migration vers ipv6 : sc narios & m canismes · afnic migration vers ipv6 : sc narios & m...

42
Migration vers IPv6 : Scénarios & mécanismes Mohsen Souissi [email protected] JTR’2008 Nancy- 3 juin 2008 http://www.afnic.fr/

Upload: vanmien

Post on 13-Nov-2018

216 views

Category:

Documents


0 download

TRANSCRIPT

Migration vers IPv6 :

Scénarios & mécanismes

Mohsen [email protected]

JTR’2008

Nancy- 3 juin 2008

http://www.afnic.fr/

AFNIC Migration vers IPv6 : scénarios & mécanismes 2

Plan

! Contexte

! Modèles de communication

! Que faut-il migrer au juste ?

! Rappel historique des approches IETF

! Scénarios de migration proposés

! Classification des mécanismes de migration

! Exemples d’outils

! Conclusion & perspectives

AFNIC Migration vers IPv6 : scénarios & mécanismes 3

Préambule

! Ce que cette présentation est :– Un aperçu des approches pour la migration et des contextes d’évolution d’IPv6– Une présentation sommaire, neutre et objective des scénarios / mécanismes de

migration– Une analyse critique de l’existant

! Ce qu’elle n’est pas– Une description complète de chaque mécanisme de migration

• Cf. RFC et documents en ligne

– Des propositions et recommandations pratiques d’outils de migration• D’autres présentations le feront

– Une réponse aux questions concrètes et spécifiques des participants• Difficile de donner des recettes à moins de connaître le contexte et les motivations

AFNIC Migration vers IPv6 : scénarios & mécanismes 4

Migration IPv4-IPv6 : Contexte

! Épuisement des adresses IPv4 dans 3-4 ans– Tous les rapports convergent (exemples :

http://www.potaroo.net/tools/ipv4/index.html,http://www.tndh.net/~tony/ietf/IPv4-pool-combined-view.pdf, …)

– Le pool IANA, puis le pool RIR, puis…– Un jour, les nouvelles entreprises ne pourront pas avoir des adresses– Et les entreprises existantes ne pourront plus avoir de nouvelles adresses

(extension)

! Le déploiement des réseaux et services IPv4 devient de plus en pluscomplexe– Manque d’adresses IPv4 routables– Le NAT viole le principe de communication « de bout en bout »– Le « contournement » des NAT est très lourd dans les logiciels– Même l’espace IPv4 privé (RFC 1918) n’est pas suffisant dans certains cas de

déploiement (exemple : Comcast a besoin de 100 M+ @ )

AFNIC Migration vers IPv6 : scénarios & mécanismes 5

Plan

! Contexte

! Modèles de communication

! Que faut-il migrer au juste ?

! Rappel historique des approches IETF

! Scénarios de migration proposés

! Classification des mécanismes de migration

! Exemples d’outils

! Conclusion & perspectives

AFNIC Migration vers IPv6 : scénarios & mécanismes 6

Modèles de communication

! Une communication réseau IP– Nécessite la coopération verticale et horizontale de tous les composants/ressources

sous-jacents et/ou intermédiaires du réseau (couches, équipements & protocolesintermédiaires)

! Qui parle avec qui et comment (6 possibilités) ?– 1) Un système IPv4 se connecte à un système IPv4 à travers un réseau IPv4

– 2) Un système IPv6 se connecte à un système IPv6 à travers un réseau IPv6

– 3) Un système IPv4 se connecte à un système IPv4 à travers un réseau IPv6

– 4) Un système IPv6 se connecte à un système IPv6 à travers un réseau IPv4

– 5) Un système IPv4 se connecte à un système IPv6

– 6) Un système IPv6 se connecte à un système IPv4

! Complexité– 1) & 2) : on sait faire sans problèmes

– 3) & 4) : moins faciles mais pas bloquants

– 5) & 6) : complexes, pas de solutions globales et satisfaisantes aujourd’hui

AFNIC Migration vers IPv6 : scénarios & mécanismes 7

Modèles de communication (2)

Derived from Steve deering’s presentation: 'Watching the Waist of the Protocol Hourglass‘, IETF 51 London,

http://www.ietf.org/proceedings/01aug/slides/plenary-1/index.htm l

email WWW phone...

SMTP HTTP RTP...

