L’IPv6

Ce qu’on va voir aujourd’hui IPv6 en quelques mots (!) IPv6 aujourd’hui Quelques idées à court terme…

IPv6 en quelques mots Pourquoi ? Comment ?

IPv6, c’est IP avec 96 bits en plus IPv6 normalisé en 1998 : RFC 2460 But : capitaliser sur les acquis d’IPv4, conçu alors qu’Internet était quasi inexistant… Mais l’essentiel reste, et IPv4 est amélioré progressivement Grandes lignes : Prévenir les problèmes de saturation d’IPv4, anticipés très rapidement… Améliorer les performances de routage, supprimer la fragmentation Intégrer nativement des ajouts postérieurs dans IPv4, notamment multicast Corriger un certain nombre de failles de sécurité : IPSEC natif…

Les en-têtes IPv6 et IPv4 comparées Pas de vérification de checksum par le routeur : routage accéléré Taille fixe : 40 octets contre 20 à 60 en IPv4

Des IP en grande quantité 2128 adresses IP, soit environ 1038 IP, ce qui permet… beaucoup d’IP par m² Mais c’est moche une IPv6 sur 128 bits, même réduit/écrit en hexadécimal… Astuce : réduire les IP, en supprimant les 0 inutiles et le premier groupe de 0 inutiles éventuel FD00:0000:0000:0021:0001:0000:0000:5143 devient FD00::21:1:0:0:5143 IPv4 épuisées ? Bien plus d’IPv6, et surtout bien plus d’IPv6 par client pour éviter d’utiliser le NAT Structure générale d’une IPv6 : en général, un client final dispose d’un /48 ou d’un /64 Pourquoi autant d’IP ? Lié aux nouveaux mécanismes d’attribution d’IP Préfixe de 48 bits (FAI) 24 bits : subnetting 64 bits : partie spécifique à l’hôte

Coucou ! Tu veux une IP ? Avec IPv4 : DHCP et la configuration manuelle Avec IPv6 : DHCPv6, mais c’est pourri (sécurités supplémentaires comme en IPv4) Autoconfiguration « stateless » : le routeur donne un préfixe, le client choisit l’IP Soit sur la base de son adresse MAC (48 bits sur les 64 disponibles) Soit une attribution aléatoire ou cryptographique But de cette attribution : ne pas pouvoir mapper MAC et IPv6 (suffixe IPv6 unique pour tous les réseaux !) Mais comment associer IP et MAC ? ARP Neighbor Discovery Protocol

Adieu broadcast, bonjour multicast Broadcast : pas sûr, charge inutilement le réseau, risque lié aux boucles… Multicast est bien plus optimal ! (mais les soucis de sécurité ne sont pas vraiment résolus) Un NDP sécurisé existe mais est assez contraignant et peu utilisé Neighbor Discovery Protocol remplit des fonctions bien plus nombreuses qu’ARP, à l’aide d’ICMPv6 Découverte des voisins, sollicitation de voisin Découverte des routeurs voisins, annonce de préfixe IPv6 pour l’autoconfiguration stateless Découverte de paramètres spécifiques : MTU… Résolution d’adresse, etc. Des adresses IPv6 (ff00::0/8) et MAC (33:33:33:xx:xx:xx) spécifiques sont dédiées au multicast : all-nodes, all-routers, all-ntp, all- dhcp…

Plusieurs IP par hôte Chaque hôte possède plusieurs IPv6, aux portées (scope) souvent différentes : Une IPv6 ‘link-local’ (réservée aux communications dans le sous-réseau) sur FE80::/64 Existait déjà avant, en IPv4, avec le 169.254.0.0/16 : on parlait d’APIPA Une IPv6 ‘global unicast’ (visible sur Internet, éventuellement associée à un reverse DNS) Une IPv6 ‘temporaire’ éventuelle, permettant d’avoir une IP différente (confidentialité) D’autres scopes moins utilisés, parce qu’une IPv6 publique ne coûte pas cher, citons notamment Site-local : comme link-local mais sur plusieurs LAN, typiquement VIA ou une entreprise

La transition vers IPv6 Trafic IPv6 à fin 2013 : environ 2% du trafic Internet Problème d’IPv6 : « Mais pourquoi migrer ? IPv4 ça marche très bien et mon matériel n’est pas compatible ! En plus, 2% de trafic, c’est ridicule, la demande n’existe pas ! » Plusieurs solutions pour migrer en douceur sur des réseaux incompatibles 6to4, 6in4, 6rd (Free), TEREDO (Microsoft), et tant d’autres

Source google