L’image de l’homme moderne ne semble pas sans accès à Internet. La messagerie, la visualisation de fichiers vidéo, l’écoute de musique et bien plus encore est impensable sans l’utilisation de protocoles réseau, dirigés par l’abréviation bien connue IP ou TCP / IP, alias Internet Protocol. Considérons les problèmes et les perspectives de sa sixième version — IPv6.
Un peu d’histoire
Le protocole Internet a été créé en 1981 dans le but « d’unifier les segments de réseau en un seul réseau, assurant la livraison de paquets de données entre tous les nœuds du réseau via un nombre arbitraire de routeurs intermédiaires », ce qui découle des propriétés du protocole. L’adressage de classe était initialement utilisé, mais avec la croissance du réseau Global, il s’est avéré inefficace en raison de l’utilisation irrationnelle et inutile des ressources IPv4 : il n’y avait aucune possibilité d’appliquer des masques de sous-réseau arbitraires à différents sous-réseaux. Le problème a finalement été résolu en utilisant l’adressage sans classe (CIDR), qui impliquait l’utilisation d’un masque de sous-réseau. IPv4 est composé de 4 octets de 4 bits chacun, ce qui signifie que le nombre total d’adresses n’est pas infini et n’est que de 4 294 967 296, ce qui représente le sous-réseau 0.0.0.0/0. Selon RFC1918, les réseaux 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/24 ont été « offerts » pour un usage privé et sont ensuite devenus des réseaux gris, car ils ne sont pas routables sur le réseau Global.
Il y avait de plus en plus d’appareils sur le Web et le pool d’adresses IP libres s’épuisait progressivement. Les fournisseurs disposant d’un petit pool d’adresses (c’est-à-dire qui ont plus de clients que les adresses blanches disponibles) ont commencé à émettre dynamiquement avec une journalisation stricte des sessions. Pour d’autres fournisseurs, la technologie NAT (traduction d’adresses réseau) est devenue une solution temporaire, qui permettait d’émettre une adresse blanche pour un sous-réseau gris.
Le 1er février 2011, les 2 derniers blocs /8 (masque de sous-réseau 255.0.0.0, nombre maximum d’hôtes 16 777 216) ont été attribués à
Figure 1. Comparaison des en-têtes de paquets IPv4 et IPv6
IPv6, raisons de sa mise en place et les perspectives
IPv6 est une nouvelle version du protocole IP bien connu (également appelé IPv4). Le lancement a été marqué par l’événement World IPv6 Launch, qui a eu lieu le 6 juin 2012, après de nombreux tests et améliorations. La raison de cette décision était la distribution par IANA des derniers blocs d’adresses IPv4 aux bureaux d’enregistrement régionaux. Selon les créateurs, il devrait y avoir une transition en douceur d’IPv4 à IPv6, et le besoin progressif d’IPv4 sera réduit à néant en utilisant la méthode à double pile. La dynamique est visible sur la figure 2 présentée par Geoff Huston.
Figure 2. Dynamique de coexistence d’IPv4 et d’IPv6. Source.
Tout va bien, mais seulement sur la figure. Ce projet, comme le multiplexage NAT, a été un échec. En fait, l’avenir est venu, et beaucoup n’étaient pas prêts pour cela.
Considérons les problèmes de transition et les possibilités de leur solution
À notre avis, le principal problème est l’adaptation, l’acceptation et la compréhension des nouvelles normes. Du point de vue humain — lisibilité et compréhension des adresses elles-mêmes. Ce n’est un secret pour personne que les nouveaux venus dans le domaine des technologies de l’information ont eu la première association avec l’adresse physique (mac) de la carte réseau, « ce n’est que plus de numéros / sections ». À peu près les mêmes informations ont été perçues par des spécialistes expérimentés lorsque des rumeurs sur IPv6 sont apparues. L’adresse habituelle de la boucle 127.0.0.1 dans l’enregistrement IPv6 deviendra :: 1. Le format utilisé dans les environnements mixtes IPv4 et IPv6 mérite une attention particulière. x:x:x:x:x:x:d.d.d.d où « x » est la valeur hexadécimale de six éléments d’adresse de 16 bits et « d » est la valeur décimale de quatre fragments d’adresse de 8 bits (représentation standard IPv4). En fin de compte, le problème de la formation du personnel peut être résolu. Des difficultés surgissent dans le dialogue entre des équipements neufs et obsolètes. Et voilà pourquoi.