TCP UDP…

IPv6

And/Or

IPv4

ethernet PPP…

CSMA async sonet...

copper fiber radio...

Simple rappel : IPv6 c’est IP…

AFNIC Migration vers IPv6 : scénarios & mécanismes 8

Plan

! Contexte

! Modèles de communication

! Que faut-il migrer au juste ?

! Rappel historique des approches IETF

! Scénarios de migration proposés

! Classification des mécanismes de migration

! Exemples d’outils

! Conclusion & perspectives

AFNIC Migration vers IPv6 : scénarios & mécanismes 9

Que faut-il migrer au juste ?

! À terme, tous les composants de communication suivantsdevront supporter IPv6

– Pour tous :• OS (local et distant)• Applications réseau ou faisant appel au réseau (locale et distante)

– Applications classiques (mail, web, dns…)

– Pour les utilisateurs (particuliers, entreprises, campus…) :• LAN (routeurs s’il y en a)• Connectivité (CPE, PE)

– En passant par son FAI existant (v4) ou en le contournant

• Applications métier (le plus difficile !)

AFNIC Migration vers IPv6 : scénarios & mécanismes 10

Que faut-il migrer au juste ? (2)

! À terme, tous les composants de communication suivants devront supporterIPv6 (suite)

– Pour les FAI/Opérateurs• Routeurs du cœur de réseau, routeurs de bordure (peering, transit)• Équipements d’accès (avec ou sans fil)• Coupe-feux, équilibreurs de charge, avitaillement…

– Hébergeurs et autres fournisseurs de service Internet• Matériel et logiciel hébergé (dédié ou mutualisé)

! À moins d’être un administrateur d’un grand réseau– On n’a pas à gérer tous ces aspects à la fois– Chaque acteur prend en charge sa partie

! Et dans tous les cas– On ne fait pas tout en même temps

• Priorisation, planification, migration progressive

AFNIC Migration vers IPv6 : scénarios & mécanismes 11

Plan

! Contexte

! Modèles de communication

! Que faut-il migrer au juste ?

! Rappel historique des approches IETF

! Scénarios de migration proposés

! Classification des mécanismes de migration

! Exemples d’outils

! Conclusion & perspectives

AFNIC Migration vers IPv6 : scénarios & mécanismes 12

Rappel historique des approches IETF

! Approche du wg 6bone– IPv6 naît : expérimentations de base– Des tunnels rudimentaires et des briques logicielles de base

! Approche du wg ngtrans (next generation transition)– IPv6 fait ses premiers pas : il faut préparer la « transition »– Une « boîte à outils » alimentée au fur et à mesure, sur la base du

volontariat (initiatives généralement personnelles)– Boîte à outil difficilement exploitable

• Des outils redondants ou se chevauchant fonctionnellement• Peu ou pas de documentation/implémentations pour ces outils• Très peu de recul par rapport aux aspects opérationnels (complexité de

déploiement) et de sécurité liés (cf. le devenir de NAT-PT par exemple)

AFNIC Migration vers IPv6 : scénarios & mécanismes 13

Rappel historique des approches IETF (2)

! Approche du wg v6ops (IPv6 Operations)– IPv6 a mûri : il faut passer aux choses sérieuses (aspects opérationnels du

déploiement) !– Assez d’outils dans la boîte à outils

• Moratoire sur les nouveaux développements d’outils• Abandon de presque tous les I-D IETF ngtrans qui n’avaient pas eu la chance d’être

publiés en RFC à l’heure du moratoire (exemple : dstm :-( )

– Fixer les scénarios de déploiement et y associer les mécanismes/outils adéquats– Identifier/analyser les « gaps » pour des développements ultérieurs d’outls

complémentaires

! Approche du wg softwire

– Se préparer à une longue co-habitation– Les solutions existantes ne sont ni suffisantes ni satisfaisantes– Besoin de connecter automatiquement des millions d’utilisateurs

• communications v4-v4 traversant un réseau IPv6-only et vice versa

– Le wg évoluant en parallèle à v6ops

AFNIC Migration vers IPv6 : scénarios & mécanismes 14

Plan

! Contexte et motivations

! Modèles de communication

! Que faut-il migrer au juste ?

