Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

samedi 1 octobre 2016

Un guide pour IPv6

L'AWT propose un guide de sensibilisation à la nouvelle version de l'Internet Protocol (IP): IPv6. Son objectif est de proposer aux services publics wallons des recommandations pratiques afin d'encourager l'introduction et l'adoption d'IPv6.
Twitter Facebook Delicious
Mis à jour le 31/05/2011 | Imprimer | Envoyer

La pénurie d'adresses IPv4 annoncée depuis plusieurs années est désormais une réalité! Les communications informatiques sont organisées au sein d'un espace d'adressage global de plus ou moins 600 millions d'adresses IPv4 et de plusieurs milliards de milliards d'adresses IPv6.

En février 2011, l'Internet Assigned Numbers Authority (IANA), organisme en charge de l'attribution de ces espaces, a distribué les derniers blocs d'adresses disponibles à ses 5 Regional Internet Registries (RIR). L'IANA prévoit la pénurie imminente des adresses IPv4 au sein des RIRs.

Par conséquent, prendre les dispositions nécessaires pour assurer le passage à IPv6 devient une priorité stratégique pour les organisations et les entreprises.

Hiérarchie de distribution des adresses IP

Pourquoi un guide pour IPv6?

L'objectif de ce guide est de proposer aux services publics wallons des recommandations pratiques afin d'encourager l'introduction et l'adoption de la nouvelle version de l'Internet Protocol (IP), IPv6. Dans la mesure du possible, il s'agit en effet de technologies complexes, il entend rester "accessible" et propose une voie simple pour assurer la migration vers IPv6, tout en suivant les recommandations émises par la Commission européenne (CE: COM(2008) 313 final) et l'Organisation de Coopération et de Développement Economique (OCDE: DSTI/ICCP(2007)20/FINAL) en la matière.

Les services publics wallons, et plus généralement belges, doivent prendre conscience de la nécessité d'élaborer un plan de transition de leurs infrastructures ICT pour plusieurs raisons:

  • permettre l'expansion et la mise en place d'initiatives de modernisation de l'IT en Wallonie, au travers de technologies clés telles que la large bande, le Cloud computing, le SmartGrid, la téléphonie IP, etc.;
  • réduire la complexité et améliorer la transparence des services Internet, en éliminant le besoin systématique de recourir aux technologies de Network Address Translation (NAT);
  • encourager la mise en place de services de communication réseau sécurisés de bout en bout qui seront les fondations assurant la confidentialité au sein des futurs systèmes IT publics;
  • éviter l'apparition de deux classes de citoyens: ceux disposant d'une adresse IP publiquement routable et ceux qui n'en disposeront plus!

Afin de faciliter l'adoption de IPv6 d'une manière efficace et progressive, l'AWT conseille de:

  1. désigner au sein de son organisation un gestionnaire chargé de la transition vers IPv6. Son rôle sera de mener les activités de migration et d'assurer la liaison avec les initiatives similaires au sein des autres institutions;
  2. réaliser un inventaire des équipements/applications et identifier leur support de IPv6;
  3. mettre à jour les serveurs et services publics et externes (DNS, Web, e-mail, FTP, etc.) afin d'utiliser opérationnellement IPv6;
  4. mettre à jour les applications clientes internes qui communiquent avec l'Internet public afin d'utiliser opérationnellement IPv6;
  5. contacter les fournisseurs IT pour mettre à jour les applications métiers (clients et serveurs) qu'ils ont développées afin de supporter opérationnellement IPv6 ;
  6. s'assurer que tout marché public de renouvellement d'équipements et logiciels IT, nécessitant une connexion au réseau informatique, prenne en compte le support immédiat ou imminent des technologies IPv6.

Ce guide n'est pas un support technique à la compréhension des technologies IPv6. Son but est de permettre à chaque institution publique de se familiariser avec les démarches nécessaires à son introduction. Chacune d'entre elles peut évidemment directement demander conseil à l'AWT, mais il est vivement conseillé de consulter ce guide au préalable.

Quels sont les pré-requis pour évoluer vers IPv6?

Le premier élément clé à savoir est qu'IPv6 n'est pas directement interopérable avec IPv4. Leurs équipements respectifs ne peuvent communiquer entre eux qu'au travers de passerelles de traduction. Ces dernières ne fournissent, en général, pas de solutions pérennes pour une interopérabilité transparente.

