Le déploiement d'IPv6 sur un réseau, nouveau ou existant, requiert un grand effort de planification. Ce chapitre décrit les tâches de planification requise avant de configurer IPv6 sur votre site. Dans le cas de réseaux existants, le déploiement d'IPv6 doit s'effectuer progressivement. Les rubriques de ce chapitre vous permettent d'effectuer une introduction progressive d'IPv6 dans un réseau exclusivement IPv4 à l'origine.
Ce chapitre examine les rubriques suivantes :
Pour une présentation des concepts IPv6, reportez-vous au Chapitre 3Présentation d'IPv6. Pour obtenir des informations détaillées, reportez-vous au Chapitre 11Présentation détaillée de IPv6 (référence).
Effectuez les tâches de la liste suivante dans l'ordre afin de planifier les tâches nécessaires au déploiement d'IPv6.
Le tableau suivant répertorie les différentes tâches de configuration du réseau IPv6. Le tableau comprend la description des actions de chaque tâche et la section de la documentation actuelle dans laquelle les étapes permettant d'effectuer ces tâches sont décrites en détails.
Tâche |
Description |
Voir |
---|---|---|
1. Préparation du matériel pour qu'il prenne en charge IPv6. |
Vérifiez qu'il est possible de mettre le matériel à niveau vers IPv6. |
Préparation de la topologie réseau pour une prise en charge d'IPv6 |
2. Obtention d'un FAI prenant en charge IPv6. |
Assurez-vous que votre FAI actuel prend en charge le protocole IPv6. Dans le cas contraire, trouvez un FAI prenant en charge IPv6. Vous pouvez faire appel à deux FAI : l'un pour IPv6, l'autre pour les communications IPv4. |
|
3. Vérification de la compatibilité des applications avec IPv6. |
Assurez-vous que les applications peuvent s'exécuter dans un environnement IPv6. |
Procédure de préparation de services réseau pour la prise en charge d'IPv6 |
4. Obtention d'un préfixe de site. |
Obtenez un préfixe de site de 48 octets pour votre site auprès de votre FAI ou du registre Internet régional le plus proche. | |
5. Créer un plan d'adressage de sous-réseau. |
Vous devez planifier la topologie globale du réseau IPv6 ainsi que le schéma d'adressage avant de configurer IPv6 sur les différents nœuds de votre réseau. | |
6. Conception d'un plan pour l'utilisation de tunnels. |
Déterminez les routeurs qui vont exécuter les tunnels vers d'autres sous-réseaux ou des réseaux externes. | |
7. Création d'un plan d'adressage pour les entités du réseau. |
Vous devez disposer au préalable d'un plan pour l'adressage des serveurs, des routeurs et des hôtes avant d'effectuer la configuration d'IPv6. | |
8. Développement d'une stratégie de sécurité IPv6. |
Vérifiez les filtres IP, l'architecture de sécurité IP (IPsec), la fonction d'échange de clés Internet (IKE, Internet Key Exchange) et les autres fonctionnalités de sécurité de Oracle Solaris lors de la création de la stratégie de sécurité IPv6. | |
9. (Facultatif) Paramétrage d'une DMZ. |
Pour des raisons de sécurité, vous devez disposer d'un plan d'adressage pour la DMZ et ses entités avant de configurer IPv6. |
Considérations de sécurité relatives à l'implémentation d'IPv6 |
10. Activation de la prise en charge d'IPv6 par les nœuds. |
Configurez IPv6 sur tous les routeurs et les hôtes. | |
11. Activation des services réseau. |
Assurez-vous que les serveurs existants prennent en charge IPv6. |
Principales tâches d'administration TCP/IP (liste des tâches) |
12. Mise à jour des noms de serveurs pour la prise en charge d'IPv6. |
Assurez-vous que les serveurs DNS, NIS et LDAP sont mis à jour avec les nouvelles adresses IPv6. |
Configuration de prise en charge de services d'attribution de noms pour IPv6 |
Les tâches de ce chapitre permettent de planifier des services IPv6 dans un réseau d'entreprise typique. L'illustration suivante correspond au réseau auquel il est fait référence tout au long du chapitre. Le réseau IPv6 proposé peut inclure une partie ou la totalité des liaisons réseau figurant dans l'illustration.
