IPv6 c'est maintenant !


Le logo du lancement mondial d'IPv6

Si vous suivez les actualités du monde d'internet, vous avez entendu parler d'IPv6.
Pour les autres, il s'agit d'une nouvelle version du protocole IP qui vient prendre la relève du vénérable IPv4, le système d'adressage internet.

IPv6 a fait l'objet d'un lancement mondial le 6/6/2012.
A cette occasion, de nombreux FAI ont inaugurés leur offres IPv6 et des sites majeurs sont passés en IPv6 (ou venaient de le faire) :

  • www.google.com
  • www.facebook.com
  • www.youtube.com
  • www.wikipedia.org
  • www.yahoo.com
  • www.bing.com
  • ...

Cette liste tombe certes un peu à plat sans le fabuleux xavierraffin.com.

L'explication de ce raté est simple : mon blog n'existait pas à cette date.
Mais c'est maintenant chose faite et l'IPv6 de mon blog est : 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f, et c'est ce qui m'a inspiré cet article.

L'IPv6 décolle

Avant d'entrer dans des considérations techniques, quelques chiffres qui montrent que l'IPv6 devient une réalité :


Le traffic mondial IPv6 dépasse les 1% en 2012 (source Google)

On peut même être fiers car la France est largement devant les états-unis sur ce point grâce à un FAI qui a tout compris :


Progression de l'IPv6 dans le monde (source Google)

Des conséquences techniques majeures

IPv6 avec des adresses de 128 bits apporte une solution à la pénurie d'adresse IPv4 et ces 32 bit d'adresse.
Un adressage 128 bit c'est 667 millions de milliards d'adresses par millimètre carré de surface terrestre, c'est tellement incommensurable que cela marque la fin du NAT (tadaam !).

La disparition du NAT ou IP masquerade, est une révolution dans la conception des réseaux LAN qui va transformer l'administration réseau.
En effet, chaque appareil connecté au net pourra avoir une adresse IP unique ainsi un FAI ne fournit plus à ses abonnés une unique IPv4 mais une plage d'adresse IPv6 largement suffisante pour tous les équipements connectés de la maison.

?

Vous êtes un geek hyper connecté avec 15 PC, 10 serveurs et 20 smartphones,et vous craignez que cela ne suffise pas ?

Pas d'inquiétude, typiquement un FAI vous donnera 264 adresses (soit 18 446 744 073 709 551 616) ce qui laisse de la marge pour vos futurs projets.

L'avantage de cette nouvelle technique, est la simplification du routage vers les appareils (la redirection de port devient inutile) ce qui ouvre bien des possibilités mais laisse craindre des problématiques de sécurité nouvelles.


IPv6 sauve des ours

L'IPv6 sauve des ours simplifie aussi le travail des routeurs internet grâce à d'autres changements d'architecture majeurs :

  • des entêtes beaucoup plus simples :l'entête des datagrammes IPv6 ne contient plus que 7 champs contre 14 pour l'IPv4
  • plus de calcul de checksum : la vérification de l’intégrité des paquets est laissée aux couches transport TCP et UDP (c'est donc fait en bout de chaine et pas par les routeurs)
  • des paquets beaucoup plus gros : grâce à la fiabilité des réseaux actuels, il a été décidé que les limites de taille de paquet IPv6 pouvaient être bien plus élevées. La norme indique que tous les routeurs doivent supporter au minimum des paquets jusqu'à 1280 octets (contre 68 pour IPv4).
  • des paquets indivisibles : les contenus ne subissent aucune opération de subdivision/reconstitution sur les routeurs. Si un datagramme est trop gros alors le routeur renvoie une erreur à la source lui indiquant que cette destination n'est pas atteignable avec des paquets aussi gros. C'est donc l'ordinateur source qui a la charge de s'adapter et de subdiviser ce qui est bien plus efficace.

L'avantage : diminue les traitements sur les routeurs internet donc: améliore le débit et économise du CPU !
Ce qui représente une avancée écologique importante et contribue à sauver des ours.

Enfin, je n'entre pas dans les détails mais IPv6 apporte bien d'autres améliorations en terme de sécurité (IPsec intégré, ...)

Comment se passe la transition ?

Bien vu, vous vous demandez comment se passe la période de transition.

Car si un réseau IPv6 est assez différent d'IPv4, bien des choses ne changent pas ou peu :

  • DNS : ça existe toujours : les enregistrements de domaines deviennent AAAA et les reverses PTR changent de look
  • DHCP : ça change de nom : DHCPv6 mais dans les grandes lignes c'est le même principe
  • ICMP, ARP, IGMP : les trois sont remplacés par l'unique : NDP (Neighbor Discovery Protocol) qui offre en plus la découverte automatique des routes !
  • Routage des paquets : se fait toujours d'une IPv6 vers une IPv6 (exclusivement)

Ce dernier point est très important : on ne peut pas construire de route d'une IPv4 vers une IPv6 (et inversement).
Autrement dit seuls les internautes en IPv6 contacteront xavierraffin.com (et accessoirement www.google.com) en IPv6.