Cependant, IPv6 peut être activé en parallèle avec IPv4, sur un même équipement et sur le même réseau physique. La transition totale vers IPv6 n'est pas attendue avant plusieurs années, période durant laquelle les deux protocoles vont coexister sur la même infrastructure au travers d'une technologique dite de "double pile/dual stacks". D'autres standards techniques, notamment de routage IPv6 au travers de l'Internet actuel (encapsulation via des tunnels) contribueront également à l'introduction progressive d'IPv6.

A cause du caractère universel de l'IP, le déploiement d'IPv6 nécessite l'attention de nombreux acteurs:

  • l'IANA, en tant qu'organisme de gestions des adresses IP;
  • les DNS root et TLD, en tant qu'organismes d'administration de la correspondance entre les adresses IP et noms d'hôtes dans un domaine Web;
  • les ISP, en tant qu'entreprises qui délivrent aux administrations la connectivité IP Internet publique et les services IP de base (relay SMTP, filtre anti-spam, etc.);
  • les équipementiers d'infrastructures de télécommunications (équipements réseau, systèmes d'exploitation, logiciels applicatifs réseau) qui doivent intégrer le support des technologies IPv6 au sein de leurs produits;
  • les fournisseurs de contenus (hébergeurs de sites Web, bases de données des sites Web, etc.) et de services (résolution de noms DNS, transfert/partage de fichiers FTP/p2p, messagerie électronique, téléphonie IP, etc.) qui doivent rendre leurs serveurs joignables en IPv6;
  • les entreprises de développement logiciel (par exemple pour l'e-administration: gestion documentaire, cartographie, gestion de la population, des primes, etc.) qui doivent, d'une part, s'assurer que leurs solutions sont compatibles avec IPv6 et, d'autre part, tirer parti des avantages de IPv6 dans le développement de leurs produits et services.

Le volume et la nature des efforts requis pour l'adoption de IPv6 diffèrent selon les acteurs, chaque cas étant particulier. Il est dès lors utopique de chercher à en estimer exactement le coût total. Les retours d'expérience de nombreux projets (notamment l'évolution de l'IT publique et interne à l'AWT) montrent que ce coût est maîtrisé lorsque le déploiement est planifié et réalisé graduellement.

Dès lors, l'AWT recommande une introduction progressive d'IPv6 dans les projets IT:

  1. mise à jour ou remplacement de matériels ou de logiciels;
  2. changements organisationnels (fusion de départements, création d'une nouvelle structure, etc.);
  3. formations à l'IT, etc.

Quelles actions faut-il entreprendre pour mettre en oeuvre IPv6?

Dès lors, comment un organisme public doit-il envisager son plan stratégique de migration vers IPv6? Actuellement, le Gouvernement wallon n'a encore fixé d'objectif précis quant à l'adoption de IPv6 au sein des organismes qui en dépendent. Il est toutefois crucial de rendre disponibles au sein de l'Internet IPv6 un maximum des contenus et services actuellement fournis par la Wallonie au sein de l'Internet IPv4, et ensuite d'assurer aux administrations wallonnes l'accès aux fournisseurs de contenus et de services de l'Internet IPv6.

Rendre disponibles au sein de l'Internet IPv6 un maximum des contenus et services actuellement fournis par la Wallonie au sein de l'Internet IPv4

Permettre aux administrations wallonnes l'accès aux fournisseurs de contenus et de services de l'Internet IPv6

Les actions ci-dessous décrivent la stratégie adoptée par l'AWT pour préparer son infrastructure ICT à IPv6. Cette stratégie peut, avec plus ou moins de flexibilité, être adoptée au sein d'autres services publics de Wallonie. Bien que ce guide apporte un certain nombre de d'informations utiles, l'AWT souligne l'importance des filières de formation IPv6, avec ou sans certification à la clé, ainsi que la nécessité d'impliquer les ressources humaines des départements IT dans le processus.

Action 1. Identification de l'ISP et obtention d'un espace d'adressage IPv6

Premièrement, il faut identifier le ou les fournisseur(s) de services de connectivité IP (ISP) permettant:

  • aux internautes (IPv4) d'accéder aux services d'information de l'organisme (par exemple un site Web);
  • l'accès à l'Internet actuel (IPv4) pour le personnel.

Ensuite, il conviendra de prendre contact avec eux pour déterminer leur capacité à offrir des services en IPv6.

Si le fournisseur de services est en mesure d'offrir de IPv6, deux modes opérationnels sont possibles:

  • la connectivité IPv6 native: lien direct possible immédiatement entre le router de l'ISP et celui de l'organisation, via un routage IPv6;
  • la connectivité IPv6 encapsulée: lien direct impossible entre le router de l'ISP et le router de l'organisation. Un tunnel sur IPv4 doit être mis en place entre le router de l'organisation et celui de l'ISP capable de fournir le service IPv6.