! Bref historique des approches IETF

! Scénarios de migration proposés

! Classification des mécanismes de migration

! Exemples d’outils

! Conclusion & perspectives

AFNIC Migration vers IPv6 : scénarios & mécanismes 15

Scénarios de migration (v6ops)

! Les réseaux d’ISP

! Les réseaux d’entreprise (administrés)

! Les petits réseaux non administrés (SoHo)

! Les réseaux cellulaires (3GPP)

AFNIC Migration vers IPv6 : scénarios & mécanismes 16

Scénario des réseaux d’ISP

! Cœur de réseau (configuration & gestion)

! Transit (transport des données)

! Fourniture d’accès (connectivité aux clients)

! Références– RFC 4029 : Scenarios and Analysis for Introducing IPv6 into ISP Networks

– RFC 4779 : ISP IPv6 Deployment Scenarios in Broadband Access Networks

– RFC 5181 : IPv6 Deployment Scenarios in 802.16 Networks

AFNIC Migration vers IPv6 : scénarios & mécanismes 17

Scénario des réseaux d’entreprise

(administrés)

! Configuration et gestion de l’infrastructure et des services decommunication interne

! Accès à l’Internet IPv6

! Références– RFC 4057 : IPv6 Enterprise Network Scenarios

– RFC 4554 : Use of VLANs for IPv4-IPv6 Coexistence in EnterpriseNetworks

– RFC 4852 : IPv6 Enterprise Network Analysis - IP Layer 3 Focus

AFNIC Migration vers IPv6 : scénarios & mécanismes 18

Scénario des réseaux non administrés

! Accès à l’Internet IPv6 (connectivité)

! Auto-configuration des services

! Références– RFC 3750 : Unmanaged Networks IPv6 Transition Scenarios

– RFC 3904 : Evaluation of Transition Mechanisms for UnmanagedNetworks

AFNIC Migration vers IPv6 : scénarios & mécanismes 19

Scénario des réseaux cellulaires 3GPP

! Cœur de réseau (configuration & gestion)

! Transit (transport des données)

! Fourniture d’accès (connectivité aux clients)

! Références– RFC 3574 : Transition Scenarios for 3GPP Networks

– RFC 4215 : Analysis on IPv6 Transition in Third Generation PartnershipProject (3GPP) Networks

AFNIC Migration vers IPv6 : scénarios & mécanismes 20

Plan

! Contexte

! Modèles de communication

! Que faut-il migrer au juste ?

! Bref historique des approches IETF

! Scénarios de migration proposés

! Classification des mécanismes de migration

! Exemples d’outils

! Conclusion & perspectives

AFNIC Migration vers IPv6 : scénarios & mécanismes 21

Classification des mécanismes de migration

! Communication v6-v6 ou v4-v4– Dual Stack

• Double pile IPv4-IPv6

– Tunnelling• Tunnels automatiques vs configurés (manuels)

! Cohabitation v4-v6– Traduction

• En-têtes / protocoles / ports (v6-->v4 et v4-->v6)

– Relais / Passerelles applicatives (Application Level Gateways, ALG)

AFNIC Migration vers IPv6 : scénarios & mécanismes 22

Approche “Dual Stack”

RFC 4213! IPv4 et IPv6 sur le même système! 2 scénarios:

– Réseaux existants (“legacy”)– Nouveaux réseaux

! Mais…– au moins une adresse IPv4 est requise pour chaque machine==> Toute seule, cette approche ne résout pas le problème de pénurie– Problèmes de sélection d’adresses source et destination

APPLICATION

TCP/UDP

IPv4

DRIVER

IPv6

IPv4/IPv6Network

IPv4/IPv6Network

IPv4/IPv6

AFNIC Migration vers IPv6 : scénarios & mécanismes 23

Approche générique du “Tunneling”

! 2 types de tunnels:– Tunnels automatiques

• Exemples : 6to4, Teredo, ISATAP, 6PE/MPLS…

– Tunnels configurés• Manuels, “Tunnel Broker”…

! Gestion pMTU

IPv6Network

IPv6Packets

IPv6Network

IPv4 Network

IPv4 Tunnel

IPv4Encapsulation

IPv6Packets

IPv6Packets

AFNIC Migration vers IPv6 : scénarios & mécanismes 24

Approche générique de la “Traduction”

A B CPA: Ax ! f(Cy), params(A) PB: By ! Cy, params(B)