Le matériel acheté avant 2012 ne prend pas en charge IPv6 au niveau logiciel ou matériel (les systèmes d’exploitation ne sont pas pris en compte). Le dialogue des appareils est tout simplement impossible. De plus, soudainement, le matériel obsolète continue de fonctionner sur les réseaux de nombreux fournisseurs. Remplacer la flotte de commutateurs et de routeurs par quelque chose de nouveau est un événement assez coûteux. En plus de cela, les logiciels pour le matériel obsolète ne sont pas tout simplement développés. La mise en œuvre, même de la pile logicielle IPv6, serait impossible et entraînerait une augmentation de la charge sur le processeur et l’utilisation de la RAM en raison des limitations matérielles de l’équipement.
Sont-ils les réseaux IPv6 à partir d’IPv4 disponibles ou au contraire
Le deuxième problème découle du premier — impossibilité de dialogue entre les appareils fonctionnant sur différentes versions du protocole. L’IETF propose plusieurs solutions, mais elles se résument toutes à l’utilisation de tunnels IPv4 et d’une double pile. Considérons certains d’entre eux.
6to4 — pour assurer la connectivité avec l’Internet global IPv6, on utilise les relais 6to4-les passerelles 6to4, qui sont l’interface entre les réseaux 6to4 et le reste de l’Internet IPv6. Un grand inconvénient est l’absence de contrôle sur le relais et, par conséquent, il est impossible de garantir la qualité de connexion. Malgré sa popularité, il est utilisé plutôt dans des petits réseaux d’entreprise.
6rd — résout le problème d’accès à IPv6 pour les utilisateurs du fournisseur sans avoir besoin de prendre en charge IPv6 dans le réseau du fournisseur lui-même, car il utilise son propre espace d’adressage IPv6 et toute la zone de fonctionnement de 6rd est limitée au service réseau du fournisseur. Les passerelles 6rd sont intégrées à l’équipement final de l’utilisateur.
DS-lite — implique que le réseau du fournisseur prend entièrement en charge IPv6, mais utilise des tunnels IPv4 pour accéder aux ressources internes. Le principe est d’utiliser un NAT centralisé ou CG-NAT. L’échange avec le réseau IPv4 se fait par des moyens de multiplexage, l’accès au réseau IPv6 se fait sans la participation de NAT. Ce schéma n’utilise pas de traduction du protocole.
NAT64 — n’est applicable que s’il y aura une transition de masse vers IPv6 et qu’il y aura un problème d’accès aux réseaux IPv4. Le besoin d’accès d’IPv4 vers IPv6 est également pris en compte. Il est également nécessaire d’implémenter le multiplexage de flux, mais il n’est pas nécessaire de tunneliser le trafic. L’interaction entre les deux réseaux est transparente, et le problème du support DNS apparaît : pour certains, une adresse IPv4 sera renvoyée, et pour certains, une adresse IPv6. Le problème est résolu à l’aide du serveur d’application ALG – en remplaçant l’adresse IPv4 par IPv6.
Figure 3. NAT64 + DNS
Malgré la perspective et la facilité d’utilisation de NAT64 et de NAT au total, un troisième problème apparaît.
NAT ne résout pas tous les problèmes
Considérant que toutes les méthodes de transition sont à des degrés divers basées sur l’utilisation de NAT et que le nombre total d’utilisateurs d’Internet ne cesse de croître (les statistiques peuvent être consultées ici), la question se pose des problèmes d’utilisation de la traduction d’adresses réseau. En voici quelques-uns :
La qualité de la connexion peut être réduite en raison de la fragmentation des paquets. Des périphériques NAT supplémentaires peuvent être une source de latence supplémentaire.
L’identification des utilisateurs sera plus compliquée, car une adresse peut correspondre à plusieurs utilisateurs.
Le fonctionnement des applications peut être impossible en raison de leurs caractéristiques, telles que les connexions avec des ports Well Known strictement définis. Dans un réseau plus petit, PAT (Port Forwarding) pourrait être utilisé, mais seulement pour une fois.