Connectivités native et encapsulée à l'internet IPv6

En ce qui concerne l'infrastructure IT dédiée aux services d'information publics, deux cas de figure sont possibles:

  • l'hébergement est sous le contrôle de l'organisme (cas de l'AWT). Il est dès lors recommandé de faire une demande d'allocation d'un sous-réseau IPv6 (/48 en général) auprès de son ISP qui relayera cette requête auprès de l'entité en charge des adresses Internet pour l'Europe: le RIPE NCC;
  • l'hébergement est partagé avec d'autres organismes au sein d'un hébergeur de services (comme par exemple le centre Perex ou d'autres datacenters). Il convient alors de solliciter l'hébergeur afin qu'il introduise la demande d'allocation d'un réseau IPv6 (/40 en général) auprès de son ISP (/32 en général), et qu'il attribue par la suite un sous-réseau IPv6 (/48 en général).

Action 2. Mise en oeuvre des services informatifs sur l'Internet IPv6

Afin de mettre en oeuvre une infrastructure IPv6 (comme pour IPv4 d'ailleurs), il est indispensable de segmenter son espace d'adressage efficacement. L'espace offert par un réseau /48 est imposant, soit (128-48) = 80 bits plus grand que l'Internet IPv4 tout entier (32bits).

Une segmentation efficace et pérenne doit être bien pensée. A titre d'exemple, voici la hiérarchie qui a été réalisée pour organiser le réseau 2001:06a8:3880::/48 attribué par le RIPE à l'AWT par l'Intermédiaire de BELNET.

2001:6A8:3880::/48
     2001:6A8:3880::/51
          2001:6A8:3880::/53
               2001:6A8:3880::/55
                    2001:6A8:3880::/57
                         2001:6A8:3880::/60
                         2001:6A8:3880:10::/60
                         2001:6A8:3880:20::/60
                         2001:6A8:3880:30::/60
                         2001:6A8:3880:40::/60
                         2001:6A8:3880:50::/60
                         2001:6A8:3880:60::/60
                         2001:6A8:3880:70::/60
                    2001:6A8:3880:80::/57
                    2001:6A8:3880:100::/57
                    2001:6A8:3880:180::/57
               2001:6A8:3880:200::/55
               2001:6A8:3880:400::/55
               2001:6A8:3880:600::/55
          2001:6A8:3880:800::/53
          2001:6A8:3880:1000::/53
          2001:6A8:3880:1800::/53
     2001:6A8:3880:2000::/51
     2001:6A8:3880:4000::/51
     2001:6A8:3880:6000::/51
     2001:6A8:3880:8000::/51
     2001:6A8:3880:A000::/51
     2001:6A8:3880:C000::/51
     2001:6A8:3880:E000::/51

Cette structuration permet une hiérarchie décomposée comme suit :

  • 8 villes (3 bits);
  • 4 organisations (2 bits) pour chacune des villes;
  • 4 bâtiments (2bits) pour chacune des organisations;
  • 4 départements (2bits) pour chacun des bâtiments;
  • 8 usages (3 bits) pour chacun des départements;
  • 16 réseaux locaux (4 bits) pour chacun des usages.

Le réseau [2001:06A8:3880::/48] est donc hiérarchisé comme suit:

  • Ville [2001:06A8:3880::/51]
  • Organisation [2001:06A8:3880::/ 53]
  • Bâtiment [2001:06A8:3880::/ 55]
  • Département [2001:06A8:3880::/57]
  • Usage [2001:06A8:3880::/60]
    • Routage Point à Point [2001:06A8:3880:00::/60]
    • LAN User [2001:06A8:3880:20::/60]
    • LAN DMZ [2001:06A8:3880:40::/60]
    • LAN Guest [2001:06A8:3880:60::/60]
    • LAN Management [2001:06A8:3880:70::60]
Elle a en outre pour avantage d'optimiser l'agrégation des tables de routage au sein des routeurs si l'infrastructure réseau de l'organisme est dispersée géographiquement. Cette structure donne les réseaux suivant pour le site de Jambes 2001:06A8:3880::/60.

