Dossier

IPv6 : « Here we go »

Le 17-10-2018

Module RÉSEAUX opérateurs, téléphonie et Internet

Depuis 2011, début de la pénurie des adresses IPv4, le problème de l’adressage IP alimente les gazettes, mais n’est toujours pas résolu de manière satisfaisante. IPv6 existe, sa définition est claire et on sait exactement ce qu’il faut faire pour passer d’un modèle à l’autre. Sauf qu’on ne l’a pas fait, tout au moins suffisamment et ce n’est qu’à la fin 2018 que l’on a pu considérer qu’un mouvement de fond se produisait. Et que le point de non-retour était atteint.

Pour LeMarson, 2019 est l’année 1 d’IPv6. Jusqu’à présent nous avons traité les préliminaires. Cette fois on passe aux choses sérieuses. D’où le « focus » que nous lui appliquons.

IPv6, la formulation des adresses IP sur 128 bits au lieu de 32 existe, au moins dans les grandes lignes, depuis 1995. Formulée par l’IETF, elle résout avant tout le gros problème de pénurie des adresses IPv4, dont les derniers blocs (officiels) ont été attribués en 2011. Mais depuis 1995, il ne s’est pas passé grand-chose et la montée en puissance du nouveau paradigme s’est fait attendre, les entreprises et ISP (FAI) ne voyant pas trop l’intérêt de dépenser beaucoup d’argent pour mettre à niveau une infrastructure qui fonctionne très bien sans lui.

Ca c’était vrai avant. Car depuis la fin 2018, selon Google, qui tient une comptabilité précise des adresses IP des sites et des utilisateurs sur Internet, IPv6 a pour la première fois dépassé « worldwide » le cap des 25 %. Avec des disparités criantes, il est vrai, telles que 39,14 % pour l’Allemagne et 34,24 % pour les Etats-Unis, mais seulement 20,94 % pour le Canada, 12,86 % pour le Mexique et 2,22 % pour la Russie. Voire 0 % pour un grand nombre de pays.

Les statistiques de Google sont cependant formelles, nous avons franchi un cap et les migrations d’IPv4 vers IPv6 ont progressé de manière spectaculaire et constitueront dans les prochaines années l’un des projets majeurs, menés par les TI. C’est par exemple le cas des opérateurs mobiles, tels que Verizon, dont 90 % des clients sont déjà en IPv6, les autres « carriers » devant suivre très vite. De plus, ce que note Google, 25,6 % des plus gros sites Web de la planète sont déjà passés à IPv6.

Le moment nous semble donc bien venu de faire le point sur ce paradigme, de rappeler les principes de son formatage et les grandes idées qu’il faut en retenir.

Pour ce qui est des motivations, nous les connaissons et nous revoyons nos lecteurs aux innombrables présentations qui font l’apologie d’IPv6. C’est comme les adresses 128 bits, il y a le choix.

IPv6 c’est quoi ?

C’est enfoncer une porte ouverte que de rappeler qu’IPv6 est un format d’adresse sur 128 bits, soit 8 blocs de 16 bits, soit encore 8 blocs de 4 valeurs hexadécimales :

FE80:0000:0000:0000:0202:B3FF:0000:004F

Chacun des blocs est séparé du précédent par le symbole « : », selon une formulation très différente de ce qu’elle était en IPv4 où les valeurs décimales étaient séparées par des « . ».

Transcrit en binaire l’adresse précédente est quelque peu lourde à manipuler, c’est pourquoi on utilise toujours la notation hexadécimale :

1111111010000000 0000000000000000 0000000000000000 0000000001001111 0000001000000010 1011001111111111 0000000000000000 1000001100101001

Heureusement, le groupe de travail a imaginé quelques règles de simplification qui allègent l’écriture : la suppression des 0 situés en tête de chaque bloc, ici ceux du bloc 4, le remplacement de blocs consécutifs à 0, par :: et le remplacement d’un bloc de « 0 » par un seul « 0 ».

FE80::0202:B3FF:0:4F

_{L’organisation de l’en-tête IPv6 est plus complète que celle d’IPv4, plus simple aussi sous certains aspects et répond mieux aux exigences du moment, celles que l’on ne pouvait pas imaginer au début des années 80, lorsque la première mouture de l’adressage a été proposée.}

La structuration du format

La représentation binaire ou hexadécimale est une chose, mais le plus important reste quand même la structuration de l’adresse, très différente et beaucoup plus complète qu’elle ne l’était avec IPv4.

