Le protocole double pile Oracle Solaris prend en charge à la fois les opérations IPv4 et IPv6. Vous pouvez effectuer des opérations liées à IPv4 pendant et après le déploiement d'IPv6 sur votre réseau.
IPv6 introduit des fonctionnalités supplémentaires dans un réseau existant. Par conséquent, lors du premier déploiement d'IPv6, vous devez vous assurer de ne pas perturber les opérations fonctionnant avec IPv4. Les sujets abordés dans cette section décrivent une méthode pas à pas d'introduction d'IPv6 dans un réseau existant.
La première étape du déploiement IPv6 consiste à déterminer les entités existantes sur votre réseau prenant en charge IPv6. Dans la plupart des cas, la topologie du réseau (les câbles, les routeurs et les hôtes) n'est pas modifiée par l'implémentation d'IPv6. Cependant, dans certains cas, il est nécessaire de préparer le matériel et les applications existantes pour IPv6 avant d'effectuer la configuration des adresses IPv6 sur les interfaces réseau.
Assurez-vous que le matériel de votre réseau peut être mis à niveau vers IPv6. Par exemple, consultez la documentation du fabricant en matière de compatibilité IPv6 en ce qui concerne les classes de matériel suivantes :
routeurs ;
pare-feux ;
serveurs ;
commutateurs.
Toutes les procédures décrites dans cette partie partent du principe qu'il est possible de mettre le matériel à niveau (en particulier les routeurs) vers IPv6.
Certains modèles de routeurs ne permettent pas une mise à niveau vers IPv6. Pour obtenir des informations supplémentaire et une solution au problème, reportez-vous à la section Impossible de mettre à niveau un routeur IPv4 vers IPv6.
Les services réseau IPv4 suivants de la version active de Oracle Solaris sont compatibles avec le protocole IPv6 :
sendmail
NFS
HTTP (Apache 2.x ou Orion)
DNS
LDAP
Le service de messagerie IMAP est compatible uniquement avec IPv4.
Les nœuds configurés pour IPv6 peuvent exécuter des services IPv4. Lors de l'activation d'IPv6, tous les services n'acceptent pas les connexions IPv6. Les services préparés pour IPv6 acceptent les connexions. Les services qui ne le sont pas continuent de fonctionner avec la partie IPv4 de la pile de protocole.
Certains problèmes peuvent survenir après une mise à niveau des services vers IPv6. Pour de plus amples informations, reportez-vous à la section Problèmes survenant après la mise à niveau de services vers IPv6.
Les serveurs étant considérés comme des hôtes IPv6, par défaut, leurs adresses IPv6 sont automatiquement configurées par le protocole de détection des voisins. Cependant, de nombreux serveurs possèdent plusieurs cartes d'interface réseau et il peut s'avérer nécessaire de les retirer en vue de leur maintenance ou de leur remplacement. Lorsqu'une carte d'interface réseau est remplacée, la détection de voisins génère automatiquement un nouvel ID d'interface pour cette carte. Ce comportement pourrait s'avérer problématique pour un serveur.
Par conséquent, il est conseillé de configurer manuellement la partie ID d'interface des adresses IPv6 pour chaque interface du serveur. Pour obtenir des instructions, reportez-vous à la section Procédure de configuration d'un jeton IPv6 spécifié par l'utilisateur. Si le remplacement d'une carte d'interface réseau est nécessaire ultérieurement, l'adresse IPv6 configurée est appliquée à la carte de substitution.
Mettez les services réseau suivants à jour afin qu'ils prennent en charge IPv6 :
serveurs de courrier.
serveurs NIS ;
NFS
LDAP prend en charge IPv6 sans aucune configuration supplémentaire nécessaire.
Assurez-vous que le matériel de votre pare-feu est compatible avec le protocole IPv6.
Reportez-vous à la documentation adéquate pour obtenir des instructions.
Assurez-vous que les autres services de votre réseau ont été préparés pour prendre en charge le protocole IPv6.
Pour de plus amples informations, reportez-vous à la documentation technique et marketing du logiciel.
Si votre site déploie les services suivante, assurez-vous d'avoir pris les mesures adéquates pour ces services :
pare-feux ;
Pensez à renforcer les stratégies en place pour le protocole IPv4 afin qu'elles prennent en charge le protocole IPv6. Pour prendre connaissance de problèmes de sécurité supplémentaires, reportez-vous à la section Considérations de sécurité relatives à l'implémentation d'IPv6.
Messagerie
Vous pouvez envisager d'ajouter les adresses IPv6 de votre serveur de messagerie aux enregistrements MX pour DNS.
DNS
Pour prendre connaissance des considérations spécifiques à DNS, reportez-vous à la section Procédure de préparation de DNS pour la prise en charge d'IPv6.