Par exemple: Namur > AWT > Prince de Liège > IT (usage actuel):

  • LAN User
    • IPv6 Only [2001:06A8:3880:20::00/64]
    • Dual-Stack [2001:06A8:3880:22::00/64]
    • VPN [2001:06A8:3880:2F::00/64]
  • LAN DMZ
    • IPv6 Only [2001:06A8:3880:40::00/64]
    • Dual-Stack [2001:06A8:3880:42::00/64]
  • LAN Guest
    • IPv6 Only [2001:06A8:3880:60::00/64]
    • Dual-Stack [2001:06A8:3880:62::00/64]
Une fois les assignations fonctionnelles des segments d'adressage IP ont été effectuées, intervient le déploiement proprement dit en 2 étapes.

Première étape

Cette première étape vise à configurer:

  • le router d'accès à l'ISP, conjointement avec ce dernier, pour permettre le routage de IPv6 entre l'infrastructure et celle du fournisseur d'accès;
  • le firewall pour y introduire les règles de sécurité de base liés aux nouveaux réseaux IPv6 ;
  • les commutateurs réseaux pour y configurer des VLANs additionnels qui permettront d'isoler les trafics IPv4 et IPv6.

Il est fort probable que pour réaliser ces opérations, les micrologiciels (firmwares) du router et du pare-feu devront être mis à jour avec une version supportant le nouveau protocole IPv6.

Seconde étape

Cette étape vise à mettre en oeuvre certains services IT au sein de l'infrastructure IPv6 naissante d'une organisation. Le premier service important à mettre en oeuvre est celui de la résolution du nom d'hôte: le Domain Name Service (DNS).

Le DNS aura deux fonctions essentielles:

  • permettre aux stations de consulter l'Internet IPv6;
  • permettre aux usagers des services d'information d'atteindre les serveurs des administrations.

Selon la stabilité du support IPv6 des systèmes d'exploitation et le niveau de maitrise de son fonctionnement, deux approches sont possible pour la transition des services vers ce protocole complémentaire:

  • l'approche immédiate: le serveur présente simultanément ses services en IPv4 et en IPv6;
  • l'approche prudente: le serveur continue à présenter ses services en IPv4 et un serveur complémentaire "dual-pile" joue un rôle de relais en présentant les services en IPv6 uniquement.

Dans le cas d'une approche immédiate, si les systèmes d'exploitation serveurs hébergeant les services publiés sur l'Internet IPv4 sont récents (Linux post noyaux 2.6 ou Microsoft Serveur 2008), il est possible de leur attribuer une ou plusieurs adresses IPv6.

Le faible nombre d'adresses IPv4 dont un organisme dispose, pousse souvent l'administrateur système à héberger plusieurs services informatifs publics avec la même et unique adresse IPv4. En IPv6, l'espace d'adressage fournit par le plus petit segment (/64) réseau lui permet désormais d'être plus flexible. Il est ainsi conseillé d'attribuer une adresse IPv6 par service informatif à publier. Dès que les adresses IPv6 sont attribuées aux systèmes d'exploitation des machines concernées, la seconde opération consiste à modifier les configurations des services (dns, http, ftp, BD, etc) concernés en leurs associant les adresses IPv6 liées aux services représentés.

IPv6. Approche immédiate

On devra se reporter sur une approche prudente (ou conservatrice) si les systèmes d'exploitation ne supportent pas IPv6, ou tout simplement pour permettre de se familiariser avec la technologie. Cette approche vise à ne pas impliquer immédiatement les serveurs informatiques qui hébergent les services mis à disposition sur l'Internet IPv4. Au début de son projet de migration en 2007, l'AWT a opté pour cette solution. La technique recommandée, déjà bien maitrisée par la majorité des administrateurs systèmes, consiste à mettre en place des proxys (reverse-proxy) pour servir de façade aux services à représenter.

Ces proxy "dual-pile" (à cheval sur les réseaux IPv4 et IPv6):

  • répondent aux requêtes issues d'hôtes sur l'Internet IPv6;
  • relayent ces requêtes vers les serveurs IPv4 hébergeant les services informatifs;
  • obtiennent les informations demandées au travers du réseau Internet IPv4;
  • relayent ces informations vers les hôtes IPv6 correspondants.

IPv6. Approche prudente

Action 3. IPv6 Ready program

L'organisme international pour la promotion de IPv6, IPv6Forum, a mis en place un programme de certification nommé "IPv6 Enabled WWW Web Sites".

Lorsque l'infrastructure des services d'information d'un organisme est disponible en IPv6, l'AWT recommande vivement de prendre part à ce programme. Cet organisme enrichit ainsi la liste des services publics belges accessibles sur l'Internet de nouvelle génération.