L’adresse comporte d’abord un en-tête qui précède les données, avec un certain nombre de champs :

Le numéro de version, toujours représenté sur 4 bits
Le champ classe de trafic sur 8 bits, qui a pour fonction de distinguer les flux devant bénéficier d’un contrôle de flux particulier. Une priorité de 0 à 7 est affectée à ces flux, de manière à en ralentir certains, en cas de congestion, alors que les priorités de 8 à 15 sont réservées au temps réel, dont les sources vidéo et sons, qui doivent avoir un débit constant et de qualité.
Le champ « indicateur de flux » (flow label), sur 20 bits est une valeur numérique unique attribuée au flux, qui permet aux routeurs d’appliquer des règles de qualité de service. Grâce à cet indicateur, le routeur est susceptible d’imposer une stratégie « intelligente » d’acheminement, que ne permettait pas IPv4 et l’obligeait à faire appel à la technologie des en-têtes MPLS, pour distinguer et prioriser les flux entre eux. C’est beaucoup plus simple avec IPv6
Le champ « longueur de données utiles » sur 16 bits précise la taille des données utiles, sans tenir compte de l’en-tête. Pour des trames dont la taille des données est supérieure à 65 536 (les fameux 16 bits), on met ce champ à zéro et on se sert de l’extension « proche en proche » (option jumbogram). Sur ce point, IPv6 prévoit qu’un en-tête pourra être étendu par des en-têtes d’extension, qui permettront de traiter des cas particuliers. Ces en-têtes, quand ils sont nécessaires, se suivent selon un ordre bien précis :
Options Hop-by-Hop (type 0), dont le mode “jumbogram”
Routage (type 43) : modification du routage à partir de la source
Fragment (44) : informations sur la fragmentation
Authentication Header (51) : des informations d’authentification utilisées par le protocole de sécurité IPSec
Encapsuling Security Payload (50) : des informations de chiffrement exploitées par IPSec
Options de destination (60) : destinées à être traitées par le destinataire
No Next Header (59) : indique qu’il n’y plus rien d’utile derrière
Tous ces en-têtes d’extension sont de longueur variable, sauf Fragment qui est sur 64 bits et No Next Header, qui est vide.
Le champ « en-tête suivant » identifie le prochain en-tête dans le même datagramme IPv6.
Le champ « nombre de sauts » est représenté sur un octet et décrémenté à chaque passage de nœud. Il sert essentiellement à éviter que des datagrammes se perdent, circulent indéfiniment et encombrent les réseaux.
Puis viennent les adresses source et destination proprement dites. Sur 128 bits, comme il se doit.

_{La structure d’une adresse IPv6 est relativement simple à comprendre. Ce qui la rend parfois un peu obscure, ce sont les cas particuliers dont elle doit tenir compte, dont la compatibilité arrière avec le format IPv4 32 bits. Globalement IPv6 reste cependant un domaine que l’on n’appréhende pas par hasard, ni sans précaution. Pour l’instant c’est un vrai métier. Voire même une spécialité.}

La structure des adresses IPv6

Une adresse IPv6 128 bits est en gros constituée de 3 grandes parties : un préfixe de 48 bits, un ID de 16 bits pour identifier le sous-réseau et un ID de 64 bits pour pointer sur une interface, car en IPv6 les destinataires ne sont pas des nœuds, mais des interfaces. La notion de groupes A, B, C, D et E du mode IPv4, disparaissant du paysage.

IPv6 prévoit trois natures d’adresses : unicast locale, multicast et anycast, qui sont distinguées selon la valeur du préfixe. Ainsi qu’une unicast globale.

Une adresse unicast locale est préfixée par FC00 ::/7, soit 11111100 00000000/7, seuls les 7 premiers bits étant significatifs (11111110). On dit que ce sont des adresses locales, car elles peuvent être réutilisées par d’autres fournisseurs d’accès, géographiquement dispersés, sans qu’il y ait de risque « grave » de conflit.

Une adresse multicast (préfixe FF00 ::/8) est multidestinataire, alors qu’une adresse anycast, une originalité d’IPv6 ressemble sur le principe à une adresse multicast, si ce n’est que plutôt que de chercher à diffuser les informations à l’ensemble des destinataires, elle tente de n’en joindre qu’un seul, estimé le plus à même de les recevoir.