Le scénario de réseau d'entreprise se compose de cinq sous-réseaux disposant d'adresses IPv4. Les liaisons du réseau correspondent directement aux sous-réseaux administratifs. Les quatre réseaux internes sont affichés avec des adresses IPv4 privées de type RFC 1918, ce qui correspond à une solution courante pour le manque d'adresses IPv4. Le schéma d'adressage de ces réseaux internes est comme suit :
Le sous-réseau 1 correspond à l'épine dorsale du réseau interne 192.168.1 .
Le sous-réseau 2 correspond au réseau interne 192.168.2, avec LDAP, sendmail et serveurs DNS.
Le sous-réseau 3 correspond au réseau interne 192.168.3, avec les serveurs NFS de l'entreprise.
Le sous-réseau 4 correspond au réseau interne 192.168.4 qui contient les hôtes des employés de l'entreprise.
Le réseau public externe 172.16.85 fait office de DMZ pour l'entreprise. Ce réseau contient des serveurs Web, des serveurs FTP anonymes et d'autres ressources que l'entreprise propose au monde extérieur. Le routeur 2 exécute un pare-feu et sépare le réseau public 172.16.85 de l'épine dorsale interne. Sur l'autre extrémité de la DMZ, le routeur 1 exécute un pare-feu et fait office de serveur de limites de l'entreprise.
Sur la Figure 4–1, la DMZ publique possède l'adresse privée RFC 1918 172.16.85. Dans le monde réel, la DMZ publique doit disposer d'une adresse IPv4 enregistrée. La plupart des sites IPv4 utilisent une combinaison d'adresses publiques et d'adresses privées RFC 1918. Cependant, lors de l'introduction d'IPv6, le concept d'adresses publiques et privées est modifié. Dans la mesure où IPv6 dispose d'un espace d'adresse beaucoup plus important, les adresses publiques IPv6 s'utilisent à la fois sur les réseaux privés et publics.
Le protocole double pile Oracle Solaris prend en charge à la fois les opérations IPv4 et IPv6. Vous pouvez effectuer des opérations liées à IPv4 pendant et après le déploiement d'IPv6 sur votre réseau.
IPv6 introduit des fonctionnalités supplémentaires dans un réseau existant. Par conséquent, lors du premier déploiement d'IPv6, vous devez vous assurer de ne pas perturber les opérations fonctionnant avec IPv4. Les sujets abordés dans cette section décrivent une méthode pas à pas d'introduction d'IPv6 dans un réseau existant.
La première étape du déploiement IPv6 consiste à déterminer les entités existantes sur votre réseau prenant en charge IPv6. Dans la plupart des cas, la topologie du réseau (les câbles, les routeurs et les hôtes) n'est pas modifiée par l'implémentation d'IPv6. Cependant, dans certains cas, il est nécessaire de préparer le matériel et les applications existantes pour IPv6 avant d'effectuer la configuration des adresses IPv6 sur les interfaces réseau.
Assurez-vous que le matériel de votre réseau peut être mis à niveau vers IPv6. Par exemple, consultez la documentation du fabricant en matière de compatibilité IPv6 en ce qui concerne les classes de matériel suivantes :
routeurs ;
pare-feux ;
serveurs ;
commutateurs.
Toutes les procédures décrites dans cette partie partent du principe qu'il est possible de mettre le matériel à niveau (en particulier les routeurs) vers IPv6.
Certains modèles de routeurs ne permettent pas une mise à niveau vers IPv6. Pour obtenir des informations supplémentaire et une solution au problème, reportez-vous à la section Impossible de mettre à niveau un routeur IPv4 vers IPv6.
Les services réseau IPv4 suivants de la version active de Oracle Solaris sont compatibles avec le protocole IPv6 :
sendmail
NFS
HTTP (Apache 2.x ou Orion)
DNS
LDAP
Le service de messagerie IMAP est compatible uniquement avec IPv4.