- x,y " {v4, v6}

- A ne parle que IPvx, C uniquement IPvy- A envoie à C un paquet PA-f(Cy) est une @ IPvx dérivée de Cy

- B est le “boîtier de traduction”, avec ou sans état, parlant IPvx et IPvy- B traduit le paquet PA en PB et envoie PB à C- By est une @ IPvy utilisée par B pour communiquer avec de Cy

Exemples : NAT-PT (!), SIIT

AFNIC Migration vers IPv6 : scénarios & mécanismes 25

Approche générique des passerelles

applicatives (ALG, proxy)

A B CPA: Ax ! Bx PB: By ! Cy

- x,y " {v4, v6}

- A (le client) ne parle que IPvx, C (le serveur) uniquement IPvy- A envoie à B un paquet PA (la destination Cy est explicitement ou implicitementindiquée par A)

- B est la passerelle applicative (proxy) parlant IPvx et IPvy- B relaye le paquet PA à C, comme si c’était son paquet (PB)

- Exemples : proxy web/ftp, relais DNS (cache resolver), e-mail…

AFNIC Migration vers IPv6 : scénarios & mécanismes 26

Plan

! Contexte

! Modèles de communication

! Que faut-il migrer au juste ?

! Bref historique des approches IETF

! Scénarios de migration proposés

! Classification des mécanismes de migration

! Exemples d’outils

! Conclusion & perspectives

AFNIC Migration vers IPv6 : scénarios & mécanismes 27

Cœur de réseau : 6PE / MPLS

[RFC 4798] : “Connecting IPv6 Islands over IPv4 MPLS using IPv6 Provider Edge

Routers (6PE)”

- Cœur de réseau en MPLS

- Peering BGP entre routeurs de bordure

- Pas de modifications pour les routeurs de cœur de réseau

IPv4

b=>int1/89

3,89

7,27

2,27

1,91

3,91

5,19

MPLS

IPv6Prefix: Pa

a

Pb => bBGP+

IPv6

b

Pa => aBGP+2,19

popiBGP

Prefix: Pb

AFNIC Migration vers IPv6 : scénarios & mécanismes 28

192.1.2.3

1.2.3.4

Prefix:2002:C001:0203::/48

2002:0102:0304::/48

Connectivité de site : 6to4 [ RFC 3056 ]

Internet v4

Internet v6A

B

C

DNS

2002:01:02:03:04:1::1

IPv6 address of B ?

2002:0102:0304:1::1

Destination =

2002:01:02:03:04:1::1

encapsulation in IPv4:

TEP = 1.2.3.4

AFNIC Migration vers IPv6 : scénarios & mécanismes 29

192.1.2.3

1.2.3.4

Prefix:

2002:C001:0203::/48

2002:0102:0304::/48

6to4 & Anycast [ RFC 3068 ]

Internet v4

Internet v6

@ 6to4 anycast relay

A

B

CDNS

2001:db8::cafe::1

IPv6 address of C ?

2002:0102:0304:subnetID:interfaceID

Destination =

2001:db8:cafe::1

encapsulation in IPv4:

TEP = 192.88.99.1

(anycast relay)

AFNIC Migration vers IPv6 : scénarios & mécanismes 30

6to4 : Problèmes & Limitations [RFC 3964]

! Problèmes de sécurité– L’administrateur du relais n’a pas le moyen de contrôler qui utilise le service (le

trafic est accepté de partout)– Risques d’usurpation– Les relais 6to4 relays vulnérables aux attaques DoS

• Besoin de filtrage

! 6to4 peut induire un routage asymétrique

! N’est pas une solution globale– Connecte uniquement des îlots IPv6 ! Pas de communication possible entre des

machines IPv4-only & IPv6-only– Pas de traversée de NAT

AFNIC Migration vers IPv6 : scénarios & mécanismes 31

6rd

! Solution dérivée de 6to4 (Rémi Després)

! draft-despres-v6ops-6rd-ipv6-rapid-deployment-01 (travail en cours) : « IPv6Rapid Deployment on IPv4 infrastructures (6rd) »

! Déployée chez le FAI français Free

! Cas simple : <Prefix-FAI><IPv4>::/64

! Autres cas :– FAI a un préfixe plus court que /32– Client a plus d’une adresse IPv4 publiques– Client n’a qu’une dresse IPv4 privée

