresses de 128 bits apporte une solution à la pénurie d’adresse IPv4 et ces 32 bit d’adresse. Un adressage 128 bit c’est 667 millions de milliards d’adresses par millimètre carré de surface terrestre, c’est tellement incommensurable que cela marque la fin du NAT (tadaam !).
La disparition du NAT ou IP masquerade, est une révolution dans la conception des réseaux LAN qui va transformer l’administration réseau. En effet, chaque appareil connecté au net pourra avoir une adresse IP unique ainsi un FAI ne fournit plus à ses abonnés une unique IPv4 mais une plage d’adresse IPv6 largement suffisante pour tous les équipements connectés de la maison.
L’avantage de cette nouvelle technique, est la simplification du routage vers les appareils (la redirection de port devient inutile) ce qui ouvre bien des possibilités mais laisse craindre des problématiques de sécurité nouvelles.
L’IPv6 sauve des ours simplifie aussi le travail des routeurs internet grâce à d’autres changements d’architecture majeurs :
- des entêtes beaucoup plus simples :l'entête des datagrammes IPv6 ne contient plus que 7 champs contre 14 pour l'IPv4
- plus de calcul de checksum : la vérification de l’intégrité des paquets est laissée aux couches transport TCP et UDP (c'est donc fait en bout de chaine et pas par les routeurs)
- des paquets beaucoup plus gros : grâce à la fiabilité des réseaux actuels, il a été décidé que les limites de taille de paquet IPv6 pouvaient être bien plus élevées. La norme indique que tous les routeurs doivent supporter au minimum des paquets jusqu'à 1280 octets (contre 68 pour IPv4).
- des paquets indivisibles : les contenus ne subissent aucune opération de subdivision/reconstitution sur les routeurs. Si un datagramme est trop gros alors le routeur renvoie une erreur à la source lui indiquant que cette destination n'est pas atteignable avec des paquets aussi gros. C'est donc l'ordinateur source qui a la charge de s'adapter et de subdiviser ce qui est bien plus efficace.
L’avantage : diminue les traitements sur les routeurs internet donc: améliore le débit et économise du CPU ! Ce qui représente une avancée écologique importante et contribue à sauver des ours.
Enfin, je n’entre pas dans les détails mais IPv6 apporte bien d’autres améliorations en terme de sécurité (IPsec intégré, …)
Comment se passe la transition ?
Bien vu, vous vous demandez comment se passe la période de transition.
Car si un réseau IPv6 est assez différent d’IPv4, bien des choses ne changent pas ou peu :
- DNS : ça existe toujours : les enregistrements de domaines deviennent AAAA et les reverses PTR changent de look</i>
- DHCP : ça change de nom : DHCPv6 mais dans les grandes lignes c'est le même principe</i>
- ICMP, ARP, IGMP : les trois sont remplacés par l'unique : NDP (Neighbor Discovery Protocol) qui offre en plus la découverte automatique des routes !</i>
- Routage des paquets : se fait toujours d'une IPv6 vers une IPv6 (exclusivement) </ul> Ce dernier point est très important : on ne peut pas construire de route d'une IPv4 vers une IPv6 (et inversement). Autrement dit seuls les internautes en IPv6 contacteront xavierraffin.com (et accessoirement www.google.com) en IPv6.
- Free
- SFR
- Numéricable sur une de ces box
- Orange : non, mais en 2014
- soit on utilise un client dhcpv6 compatible avec le Prefix-Delegation et on lui communique notre duid (voir la doc).
- soit on se contente d'une seule ipv6 par serveur (hors du bloc) et dans ce cas il n'y a rien à faire mis à part lancer un dhclient </ul>
Comment participer ?