Les nœuds configurés pour IPv6 peuvent exécuter des services IPv4. Lors de l'activation d'IPv6, tous les services n'acceptent pas les connexions IPv6. Les services préparés pour IPv6 acceptent les connexions. Les services qui ne le sont pas continuent de fonctionner avec la partie IPv4 de la pile de protocole.
Certains problèmes peuvent survenir après une mise à niveau des services vers IPv6. Pour de plus amples informations, reportez-vous à la section Problèmes survenant après la mise à niveau de services vers IPv6.
Les serveurs étant considérés comme des hôtes IPv6, par défaut, leurs adresses IPv6 sont automatiquement configurées par le protocole de détection des voisins. Cependant, de nombreux serveurs possèdent plusieurs cartes d'interface réseau et il peut s'avérer nécessaire de les retirer en vue de leur maintenance ou de leur remplacement. Lorsqu'une carte d'interface réseau est remplacée, la détection de voisins génère automatiquement un nouvel ID d'interface pour cette carte. Ce comportement pourrait s'avérer problématique pour un serveur.
Par conséquent, il est conseillé de configurer manuellement la partie ID d'interface des adresses IPv6 pour chaque interface du serveur. Pour obtenir des instructions, reportez-vous à la section Procédure de configuration d'un jeton IPv6 spécifié par l'utilisateur. Si le remplacement d'une carte d'interface réseau est nécessaire ultérieurement, l'adresse IPv6 configurée est appliquée à la carte de substitution.
Mettez les services réseau suivants à jour afin qu'ils prennent en charge IPv6 :
serveurs de courrier.
serveurs NIS ;
NFS
LDAP prend en charge IPv6 sans aucune configuration supplémentaire nécessaire.
Assurez-vous que le matériel de votre pare-feu est compatible avec le protocole IPv6.
Reportez-vous à la documentation adéquate pour obtenir des instructions.
Assurez-vous que les autres services de votre réseau ont été préparés pour prendre en charge le protocole IPv6.
Pour de plus amples informations, reportez-vous à la documentation technique et marketing du logiciel.
Si votre site déploie les services suivante, assurez-vous d'avoir pris les mesures adéquates pour ces services :
pare-feux ;
Pensez à renforcer les stratégies en place pour le protocole IPv4 afin qu'elles prennent en charge le protocole IPv6. Pour prendre connaissance de problèmes de sécurité supplémentaires, reportez-vous à la section Considérations de sécurité relatives à l'implémentation d'IPv6.
Messagerie
Vous pouvez envisager d'ajouter les adresses IPv6 de votre serveur de messagerie aux enregistrements MX pour DNS.
DNS
Pour prendre connaissance des considérations spécifiques à DNS, reportez-vous à la section Procédure de préparation de DNS pour la prise en charge d'IPv6.
IPQoS
Utilisez les mêmes stratégies Diffserv que celles utilisées pour le protocole IPv4 sur l'hôte. Pour de plus amples informations, reportez-vous à la section Module de classification.
Contrôlez tout service réseau offert par un nœud avant de convertir ce dernier vers IPv6.
La version de Oracle Solaris actuelle prend en charge la résolution de DNS côté client et côté serveur. Procédez comme suit pour préparer les services DNS à IPv6.
Pour obtenir des informations supplémentaires relatives à la prise en charge de DNS pour IPv6, reportez-vous à la section System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Assurez-vous que le serveur DNS effectuant la résolution récursive de nom est double pile (IPv4 et IPv6) ou uniquement compatible avec IPv4.
Dans le serveur DNS, renseignez la base de données DNS avec les enregistrements AAAA de base de données IPv6 dans la zone de transfert.
Les serveurs exécutant plusieurs services critiques requièrent une attention particulière. Assurez-vous du bon fonctionnement du réseau. En outre, tous les services critiques doivent avoir été préparés pour IPv6. Ensuite, ajoutez l'adresse IPv6 du serveur à la base de données DNS.
