Quel est l’impact d’IPv6 pour moi et mon réseau?

La ‘fin annoncée’ des adresses IPv4 a aussi un impact non négligeable sur les entreprises normales, celles-ci doivent réfléchir en 2011 à l’utilisation de la version suivante IPv6 et préparer des plans de déploiement. Il n’est plus temps de tergiverser.

La ‘fin annoncée’ des adresses IPv4 a aussi un impact non négligeable sur les entreprises normales, celles-ci doivent réfléchir en 2011 à l’utilisation de la version suivante IPv6 et préparer des plans de déploiement. Il n’est plus temps de tergiverser.

Revenons en arrière au 3 février 2011: l’Internet Assigned Number Authority (IANA) distribue les cinq derniers blocs d’adresses IPv4 aux cinq Regional Internet Registries (RIR) dont le Réseaux IP Européens (RIPE) basé à Amsterdam qui gère les adresses IP pour l’Europe et le Moyen Orient. Cela signifie que les seuls réservoirs d’adresses IPv4 sont maintenant dans les mains du RIPE, des ISP et des entreprises ayant déjà une adresse IPv4. Le RIPE devrait distribuer à partir de fin 2011 seulement 1024 adresses IPv4 par ISP et cela sera fini.

De prime abord cela ne concerne que les ISP qui désirent agrandir leurs réseaux mais en fait cela concerne beaucoup plus d’acteurs Internet et notamment les entreprises normales comme nous le verrons dans quelques instants.

Les actionnaires des ISP veulent assez logiquement voir ceux-ci s’étendre. En Europe, la croissance viendra principalement de la partie mobile; il suffit de penser au nombre de tablettes et autres Smartphones. Pour un ISP, il existe deux techniques pour contrer la pénurie d’adresses IPv4: partager une adresse globale IPv4 entre quelques milliers de clients et utiliser les adresses IPv6 (4 fois plus de bits que les adresses IPv4 donc il y en a énormément plus). Les deux techniques peuvent être utilisée en même temps. Dans les deux cas, cela représente un certain investissement pour les ISP surtout au niveau des ISP résidentiels (ADSL et câble) car en général le réseau d’accès vers leurs abonnés ne supporte qu’IPv4 et il est difficile d’ajouter IPv6 sur leurs vieux équipements.

Le partage d’une adresse IPv4 sera probablement utilisé pendant quelques années car c’est plus simple pour un ISP que le passage en IPv6. Mais l’utilisation d’adresses IPv4 partagées pose des problèmes… En effet, dès qu’une adresse IPv4 sera partagée entre 1.000 abonnés, il sera possible de partager une même adresse IPv4 entre 900 clients et 1 pirate; ce qui rendra les journaux des serveurs web relativement inutiles au niveau sécurité et toutes tentative de bannir une adresse IPv4 pour contrer les attaques d’un pirate empêchera aussi les 999 autres abonnés de se connecter…

Un autre problème du partage d’adresse est lié au partage des 65.535 portes TCP disponibles par adresse IP. Si l’ISP partage une adresse IP par 1.000 abonnés, il ne reste donc plus que 65 portes TCP par abonné et cela pose un problème immédiat pour certaines applications web utilisant simultanément plusieurs connexions TCP car celles-ci ne fonctionneront plus qu’en mode dégradé.

Par contre, la bonne architecture technique est le passage à IPv6 qui ne souffre pas de ces problèmes. Il est à regretter que les ISP résidentiels belges n’ont pas d’offres IPv6 pour l’instant, seul EDPnet a fait une annonce à ce propos. La situation dans les pays voisins (France, Luxembourg et Pays-Bas) est différente car là-bas il y a plusieurs ISP avec des offres IPv6. Au niveau des ISP pour les entreprises, la situation est meilleure avec des offres de Verizon Business, Orange Business Services et Belgacom. Le secteur public peut aussi compter sur BELNET qui a une offre IPv6 depuis de nombreuses années. En règle générale, l’ISP ne facture pas IPv6 en plus d’IPv4 car un bit IPv4 transporté a le même coût qu’un bit IPv6. Il est tout de même à noter que seul 0.2% du trafic Internet est IPv6 au début 2011 mais en croissance régulière car les trois gros fournisseurs de contenu sur Internet (Google, Youtube et Facebook) sont disponibles en IPv6.