_{Au début du siècle, les premiers trains ont provoqué de gros émois. C’était sûr, les vaches n’auraient plus de lait. Et quelques politiques se sont ridiculisés en affirmant que ce drôle de moyen de transport n’avait aucun avenir. On sait ce qu’il en est advenu. Avec IPv6, c’est la même chose, le mouvement est maintenant lancé et plus rien ne l’arrêtera. Entre 2025 et 2029, le parc aura basculé à 100 %.}

Pourquoi il faut y aller

Cela fait de nombreuses années que l’on nous dit qu’il faut y aller. Et sur le principe il y a toujours eu de bonnes raisons à cela.

D’abord IPv6 va régler une fois pour toutes le problème de pénurie d’IPv4. Depuis 2011 nous sommes en « rupture de stocks » et les adresses disponibles sont réservées à certains usages très spécifiques. Pas pour le grand public.

On le sait, IPv6 c’est 600 millions de milliards d’adresses distinctes par mm² de la surface du globe. Même si ce chiffre est très théorique, il nous donne quand même une idée de l’ampleur du nouveau système d’adressage et nous évitera les insomnies pendant au moins quelques mois.

Car la pénurie a aussi généré un marché parallèle, avec des blocs d’adresses revendus « sous le manteau », ce qui n’est pas sain, pas plus que d’acheter des produits contrefaits.

Dans le même ordre d’idées, certains fournisseurs d’accès (ISP) attribuent plusieurs fois la même adresse, car ils n’en ont pas suffisamment pour satisfaire tout le monde. Ce qui peut provoquer des imbroglios très désagréables, comme celui qui est arrivé à un informaticien français, accusé de pédophilie aggravée, alors que le coupable n’était autre que son voisin de palier.

De plus, la solution qui consiste à passer par un mécanisme CGN (Carrier-Grade NAT), pour éviter de procéder à des migrations massives, n’est pas nécessairement une bonne chose. Certes, on peut attribuer une même adresse à plusieurs milliers d’usagers, mais ce n’est qu’une adresse frontale, qui peut poser ensuite des problèmes ensuite de sécurité, quand il s’agira de retrouver auprès des FAI les adresses source (par exemple), qui nous seraient nécessaire pour effectuer une introspection dans le réseau (attaques, pertes de performances, etc), mais aussi pour partager des baies de stockage, fonctionner en mode « peer to peer », etc.

Dans tous les cas, il vaut mieux adopter une stratégie volontariste, de migration forte, plutôt que de ménager la chèvre 128 bits et le choux 32 bits.

De toute façon, IPv4 est devenu « insupportable » en termes de sécurité et IPv6, présente de ce point de vue des avantages considérables, ne serait-ce que la présence du client IPSec, pour sécuriser nos VPN.

Un dernier point, même s’il n’aura pas totalement disparu, IPv6 semble moins impérialiste que le formalisme précédent et les entreprises retrouveront une certaine liberté et se diront qu’elles dépendront moins d’un « ukase » unilatéral, qui décidera de ce qui est bon et mauvais pour elles...

Il est de toute évidence marqué de l’empreinte IPv6. Car IPv4 est décidément un système trop mauvais pour que l’on continue à fonder nos architectures dessus.

Cela fait longtemps que nous aurions dû faire cette migration, les coupables étant à la fois les clients qui ne se sont pas décidés suffisamment tôt et les prestataires qui n’ont vu aucune urgence à lancer le processus.

Car, que cela nous plaise ou non, nous n’avons aucune solution de remplacement. Et il arrivera à IPv6 ce qui est arrivé à la téléphonie IP, pour qui les entreprises ne voyaient aucun intérêt à remplacer leurs vieux PABX, mais qui s’est finalement imposée partout.

Il est des technologies que l’on ne peut pas ignorer sans risquer une récession dans nos systèmes d’information. IPv6 en fait partie. On peut tout lui reprocher : d’être compliqué à comprendre, lourd à installer, coûteux, mais il est incontournable.

Ou alors, il faudra opter pour un autre système d’adressage et donc se lancer dans un nouvel internet, ce qui est impossible à imaginer.

De gré ou de force, nous allons migrer sur IPv6. Et le chantier qui nous attend n’est pas simple, eu égard surtout aux vieux équipements qui n’ont rien compris à IP, avant même la version 128 bits et surtout aux développeurs « irresponsables » qui ont intégré les spécificités réseaux dans leur code source. Normalement, la bascule devrait être terminée en 2029 pour Google et en 2025 selon Cisco, avec 100 % des installations migrées.

Pour ne pas rater le rendez-vous, il est donc temps de s’y mettre.