Ajoutez les enregistrements PTR associés aux enregistrements AAAA dans la zone d'inversion.
Ajoutez des données exclusivement IPv4 ou des données IPv6 et IPv4 à l'enregistrement NS décrivant les zones.
L'implémentation d'IPv6 prend en charge un certain nombre de configurations de tunnel faisant office de mécanismes de transition lors de la migration de votre réseau vers un mélange d'IPv4 et d'IPv6. Les tunnels permettent aux réseaux IPv6 isolés de communiquer. Dans la mesure où Internet exécute essentiellement IPv4, les paquets IPv6 de votre site doivent circuler dans Internet via des tunnels ayant pour destination des réseaux IPv6.
Vous trouverez ici les scénarios les plus courants d'utilisation de tunnels dans la topologie de réseau IPv6 :
Le FAI qui vous fournit des services IPv6 vous permet de créer un tunnel à partir du routeur de bordure du site vers le réseau du FAI. La Figure 4–1 représente un de ces tunnels. Dans ce cas, vous devez exécuter un tunnel manuel IPv6 sur IPv4.
Vous gérez un réseau distribué de grande taille avec connectivité IPv4. Pour connecter les sites distribués utilisant IPv6, vous pouvez exécuter un tunnel automatique 6to4 à partir du routeur de périphérie de chaque sous-réseau.
Il est parfois impossible de mettre un routeur à niveau vers IPv6 dans l'infrastructure de l'entreprise. Dans ce cas, vous pouvez créer un tunnel manuel à travers le routeur IPv4, avec deux routeurs IPv6 en guise d'extrémités.
La section Tâches de configuration de tunnels pour la prise en charge d'IPv6 (liste des tâches) contient les procédures de configuration des tunnels. Pour des informations conceptuelles à propos des tunnels, reportez-vous à la section Tunnels IPv6.
En cas d'introduction d'IPv6 dans un réseau existant, veillez à ne pas compromettre la sécurité du site. Tenez compte des problèmes de sécurité suivants lors de l'implémentation progressive d'IPv6 :
La même quantité de filtrage est requise pour les paquets IPv6 et IPv4.
Les paquets IPv6 sont souvent mis en tunnel via un pare-feu. Par conséquent, implémentez l'un des deux scénarios suivants :
Paramétrez le pare-feu de sorte qu'il inspecte le contenu du tunnel.
Placez un pare-feu IPv6 avec des règles similaires à l'extrémité opposée du tunnel.
Certains mécanismes de transition utilisent des tunnels IPv6 sur UDP sur IPv4. Ces mécanismes peuvent s'avérer dangereux et court-circuiter le pare-feu.
Globalement, il est possible d'atteindre les nœuds IPv6 à partir de l'extérieur du réseau de l'entreprise. Si votre stratégie de sécurité interdit tout accès public, vous devez établir des règles de pare-feu plus strictes. Vous pourriez par exemple configurer un pare-feu avec état.
Ce manuel inclut des fonctionnalités de sécurité qu'il est possible d'utiliser dans une implémentation IPv6.
La fonction d'architecture IPsec (sécurité IP) permet d'obtenir une protection cryptographique des paquets IPv6. Pour plus d'informations, reportez-vous au Chapitre 19Architecture IPsec (présentation).
La fonctionnalité IKE (Internet Key Exchange, échange de clé Internet) permet d'utiliser l'authentification de clé publique pour les paquets IPv6. Pour plus d'informations, reportez-vous au Chapitre 22Protocole IKE (présentation).
Le développement d'un plan d'adressage constitue une des parties les plus importantes de la transition d'IPv4 à IPv6. Cette tâche nécessite les préparatifs suivants :
Vous devez disposer d'un préfixe de site préalablement à la configuration d'IPv6. Le préfixe de site permet de dériver les adresses IPv6 pour tous les nœuds de votre implémentation IPv6. Pour une présentation des préfixes de site, reportez-vous à la section Préfixes d'IPv6.