Action 4. Permettre aux utilisateurs l'accès à l'Internet IPV6

Actuellement, la visibilité la plus forte pour une service public ayant migré vers IPV6 est tout simplement de rendre ses services accessibles pour les citoyens et les entreprises au travers d' IPv6. Il est évidemment tou aussi important de permettre à ses employés d'accéder aux ressources informatives présentes sur l'Internet IPv6. Les systèmes d'exploitation récents offrent désormais un support IPv6 très stable, ceci permet l'accès aux ressources en IPv6 par une simple activation du protocole sur la station de travail.

Pour ce faire, l'AWT recommande une introduction en deux étapes :

  1. la mise en place d'un réseau distinct de découverte IPv6 avec support double-pile (dual-stack) IPv4 et IPv6. Si toutes les stations ne disposent pas d'un OS récent ou que la maîtrise du d'IPv6 est insuffisante, il est probablement nécessaire de confiner le trafic IPv6 dans un VLAN séparé. De la sorte, on évite d'éventuels "effets de bort" inattendus liés à l'activation de IPv6 pour des services n'ayant pas encore été entièrement validés dans le projet de transition;
  2. la modification du réseau utilisateur pour un support double-pile (dual-stack) IPv4 et IPv6. Lorsque les stations disposeront d'un OS récent et que la maîtrise d'IPv6 sera suffisante, il ne sera probablement plus nécessaire de confiner le trafic IPv6 dans un VLAN séparé. Il suffira alors de modifier la configuration de l'équipement de routage afin d'activer IPv6 sur le même VLAN que le réseau local IPv4 d'origine.

Le déploiement de réseaux locaux IPv6 peut être réalisé selon deux approches :

  • la configuration automatique via les technologies "Router Advertisement" et "Neighbor Discovery Protocol";
  • le DHCPv6.

La première est la plus simplecar la définition d'une interface IPv6 sur Ethernet active immédiatement l'auto-configuration d'hôtes (avec support IPv6) sur le réseau local. C'est celle mise en oeuvre actuellement par l'AWT au travers de la fonction routage IPv6 de son firewall.

Pour permettre l'accès à l'Internet IPv6, il suffit de:

  • mettre en place un VLAN complémentaire dans l'infrastructure de commutation Ethernet,
  • assigner un segment IPv6 local de votre block à ce VLAN en configurant l'équipement réseau de routage (routeur, firewall ou commutateur de niveau 3) qui permet le fonctionnement de l'infrastructure.

Dans le contexte de l'auto-configuration, il faut souligner l'importance de la définition du serveur de résolution de nom (DNS) pour les postes de travail qui vont disposer d'une connexion IPv6. En effet, le mécanisme d'auto-configuration fourni par le Router Advertisement ne communique pas les adresses IPv6 des serveurs récursifs (DNS forwarders) de résolution de noms.

Dès lors, il est nécessaire de configurer soit:

  • ces adresses manuellement au sein de chaque poste de travail IPv6;
  • ces adresses au sein du "Router Advertisement" si le router le supporte;
  • un service de DHCPv6 sans état (stateless) avec le FLAG "O" au sein du "Router Advertisement" préalablement activé si le routeur n'est pas en mesure de communiquer les DNS.

Afin de ne pas perturber le bon fonctionnement de l'infrastructure IPv4, l'AWT conseille d'opter pour la mise en place d'un réseau IPv6 natif. En définissant un nouveau VLAN dans l'infrastructure, seuls les hôtes placés intentionnellement dans ce réseau local seront influencés par IPv6.

Par la suite, lorsque la maîtrise de la technologie sera suffisante, le passage à un réseau local "double pile" se fera simplement par l'assignation d'un segment IPv6 local du block au VLAN de l'infrastructure associé au réseau local IPv4 que l'on souhaite passer en "double pile".

Conclusions

Ce guide constitue une simple introduction pratique à la technologie IPV6. L'AWT espère ainsi faciliter la mise en oeuvre des services d'informations Internet sur réseau Internet IPv6. Pour plus de conseils et d'informations pratiques, les administrations sont invitées à prendre contact directement avec l'AWT.

Pour en savoir plus

  • IPv6 au sein des administrations publiques
    Un rapport de l'OCDE et une directive européenne insistent sur le rôle des pouvoirs publics dans le déploiement d'IPv6 dans les services publics. Pourquoi, quand et comment intégrer IPV6? Tel était le sujet d'un séminaire organisé par Cisco et l'AWT
    http://www.awt.be/web/res/index.aspx?page=res,fr,foc,100,086
Portail de la Région wallonne