IPQoS
Utilisez les mêmes stratégies Diffserv que celles utilisées pour le protocole IPv4 sur l'hôte. Pour de plus amples informations, reportez-vous à la section Module de classification.
Contrôlez tout service réseau offert par un nœud avant de convertir ce dernier vers IPv6.
La version de Oracle Solaris actuelle prend en charge la résolution de DNS côté client et côté serveur. Procédez comme suit pour préparer les services DNS à IPv6.
Pour obtenir des informations supplémentaires relatives à la prise en charge de DNS pour IPv6, reportez-vous à la section System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Assurez-vous que le serveur DNS effectuant la résolution récursive de nom est double pile (IPv4 et IPv6) ou uniquement compatible avec IPv4.
Dans le serveur DNS, renseignez la base de données DNS avec les enregistrements AAAA de base de données IPv6 dans la zone de transfert.
Les serveurs exécutant plusieurs services critiques requièrent une attention particulière. Assurez-vous du bon fonctionnement du réseau. En outre, tous les services critiques doivent avoir été préparés pour IPv6. Ensuite, ajoutez l'adresse IPv6 du serveur à la base de données DNS.
Ajoutez les enregistrements PTR associés aux enregistrements AAAA dans la zone d'inversion.
Ajoutez des données exclusivement IPv4 ou des données IPv6 et IPv4 à l'enregistrement NS décrivant les zones.
L'implémentation d'IPv6 prend en charge un certain nombre de configurations de tunnel faisant office de mécanismes de transition lors de la migration de votre réseau vers un mélange d'IPv4 et d'IPv6. Les tunnels permettent aux réseaux IPv6 isolés de communiquer. Dans la mesure où Internet exécute essentiellement IPv4, les paquets IPv6 de votre site doivent circuler dans Internet via des tunnels ayant pour destination des réseaux IPv6.
Vous trouverez ici les scénarios les plus courants d'utilisation de tunnels dans la topologie de réseau IPv6 :
Le FAI qui vous fournit des services IPv6 vous permet de créer un tunnel à partir du routeur de bordure du site vers le réseau du FAI. La Figure 4–1 représente un de ces tunnels. Dans ce cas, vous devez exécuter un tunnel manuel IPv6 sur IPv4.
Vous gérez un réseau distribué de grande taille avec connectivité IPv4. Pour connecter les sites distribués utilisant IPv6, vous pouvez exécuter un tunnel automatique 6to4 à partir du routeur de périphérie de chaque sous-réseau.
Il est parfois impossible de mettre un routeur à niveau vers IPv6 dans l'infrastructure de l'entreprise. Dans ce cas, vous pouvez créer un tunnel manuel à travers le routeur IPv4, avec deux routeurs IPv6 en guise d'extrémités.
La section Tâches de configuration de tunnels pour la prise en charge d'IPv6 (liste des tâches) contient les procédures de configuration des tunnels. Pour des informations conceptuelles à propos des tunnels, reportez-vous à la section Tunnels IPv6.
En cas d'introduction d'IPv6 dans un réseau existant, veillez à ne pas compromettre la sécurité du site. Tenez compte des problèmes de sécurité suivants lors de l'implémentation progressive d'IPv6 :
La même quantité de filtrage est requise pour les paquets IPv6 et IPv4.
Les paquets IPv6 sont souvent mis en tunnel via un pare-feu. Par conséquent, implémentez l'un des deux scénarios suivants :
Paramétrez le pare-feu de sorte qu'il inspecte le contenu du tunnel.
Placez un pare-feu IPv6 avec des règles similaires à l'extrémité opposée du tunnel.
Certains mécanismes de transition utilisent des tunnels IPv6 sur UDP sur IPv4. Ces mécanismes peuvent s'avérer dangereux et court-circuiter le pare-feu.
Globalement, il est possible d'atteindre les nœuds IPv6 à partir de l'extérieur du réseau de l'entreprise. Si votre stratégie de sécurité interdit tout accès public, vous devez établir des règles de pare-feu plus strictes. Vous pourriez par exemple configurer un pare-feu avec état.
Ce manuel inclut des fonctionnalités de sécurité qu'il est possible d'utiliser dans une implémentation IPv6.
La fonction d'architecture IPsec (sécurité IP) permet d'obtenir une protection cryptographique des paquets IPv6. Pour plus d'informations, reportez-vous au Chapitre 19Architecture IPsec (présentation).
La fonctionnalité IKE (Internet Key Exchange, échange de clé Internet) permet d'utiliser l'authentification de clé publique pour les paquets IPv6. Pour plus d'informations, reportez-vous au Chapitre 22Protocole IKE (présentation).