Tout FAI prenant en charge IPv6 devrait être en mesure de fournir un préfixe de site IPv6 de 48 octets. Si votre FAI ne prend en charge que IPv4, vous pouvez faire appel à un autre FAI pour la prise en charge d'IPv6 tout en conservant votre FAI actuel pour la prise en charge d'IPv4. Dans ce cas, il existe plusieurs solutions au problème. Pour de plus amples informations, reportez-vous à la section Le FAI actuel ne prend pas en charge IPv6.
Si votre entreprise est un FAI, les préfixes de site pour vos clients s'obtiennent auprès du registre Internet adéquat. Pour plus d'informations, reportez-vous au site Internet Assigned Numbers Authority (IANA).
Si votre réseau IPv6 n'est pas entièrement nouveau, basez le schéma de numérotation IPv6 sur la topologie IPv4 existante.
Commencez par mapper les sous-réseaux IPv4 existants vers les sous-réseaux IPv6 équivalents. Par exemple, utilisez les sous-réseaux figurant sur la Figure 4–1. Les sous-réseaux 1 à 4 utilisent l'identification d'adresse privée IPv4 RFC 1918 pour les 16 premiers octets de leurs adresses, en plus des chiffres 1 à 4 qui identifient le sous-réseau. Par exemple, supposons que le préfixe IPv6 2001:db8:3c4d/48 a été assigné au site.
Le tableau suivant illustre le mappage des préfixes IPv4 privés vers les préfixes IPv6.
Préfixe de sous-réseau IPv4 |
Préfixe de sous-réseau IPv6 équivalent |
---|---|
192.168.1.0/24 |
2001:db8:3c4d:1::/64 |
192.168.2.0/24 |
2001:db8:3c4d:2::/64 |
192.168.3.0/24 |
2001:db8:3c4d:3::/64 |
192.168.4.0/24 |
2001:db8:3c4d:4::/64 |
Pour la plupart des hôtes, la configuration automatique d'adresses IPv6 sans état pour leurs interfaces constitue une stratégie adéquate et rapide. Lorsque l'hôte reçoit le préfixe de site en provenance du routeur le plus proche, la détection de voisin génère automatiquement des adresses IPv6 pour chaque interface de l'hôte.
Les serveurs doivent disposer d'adresses IPv6 stables. Si vous ne configurez pas manuellement les adresses IPv6 d'un serveur, une nouvelle adresse IPv6 est configurée automatiquement à chaque fois qu'une carte d'interface réseau est remplacée sur le serveur. Tenez compte des conseils suivants lors de la création d'adresses de serveurs :
Attribuez aux serveurs des ID d'interface significatifs et stables. Vous pouvez par exemple utiliser un schéma de numérotation séquentiel pour les ID d'interface. Par exemple, l'interface interne du serveur LDAP dans la Figure 4–1 pourrait devenir 2001:db8:3c4d:2::2.
Si vous ne renommez pas régulièrement votre réseau IPv4, vous pouvez également utiliser les adresses IPv4 des routeurs et serveurs en tant qu'ID d'interface. Dans la Figure 4–1, on suppose que l'interface du routeur 1 vers la DMZ a pour adresse IPv4 123.456.789.111 . Vous pouvez convertir l'adresse IPv4 vers le format hexadécimale et utiliser le résultat de la conversion en tant qu'ID d'interface. Le nouvel ID d'interface serait ::7bc8:156F.
Cette approche est applicable uniquement si vous êtes propriétaire de l'adresse IPv4 enregistrée, non pas si vous l'avez obtenue auprès d'un FAI. Si vous utilisez une adresse IPv4 qui vous a été fournie par un FAI, vous créez une dépendance qui risque d'entraîner des problèmes en cas de changement de FAI.
En raison du nombre limité d'adresses IPv4, un concepteur de réseau devait auparavant se demander s'il devait utiliser des adresses globales enregistrées ou des adresses privées RFC 1918. Cependant, la notion d'adresses IPv4 privées et publiques ne s'applique pas aux adresses IPv6. Vous pouvez utiliser des adresses globales unicast incluant le préfixe de site, sur toutes les liaisons du réseau, DMZ publique incluse.