Cela fait maintenant plus d’un an que l’autorité en charge de l’allocation des adresses IP pour la zone EMEA a annoncé l’utilisation de son dernier bloc d’IP disponible. Cela implique que les règles d’attribution d’un préfixe est soumis à une politique stricte afin d’être le plus équitable possible. Ainsi, chaque registre local (LIR) ne peut recevoir au plus 1024 adresses IPv4 même si son besoin est supérieur. De même, cette allocation ne peut se faire uniquement si l’entité a déjà un préfixe IPv6 alloué. La capacité à raccorder de nouveaux équipements, aussi bien des services que des accès Internet, va être de plus en plus contrainte par la capacité à disposer d’une adresse IPv4. C’est pour cela que le RIPE et l’IANA préconisent de déployer de l’IPv6 pour garantir la connectivité à long terme. De la même manière, APNIC (en charge de la région Asie Pacifique) a annoncé l’utilisation de son dernier bloc en février 2011.

Déployer de l’IPv6 permet de connecter les utilisateurs ne disposant pas d’adresse IPv4. Mais comment continuer à assurer en parallèle la disponibilité des nouveaux services pour les personnes déjà connectées avec de l’IPv4 ? En effet, un des grands principes d’Internet repose sur la neutralité pour ainsi assurer un maximum d’équité dans la mise à disposition d’une application réseau. Or, il n’est pas possible de faire communiquer les protocoles IPv4 et IPv6 ensemble. Il n’est pas non plus envisageable d’attendre qu’un seuil critique d’utilisateurs ou de services soient certifiés IPv6. Il est ainsi essentiel d’identifier les méthodes permettant de le faire tout en limitant les impacts sur le réseau.

Ce problème de migration vers IPv6 est identifié depuis longtemps, aussi bien par les organismes de standardisation (comme IETF) et les éditeurs de solutions réseaux, qui travaillent à définir des méthodes pour migrer progressivement vers IPv6. Plusieurs solutions existent pour communiquer entre les mondes IPv4 et IPv6. Les méthodes 6PE/6VPE et Dual Stack lite sont des solutions de transport réseau, orientées opérateurs au sens large. D’autres méthodes simples rendent disponible un service depuis un monde IPv6 vers un monde IPv4, sans devoir déployer un réseau dans chacun des environnements, à l’exemple du mécanisme Dual Stack. Pour cela, la plupart des répartiteurs de charge du marché disposent de fonctions permettant de réaliser des translations allant d’un protocole à l’autre comme NAT64 ou SLB-PT.

Le but n’est pas de transporter de l’IPv4 au-dessus de l’IPv6 ou inversement mais bien de faire une passerelle capable de publier un service IPv6 dans l’environnement IPv4 et de translater le protocole. Le schéma de principe est simple à mettre en place. Le service est qualifié pour fonctionner sur une plateforme IPv6 avec toute l’intelligence réseau souhaitée pour assurer la capacité, la résilience ou encore la latence. Maintenant pour publier cette application dans le monde IPv4, il faut disposer d’un équipement disposant d’une interface en IPv4 et une interface en IPv6. Etant donné l’utilisation intensive des répartiteurs de charge pour publier les applications, il est naturel d’y ajouter la fonction de translation d’un monde à l’autre.

L’avantage principal de cette solution est de permettre le déploiement de nouveaux services simplement : le déploiement se fait en fonction du périmètre du réseau de production sans avoir à se soucier de l’interopérabilité avec le monde IPv4. Une fois l’application disponible, il suffit de la publier via son propre répartiteur de charge et de profiter des fonctions avancées de sécurité comme pour les applications IPv4. Ainsi, il est possible de diffuser un service aisément aussi bien sur IPv4 que sur IPv6 sans déployer 2 réseaux au sein d’une entreprise.

On parle depuis plusieurs années de la migration inéluctable vers IPv6 et de la complexité de celle-ci compte tenu du fait que ces 2 mondes ne sont pas directement liés. Cependant, depuis plusieurs années, les éditeurs de solutions, et les organismes de normalisation,  travaillent pour fournir des solutions simples et permettre une transition progressive vers la norme IPv6.

Bien que certaines de ces solutions soient orientées pour les opérateurs, il n’en reste pas moins que certaines peuvent être déployées dans un environnement d’entreprise et de manière relativement simple. Il n’est pas nécessaire de reconfigurer l’ensemble du réseau pour déployer une application. Il suffit d’une arrivée IPv6 sur une interface du répartiteur de charge et il est possible de mettre en place un Proof Of Concept de SLB-PT tout en préservant les applications métier d’éventuels impacts.

 

_______
Lexique
– 6PE & 6VPE : Mécanisme de VPN permettant de relier des îlots IPv6 entre eux en s’appuyant sur un réseau IPv4. Mécanisme standardisé sous la référence RFC-4798
– Dual Stack Lite : technologie permettant de faire transiter un tunnel IPv4 sur un réseau IPv6. Cette technologie est principalement utilisée dans le cadre des réseaux d’accès ISP. (RFC-6333)

 

 

_______________
Thomas Grimonet est consultant Sécurité Réseaux chez Nomios