Tunneling IPv6 vers IPv4 (source Wikipédia)

C'est pour ça que les services Web sont toujours accessibles en IPv4 et que l'IPv4 de mon blog (88.191.127.234) existe encore.

Et comme il faut que les internautes qui passent à l'IPv6 puissent toujours avoir accès aux sites web IPv4 (par exemple à des blogs de concurrents bien moins modernes) les FAI mettent en place des solutions de conversion IPv4 vers IPv6 (avec du tunneling et des trucs compliqués).

Comment participer ?

1) en tant qu'internaute

Si vous voulez sauvez des ours vous aussi, vous pouvez passer à IPv6.

Plusieurs FAI proposent déjà l'IPv6 :

  • Free
  • SFR
  • Numéricable sur une de ces box
  • Orange : non, mais en 2014

Généralement vous pouvez basculer à IPv6 par un simple paramétrage de votre box.

!

Paramétrez votre box (je vous laisse 5 minutes)

Puis reprenez votre lecture.

Pour vérifier la qualité de votre connexion IPv6 depuis votre navigateur (qui implique votre navigateur, votre OS, le type de tunneling pratiqué par votre opérateur, ...) je vous conseille cet excellent service : http://test-ipv6.com/.

Vous avez 10/10 ? Il est temps de passer à l'étape suivante :

2) en tant que webmaster

Vous avez un ou plusieurs site web à titre pro ou perso ?
Je vous encourage à sauter le pas.

Si vous souhaitez y passer rapidement sans modifier votre configuration réseau, ou que vous êtes inquiet d'utiliser un protocole encore peu éprouvé sachez qu'il existe des solutions.
Par exemple Akamai, le célèbre CDN propose par exemple un service de reverse tunneling et prend en charge pour vous les problématiques techniques.

Si vous ne mangez pas de se pain là et que vous ne souhaitez pas vivre comme un assisté, vous avez de la chance : j'ai défriché le terrain pour vous (et c'était pas de la tarte) !

Mon blog est hébergé sur un serveur dédié dedibox que je loue chez Online.net.
Je vais donc détailler la procédure chez eux, mais comme leur mode de fonctionnement IPv6 est plutôt exotique, je vais aussi expliquer le cas standard.

Comme votre FAI, un hébergeur vous donnera un bloc IPv6 (un bloc /64 par machine chez OVH et /48 par client chez Online par exemple) à utiliser comme bon vous semble sur vos serveurs physiques et virtuels.

Ensuite suivant l'hébergeur, les IP de votre bloc seront soit très classiquement administrées par vos soins comme c'est le cas chez OVH soit de façon plus originale distribuées en dhcp(v6) (comme chez Online) !

Dans l'interface d'administration du serveur vous pouvez demander un bloc IPv6 /48.
Cas particulier chez Online : vous obtenez aussi un Duid qui permettra au DHCPv6 d'Online de vous reconnaitre et de vous attribuer les bonnes adresses (celles de votre bloc).

Bon, maintenant il faut configurer votre serveur (une ubuntu 10.04 dans mon cas).

De base une IPv6 est déclarée :

root@xxxxxx# ifconfig
eth0      Link encap:Ethernet  HWaddr c8:0a:a9:c8:e8:4f
          inet adr:88.191.127.234  Bcast:88.191.127.255  Masque:255.255.255.0
          adr inet6: fe80::ca0a:a9ff:fec8:e84f/64 Scope:Lien
          ...

Pas de fausse joie, il s'agit de l'IPv6 dédiée a un réseau LAN.
En IPv6 il existe des adresses réservées LAN (scope:lien) (qui commencent toujours par fe80) et nous avons besoin d'adresse de type scope:Global.