Certains facteurs peuvent affecter la sécurité. Une attaque DDoS sur une seule adresse IP affectera le segment de réseau en aval d’elle. L’option inverse – une attaque à partir de l’un des clients du réseau affectera négativement les sanctions sur l’ensemble du segment. Il ne faut pas oublier non plus que limiter l’utilisation des ports pour un utilisateur ou une application peut augmenter la probabilité d’une attaque DDoS.
Avantages d’IPv6
Dans un contexte d’inconvénients, principalement liés au problème de transition plutôt qu’au fonctionnement, IPv6 présente un certain nombre d’avantages par rapport à IPv4.
Le premier avantage important, et sans aucun doute, est un espace d’adressage immense. Le nombre d’adresses IPv6 est 1028 (2128/232) fois supérieur au nombre d’adresses en IPv4. Théoriquement, 340,282,366,920,938,463,463,374,607,431,768,211,456 adresses sont disponibles. Cela signifie une densité d’environ 6,67 * 10 ^ 27 adresses IPv6 par mètre carré de notre planète.
Une autre qualité importante est la configuration automatique des adresses IP. Cela est devenu possible grâce au mécanisme SLAAC (Stateless Address Autoconfiguration). Il peut être utilisé avec ou sans DHCP. Le principe de fonctionnement de SLAAC est que lors de la création d’un réseau, l’adresse de la passerelle et le préfixe du réseau lui-même sont indiqués. Ces informations sont suffisantes pour fournir une adresse IP aux appareils sur le réseau. Les informations de configuration sont envoyées par le routeur toutes les 200 secondes à l’adresse multicast FF02 ::. Ces paquets sont appelés Router Advertisement (RA).
Simplification du routage grâce à l’introduction du champ « label de flux » dans le protocole IPv6, ce qui simplifie considérablement le routage d’un flux homogène de paquets. En plus de cela, il est prévu de simplifier la diffusion multicast. Il convient de noter qu’un nouveau type d’adresse est défini dans le protocole — anycast, qui conduira à l’interface la plus proche de la liste d’adresses. Les routeurs ne peuvent stocker que des adresses réseau agrégées dans leurs tables, ce qui réduit la taille moyenne de la table de routage à 8 192 enregistrements.
Allégement de l’en-tête de paquet – la figure 1 montre que l’en-tête de paquet ne contient pas de champs supplémentaires, bien que sa taille soit devenue plus grande, il est plus facile à traiter par le routeur. Le transfert d’informations devient plus efficace.
Prise en charge de la qualité de service (QoS) est un nouveau champ qui détermine les critères selon lesquels l’itinéraire du paquet sera choisi. L’affichage de ce champ permet aux routeurs d’identifier et de fournir un traitement spécial pour les paquets liés à cette connexion logique entre la source et le destinataire. Étant donné que le trafic est identifié dans l’en-tête IPV6, le support QoS peut être atteint même lorsque les données des paquets sont cryptées via IPSec.
Protection cryptographique et sécurité accrue des données — le protocole IPsec permettra de crypter toutes les données (y compris UDP) sans avoir besoin d’aucune assistance de la part du logiciel d’application.
Faut-il migrer vers IPv6 ?
Au moment d’écrire cet article, la plupart des appareils sont déjà compatibles avec IPv6. Dans tous les cas, les systèmes d’exploitation et les routeurs modernes prennent en charge l’implémentation de référence de ce protocole. Cependant, comme déjà mentionné, dans les réseaux des opérateurs de télécommunications, il reste encore une quantité écrasante de « vieux » équipements. Il n’y a pas d’urgence à migrer vers IPv6. La technologie de double pile existera pendant longtemps, mais la transition est inévitable.
En tant que développeur de solutions pour les opérateurs de Télécommunications (DPI, BRAS), nous allons à la rencontre de nos clients et modifions constamment nos produits. Dans les dernières versions de Stingray Service Gateway, nous avons ajouté la prise en charge du protocole IPv6 et, bientôt nous présenterons une nouvelle version prenant en charge la technologie Dual Stack (mise en forme, services, terminaison, émission d’adresses) et NAT.
Plus de détails sur les avantages du système moderne d’analyse approfondie du trafic Stingray SG, son utilisation efficace sur les réseaux des opérateurs de télécommunications, ainsi que la migration à partir d’autres plateformes, vous pouvez vous renseigner auprès des spécialistes de VAS Experts.