AFNIC Migration vers IPv6 : scénarios & mécanismes 32

Connectivité de site/terminal : Tunnel Broker

[RFC 3053]

IPv6Network

IPv4Network

IPv6Network

DualStackClient

TunnelServer

DNS

TunnelBroker

IPv6 over IPv4 Configured Tunnel

! Basés sur RFC 3053 (quelques différences)! Exemples de fournisseurs publics :

– Hexago (Go6 / Freenet6), Hurricane Electric, SixXS…– Liste : http://en.wikipedia.org/wiki/List_of_IPv6_tunnel_brokers

! Offres privées (communautaires)– Exemple : « Migration Broker » de Renater (expérimental) :

(http://www.renater.fr/spip.php?article328)

AFNIC Migration vers IPv6 : scénarios & mécanismes 33

Connectivité de terminal :

Teredo [RFC 4380] (NAT Traversal)

! « Teredo: Tunneling IPv6 over UDP through Network AddressTranslations (NATs) »

! Ressemble à 6to4 mais pas d’adresse IPv4 publique (routable)

! Solution de connectivité de “dernier recours”– Priviligier l’IPv6 natif tout d’abord et puis les autres outils connus (6to4, TB…)

! 3 entités : client, serveur, relais

! Adresse IPv6 globale dérivée de– Préfixe Teredo (2001::/32) + adresse IPv4 du serveur Teredo– Adresse IPv4 privée + port + flags (comportement du NAT)

AFNIC Migration vers IPv6 : scénarios & mécanismes 34

IPv6 intra-site :

ISATAP [RFC 4214 (EXP)]

10.1.2.3

10.2.3.4

10.0.1.2

00-00-05-FE-0A-00-01-02

10.3.4.52001:db9:cafe::/48

FE80::5FE:A000:102/64

2001:db8:cafe:1234:000:5FE:A000:102/64

FE80::5FE:A001:203/64

FE80::5FE:A002:304/64

FE80::5FE:A003:304/64

DNSisatap.example.com ?

RS

RA

2001:db8:cafe:1234:000:5FE:A001:203/64

! Créer une connectivité IPv6 au-dessus d’un réseau de site IPv4! L’interface ID dérivée d’une adresse IPv4 (tunnel automatique)! Découverte de routeur préfixe IPv6 : isatap.example.com ! Très peu utilisé

AFNIC Migration vers IPv6 : scénarios & mécanismes 35

Cohabitation v4-v6 :

Passerelles applicatives (ALG)

! Les passerelles sont en Dual Stack

! Peuvent être utilisées pour la plupart des applications clien/serveurcommunes :– E-mail (POP3, IMAP, SMTP)– Web, FTP (proxies)– Serveurs d’impression– DNS : cache resolver, relais (parfois traduit le RR type)

! Même principe que pour la communication ‘v4 privé - v4 public’

! Mais ne répondent pas à tous les besoins :-(

AFNIC Migration vers IPv6 : scénarios & mécanismes 36

Cohabitation v4-v6 :

NAT-PT [RFC 2766]

! Traduit adresses et en-têtes (protocoles) : voir schéma générique précédent

! v6 -->v4 : Très similaire au NAT classique– Un pool d’adresses IPv4 routables– Avec tous les problèmes connus du NAT

! v4 --> v6 : compliqué et problématique

! NAT-PT to Historic Status [RFC 4966]– Problèmes induits par l’usage d’une DNS-ALG– Problèmes exacerbés par l’usage d’une DNS-ALG (mais aussi applicables à toute

forme de traducteur IPv6<->IPv4)– Problèmes indépendants de la DNS-ALG (mais aussi applicables à toute forme de

traducteur IPv6<->IPv4)

AFNIC Migration vers IPv6 : scénarios & mécanismes 37

Softwires (travaux en cours)

! RFC 4925 : « Softwire Problem Statement »

! Solutions en cours de standardisation au sein du wg IETF softwire– méthodes génériques de découverte, encapsulation et contrôle– pour connecter des îlots IPv4-only à travers des réseaux IPv6 et vice versa

! Hypothèses de travail– Un LAN supporte les deux familles d’adresses : les applications v4-only, v6-only et

dual-stack peuvent tourner normalement

– L’accessibilité globale nécessite l’établissement une connectivité softwire pourtransiter à travers des portions de réseau ne supportant qu’une seule familled’adresse