PING


Une adresse très utile pour les tests de paramétrage IPv6 ipv6.google.com


On ping avec "ping6" en IPv6.

root@xxxx# ping6 ipv6.google.com
connect: Network is unreachable

Donc là il va falloir dire à l'OS l'IP choisie (une au choix à l'intérieur de votre bloc) ainsi que la gateway (via le fichier /etc/network/interfaces):

...
#Mon parametrage IPv4
iface eth0 inet static
        address 88.191.127.234
        ...
#Mon parametrage IPv6
iface eth0 inet6 static
        address 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f
        netmask 48
        gateway XXX

Extrait de ma conf IP (tel quelle aurait été j'y je n'étais pas chez ces francs-tireurs d'Online)

Ou alternative chez Online :

  • soit on utilise un client dhcpv6 compatible avec le Prefix-Delegation et on lui communique notre duid (voir la doc).
  • soit on se contente d'une seule ipv6 par serveur (hors du bloc) et dans ce cas il n'y a rien à faire mis à part lancer un dhclient

On redémarre le réseau:

root@xxxxxx# /etc/init.d/networking force-reload

J'ai maintenant une IPv6 dans le scope Global :

root@xxxx# ifconfig
eth0      Link encap:Ethernet  HWaddr c8:0a:a9:c8:e8:4f
          inet adr:88.191.127.234  Bcast:88.191.127.255  Masque:255.255.255.0
          adr inet6: 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f/64 Scope:Global
          adr inet6: fe80::ca0a:a9ff:fec8:e84f/64 Scope:Lien

Pour vérifier que votre conf est OK, rien ne vaut un ping :

root@xxxxx:/home/xavier# ping6 ipv6.google.com
PING ipv6.google.com(par03s03-in-x13.1e100.net) from 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f eth0: 56 data bytes
64 bytes from par03s03-in-x13.1e100.net: icmp_seq=1 ttl=57 time=0.977 ms
64 bytes from par03s03-in-x13.1e100.net: icmp_seq=2 ttl=57 time=0.971 ms

Une fois que vous avez votre IPv6 opérationnelle, vous ajoutez un enregistrement DNS AAAA de votre domaine (vos domaines servi par virtual hosts) vers cette IP.

Si vous avez des des VM qui répondent à des IPv4 différentes (IPfailover chez dedibox) il va falloir toutes les configurer pour l'IPv6.
( j'en ai pas encore donc là je vous laisse vous galérer (attention avec les MAC adresses virtuelles : Online peut vous banir du réseau))

Ensuite il faut éventuellement configurer votre serveur web et vos vhosts si vous avez mis des spécificités IPv4 dans la conf (j'ai pas eu besoin car j'avais des VirtualHost *:80 dans mon apache2)

Et hop ça marche:

C:\Users\xraffin>ping xavierraffin.com
Envoi d'une requête 'ping' sur xavierraffin.com [2a01:e0b:1:127:ca0a:a9ff:fec8:e84f] avec 32 octets de données :
Réponse de 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f : temps=107 ms
Réponse de 2a01:e0b:1:127:ca0a:a9ff:fec8:e84f : temps=60 ms

Test depuis mon PC à la maison

3) En tant qu'admin réseau en entreprise

C'est içi que les problématiques sont les plus complexes et les bouleversements les plus importants.

Si la suppression du NAT est maintenant possible elle n'est pas obligatoire, et il est probable que les entreprises choisissent de ne pas le faire pour des raisons évidentes de confidentialité (on identifie chaque machine par son IP unique).

Ensuite, le DHCP lui aussi peut disparaitre au profit de configurations automatique : affectation d'IP aléatoire (ou depuis la MAC) et découverte des routes par NDP :



NDP découvre les nouvelles passerelles tout seul ! source : packetlife.net

Il n'est donc plus nécessaire de renseigner les passerelles dans le serveur DHCP : le réseau LAN se configure tout seul (ce qui est un avantage ou un inconvénient suivant le point de vue)

Pour menez à bien ces choix et pour s'y retrouver face à tous ces bouleversements (suppression d'ARP, de ICMP pour ceux qui n'ont pas suivi), la formation des administrateurs réseau va devenir une priorité.

Conclusion : IPv6 pour tisseo.fr ?

Ben oui, pour ceux qui me connaissent ça doit sembler une question fatidique.

Pour ce qui est de tisseo.fr et mobi.tisseo.fr, ça me démange bien.
Maintenant, vu notre roadmap actuelle (on a plein de projets !), je ne pense pas qu'on puisse traiter ce sujet avant fin 2013, voir 2014.
Je vais garder un œil sur les statistiques de progression d'IPv6 en France pour motiver les équipes et la hiérarchie sur cette opération.

Pour notre LAN par contre et après discution avec notre admin réseau, ça semble pas pour tout de suite.
Et quand cela aura lieu il est probable que nous utiliserons du NAT quand même.

Et vous ? Allez-vous migrer en IPv6 ?
N'hésitez pas à vous exprimer dans les commentaires !

Note : Si des lecteurs érudits constate des erreurs ou des imprécisions dans ce que j'ai dit, n'hésitez pas à m'en faire part dans les commentaires

Ajouter un commentaire

S'abonner à Commentaires pour "IPv6 c'est maintenant !"