Au niveau des entreprises normales, même celles dont le secteur d’activité n’est pas lié à l’informatique, cela représente un grand changement lié à la connectivité de leurs partenaires et client.

En effet, pour l’instant elles reçoivent des connexions de leurs clients, de leurs partenaires voire de leurs employés mobiles ou en télétravail uniquement en IPv4 non partagé. Il est donc simple pour les entreprises de supposer une adresse IPv4 = un client et d’appliquer des règles d’audit et de sécurité sur cette adresse. Mais nous avons vu que cela n’est plus possible avec des adresses IPv4 partagées.

Les points de présence Internet de ces sociétés doivent donc pouvoir recevoir des connexions venant d’IPv4 (partagé et non partagé) et d’IPv6 sous peine de ne plus pouvoir offrir un service de qualité à leurs clients, partenaires et employés. En effet, en 2012 il sera impossible pour une entreprise d’exiger de la part de ses clients d’utiliser une adresse IPv4 publique comme en 2010. Le monde a changé légèrement mais suffisamment pour s’en préoccuper…

Pour les entreprises qui ont externalisé leur présence auprès d’un hébergeur, la démarche est simple: demander voire exiger le passage à IPv6. Plusieurs hébergeurs offrent déjà un service IPv6 (à ma connaissance: Maehdros en Belgique mais aussi des grands noms comme OVH, Gandi et Infomaniak). C’est ainsi que la RTBF a procédé il y a quelques années. En dehors de la solution facile d’hébergeurs, c’est un rien plus difficile et nécessite d’avoir un ISP, un routeur, un pare-feu et des services web qui supportent IPv6. Là aussi, en règle générale, les routeurs et pare-feux et les serveurs web supportent tous IPv6 au prix d’une mise à jour éventuelle mais sans autre surcoût majeur. Par contre, certaines applications Internet devront être testées et certifiées IPv6 voire modifiées pour supporter IPv6 (notamment au niveau des journaux d’accès).

Mais, IPv6 a aussi un rôle à jouer au coeur des réseaux d’entreprises: dans leur intranet. Microsoft utilise depuis longtemps IPv6 dans ses produits tout comme Apple et les distributions Linux et Unix. IPv6 est ainsi disponible depuis Windows Vista ou depuis iOS 4.2 sur iPhone et iPad pour ne citer que ces deux plateformes. Cela va même plus loin car Microsoft Windows 2008 utilise IPv6 pour la réplication entre serveurs Windows 2008 ou pour sa solution accès nomade Direct Access. Ainsi pour utiliser Direct Access, il est nécessaire que le serveur dans l’intranet utilise IPv6.

Même s’il est évident que les intranet ne manqueront pas d’adresses IPv4 car ils utilisent en général des adresses IPv4 privée (réseau 10.0.0.0/8); IPv6 a aussi sa place dans le coeur des réseaux pour d’autres raisons: facilité de connexion avec des partenaires sans devoir faire du Network Address Translation (NAT) mais uniquement avec un pare-feu, facilité de connexion à distance (aussi pour l’absence de NAT). Plusieurs grosses sociétés dont Microsoft et Google ont ajouté IPv6 à leurs réseaux internes en quelques mois et à leur grande satisfaction.

L’ajout d’IPv6 dans un intranet est souvent plus long à réaliser et plus couteux (surtout en terme de formation), il doit donc être planifié à l’avance. Il est donc temps d’y penser en 2011 pour des actions en 2012 ou 2013. La cohabitation IPv4 et IPv6 dans les entreprises durera probablement jusqu’en 2020-2025 un peu comme DECnet, IPX et SNA ont cohabité ensemble entre 1990 et 2000.

En résumé, si la pénurie d’adresses IPv4 a un impact immédiat sur les ISP, il a aussi un impact indirect sur les entreprises si celles-ci veulent continuer à utiliser l’Internet comme moyen de communication avec leurs clients, partenaires et employés. Le plus urgent est d’ajouter IPv6 à leur présence Internet pour le début 2012 et de planifier en 2011 le déploiement d’IPv6 dans leur intranet pour 2012 voire 2013.

Eric Vyncke Distinguished System Engineer, Cisco Guest Professor, HEC-ULg Business School