1) en tant qu'internaute
Si vous voulez sauvez des ours vous aussi, vous pouvez passer à IPv6. Plusieurs FAI proposent déjà l'IPv6 :Pour vérifier la qualité de votre connexion IPv6 depuis votre navigateur (qui implique votre navigateur, votre OS, le type de tunneling pratiqué par votre opérateur, ...) je vous conseille cet excellent service : http://test-ipv6.com/. Vous avez 10/10 ? Il est temps de passer à l'étape suivante :
2) en tant que webmaster
Vous avez un ou plusieurs site web à titre pro ou perso ? Je vous encourage à sauter le pas. Si vous souhaitez y passer rapidement sans modifier votre configuration réseau, ou que vous êtes inquiet d'utiliser un protocole encore peu éprouvé sachez qu'il existe des solutions. Par exemple Akamai, le célèbre CDN propose par exemple un service de reverse tunneling et prend en charge pour vous les problématiques techniques. Si vous ne mangez pas de se pain là
root@xxxxxx# ifconfig
eth0 Link encap:Ethernet HWaddr c8:0a:a9:c8:e8:4f
inet adr:88.191.127.234 Bcast:88.191.127.255 Masque:255.255.255.0
adr inet6: fe80::ca0a:a9ff:fec8:e84f/64 Scope:Lien
...
Pas de fausse joie, il s'agit de l'IPv6 dédiée a un réseau LAN.
En IPv6 il existe des adresses réservées LAN (scope:lien) (qui commencent toujours par fe80) et nous avons besoin d'adresse de type scope:Global.
Une adresse très utile pour les tests de paramétrage IPv6 ipv6.google.com
On ping avec "ping6" en IPv6.
root@xxxx# ping6 ipv6.google.com
connect: Network is unreachable
Donc là il va falloir dire à l'OS l'IP choisie (une au choix à l'intérieur de votre bloc) ainsi que la gateway (via le fichier /etc/network/interfaces):
...
#Mon parametrage IPv4
iface eth0 inet static
address 88.191.127.234
...
#Mon parametrage IPv6
iface eth0 inet6 static
address 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f
netmask 48
gateway XXX
On redémarre le réseau:
root@xxxxxx# /etc/init.d/networking force-reload
J'ai maintenant une IPv6 dans le scope Global :
root@xxxx# ifconfig
eth0 Link encap:Ethernet HWaddr c8:0a:a9:c8:e8:4f
inet adr:88.191.127.234 Bcast:88.191.127.255 Masque:255.255.255.0
adr inet6: 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f/64 Scope:Global
adr inet6: fe80::ca0a:a9ff:fec8:e84f/64 Scope:Lien
Pour vérifier que votre conf est OK, rien ne vaut un ping :
root@xxxxx:/home/xavier# ping6 ipv6.google.com
PING ipv6.google.com(par03s03-in-x13.1e100.net) from 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f eth0: 56 data bytes
64 bytes from par03s03-in-x13.1e100.net: icmp_seq=1 ttl=57 time=0.977 ms
64 bytes from par03s03-in-x13.1e100.net: icmp_seq=2 ttl=57 time=0.971 ms
Une fois que vous avez votre IPv6 opérationnelle, vous ajoutez un enregistrement DNS AAAA de votre domaine (vos domaines servi par virtual hosts) vers cette IP.
Si vous avez des des VM qui répondent à des IPv4 différentes (IPfailover chez dedibox) il va falloir toutes les configurer pour l'IPv6.
( j'en ai pas encore donc là je vous laisse vous galérer (attention avec les MAC adresses virtuelles : Online peut vous banir du réseau))
Ensuite il faut éventuellement configurer votre serveur web et vos vhosts si vous avez mis des spécificités IPv4 dans la conf (j'ai pas eu besoin car j'avais des VirtualHost *:80 dans mon apache2)
Et hop ça marche:
C:\Users\xraffin>ping xavierraffin.com
Envoi d'une requête 'ping' sur xavierraffin.com [2a01:e0b:1:127:ca0a:a9ff:fec8:e84f] avec 32 octets de données :
Réponse de 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f : temps=107 ms
Réponse de 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f : temps=60 ms