– Les softwires conçus pour durer mais la durée de leur établissement doit êtrecourte par rapport au temps de démarrage du CPE / AFBR

AFNIC Migration vers IPv6 : scénarios & mécanismes 38

Softwires (2)

! Deux problèmes/solutions à résoudre/standardiser– « Hub & Spoke »

• Typiquement pour connecter un host : 2*4 variantes selon configuration• Une connexion et une route par défaut (statique)• Établissement du softwire : « initiator » (Client) --> « concentrator » (ISP)• Dimensionnement : des millions de clients (nb / capacité des « concentrators »)• Encapsulation (exemples) : IPv6/IPv4, IPv6/UDP/IPv4 et IPv4/IPv6• draft-ietf-softwire-hs-framework-l2tpv2-08 (travail en cours)

– « Mesh »

• Adresse le transit via un cœur de réseau ne supportant qu’une AF• Connexions multiples et préfixes de routage• Tunnels et échanges BGP entre AFBR (dual-stack) pour le transit• Encapsulation (exemples) : L2TPv3, IP-in-IP, MPLS, GRE et IPsec• draft-ietf-softwire-mesh-framework-04 (travail en cours)

! Exemple de déploiement– La Point6Box (Télécom Bretagne) : http://www.point6.net/box

AFNIC Migration vers IPv6 : scénarios & mécanismes 39

Questions d’actualité : NAT64

! draft-ietf-nat64-pb-statement-req-00 (travail en cours)– Formalisation du problème est des objectifs– Liste de « requirements »

! Quels scénarios posent-ils le plus de problèmes ?– (Nouveaux) Réseaux IPv6-only devant communiquer avec le monde IPv4 ?– Systèmes (traditionnels) IPv4-only devant communiquer avec IPv6-only ?

! Besoin de la traduction dans les deux sens– Mais la transparence totale n’est pas possible– Il faut faire des choix pouvant avoir des impacts à plus ou moins long terme

AFNIC Migration vers IPv6 : scénarios & mécanismes 40

Questions d’actualité : NAT64 (2)

! Principales questions de choix– Qui doit s’adapter à l’autre (modifications substantielles de code !) ?

• ==> De quel sens du trafic a-t-on le plus besoin : v6->v4 , v4->v6 ?• Le host v4-only ?

– Base installée immense

• Le host v6-only ?– Il sera très difficile de revenir en arrière plus tard

• Les boîtiers NAT (mettre à niveau NAT-PT ?) ?– Sur quels défauts de NAT-PT peut on concéder ?

– Solutions avec ou sans état ?• Si avec état : qui garde l’état ?

! En attendant :– Comcast : NATv4v6v4

AFNIC Migration vers IPv6 : scénarios & mécanismes 41

Synthèse (simplifiée) de l’existant

(X)

(X)

(X)

(X)

(X)

(X)

(NAT64)

X(H & S)(X)Host : conn. Ext.

(NAT trav.)

X

X

TB

H & S

H & S

(Mesh)

Softwires

X

ISATAP

XXCohabitation

(intra / inter-sites)

XSite : conn. Int.

XXHost : conn. Ext.

(@ pub.)

XXSite : conn. Ext.

(Accès)

XXISP: cœur de

réseau

ALGTeredo6to4 /

6rd

6PE /

MPLS

Dual-

Stack

AFNIC Migration vers IPv6 : scénarios & mécanismes 42

Conclusion & perspectives

! Des outils existent mais ne sont ni suffisants ni tous satisfaisants

! L’IPv6 natif est la seule solution viable

! Les défis sont majeurs pour assurer la cohabitation IPv4-IPv6

! Une longue période (nécessaire !) de cohabitation IPv4-IPv6– Les solutions adéquates attendues (par exemple NAT64 et Softwires) doivent être

disponibles à temps (« time-to-market ») sous peine de ne pas voir IPv6 décoller,voire de le « tuer » !

– « L’ attentisme » actuel ne peut s’expliquer uniquement par le manque d’outils demigration

• D’autres améliorations/mises à niveau aux/des “produits IPv6” sont attendues(sécurité, supervision, applications/services grand public…)

• Besoin d’effort de pédagogie, sensibilisation, documentation, formation…