Pourquoi utiliser l'IPv6 en interne ?

L'IPv6 offre quelques améliorations potentielles par rapport à l'IPv4, comme un mécanisme d'auto-configuration et d'auto-découverte plus simple. Il est également plus sûr dans le sens où il devient impossible pour les logiciels malveillants de se répliquer sur un réseau en scannant un port d'une plage d'adresses IP - il y a simplement trop d'adresses IP. Mais ces améliorations ne sont pas particulièrement spectaculaires, et ne valent certainement pas le coût de la commutation.

Mais notez que ce n'est pas un ou bien Si vous développez des logiciels, vous devriez probablement le faire, comme de nombreuses personnes l'ont mentionné, à des fins de test. Il n'y a aucun moyen fiable de rendre un programme compatible avec IPv6 sans disposer d'une infrastructure IPv6 interne pour le tester. La plupart des systèmes d'exploitation modernes configureront automatiquement un réseau IPv6 interne entre eux -- il s'agit simplement de l'utiliser.

Il y a 10 ans, j'ai construit un petit logiciel que les clients d'un employeur utilisaient pour récupérer les mises à jour des programmes. Lors de la construction du composant réseau, j'ai dû choisir entre intégrer la compatibilité IPv6, ou simplement supposer que toutes les adresses IP seront de 4 octets. J'ai décidé de prendre la voie la plus simple, en m'épargnant environ 4 heures de travail, et j'ai fait en sorte que l'application soit uniquement IPv4. Je me suis dit qu'elle serait remplacée dans quelques années de toute façon. Ils l'utilisent encore aujourd'hui, et sont donc exclus de certains petits marchés.

Nous parlons ici de deux choses : faire fonctionner le réseau interne en IPv6 pur ou en IPv4/IPv6 dual-stack. Je pense qu'il est prématuré de parler d'un fonctionnement en IPv6 pur - sur de nombreux systèmes d'exploitation, il est même impossible d'utiliser IPv6 sans IPv4. Cependant, vous pouvez envisager d'exécuter une pile double pour les raisons suivantes (a) si vous développez des logiciels (b) afin de préparer votre réseau à la migration inévitable vers IPv6. Si votre situation est A, vous devez agir maintenant, si elle est B, vous avez, selon mes estimations, environ 1 à 2 ans pour y réfléchir (mais plus tôt vous commencerez, mieux vous serez préparé).

Je suis dans la même situation que vous et nous fonctionnons en dual-stack depuis 6 mois maintenant. Pendant cette période, nous avons identifié et résolu certains problèmes avec notre DNS public/privé, l'allocation d'adresses, le DHCP, le routage, le pare-feu et nous n'avons même pas pu anticiper bon nombre de ces problèmes sans essayer. Aujourd'hui, nous sommes totalement prêts pour l'IPv6 et nous disposons même d'un accès public à l'IPv6 via un tunnel. D'après mon expérience, je peux dire avec certitude qu'IPv6 est une solution beaucoup plus simple et élégante que le vieillissant IPv4. Je serai donc très heureux lorsque le moment sera venu de passer à IPv6, mais avant que ce moment n'arrive, le dual-stack est la voie à suivre.

Outre l'espace d'adressage plus grand, l'absence de diffusion, l'IPSec et l'autoconfiguration plus simple, il existe des avantages "moins connus" de l'IPv6 :

0. Un espace d'adressage plus grand signifie que l'adresse possède plus de bits pouvant être utilisés pour le stockage des données. Par exemple, le nombre de sauts entre deux nœuds peut être fonction de leur adresse IPv6 :
   L'adresse IPv6 peut être au format PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID donc les nœuds les plus proches auront plus de Most-Significant-Bits identiques. Ceci n'est qu'un exemple, bien sûr, les mesures de "proximité" pourraient être stockées dans une sorte de base de données externe comme le DNS. TXT|SRV les dossiers.

1. Il existe certaines techniques d'utilisation de l'espace d'adressage d'IPv6 à des fins cryptographiques, telles que les adresses générées de manière cryptographique (Cryptographically Generated Addresses). CGA ) et SEND (SEcure Neighbor Discovery)

2. Lorsque l'IPv6 est activé, tous les nœuds du réseau ont une adresse IPv6 locale au niveau du lien (si elle n'est pas configurée autrement). Il y a donc une chance que vous puissiez accéder même à un nœud mal configuré.

3. Vous pouvez obtenir les adresses MAC des nœuds directement à partir de l'adresse IPv6 locale du lien (si l'adresse IPv6 locale du lien n'est pas disponible). Extensions de confidentialité IPv6 ne sont pas configurés)

4. Il est impossible d'utiliser IPv4 dans des sous-réseaux comportant des milliers de nœuds - votre réseau sera surchargé par le trafic de diffusion (par exemple, ARP).

5. Vous pouvez interroger le nœud pour obtenir des informations supplémentaires en utilisant informations sur le nœud Par exemple, sous BSD, vous pouvez demander à l'hôte les adresses des nœuds d'information ICMPv6 :

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

Je vois deux raisons d'utiliser IPv6 pour un hôte interne.

1. Il se peut qu'à l'avenir, cet hôte doive être disponible en externe, au moins sur certains ports.

2. Vous pouvez constater que cet hôte doit se connecter à un autre hôte qui a également choisi la même adresse interne. Par exemple, vous devez vous connecter à 10.0.0.5 chez Acme corporation et votre propre adresse chez Emca corporation est également 10.0.0.5. Je me souviens que cela s'est produit dans un emploi précédent, nous avions tous deux utilisé les mêmes adresses internes.

Je dirais que dans le monde moderne, la plupart des ordinateurs ne sont pas internes à 100%. La plupart des ordinateurs de bureau peuvent établir des connexions limitées avec le monde extérieur ou vice versa.

La seule bonne raison de passer à l'IPv6 en interne est d'être prêt lorsque le monde passera à l'IPv6, et je pense que c'est une assez mauvaise raison, étant donné le taux d'adoption. Puisque la plupart des IP internes ne seront pas joignables de l'extérieur, il ne serait pas très compliqué de traduire le reste.

Mon entreprise ne passera probablement jamais à l'IPv6 en interne. Cela nécessiterait un changement fondamental de politique si massif que je ne peux honnêtement pas concevoir comment cela pourrait se faire. Beaucoup de gens devraient être tués, et beaucoup de choix d'embauche inexplicables devraient être faits. De même, toute tentative des unités commerciales individuelles de passer à l'IPv6 sur leurs réseaux locaux serait écrasée avec préjudice par les chefs des réseaux d'entreprise pour des raisons d'interopérabilité et de maintenabilité (nous accordons une grande marge de manœuvre au niveau local, mais pas au niveau national). que beaucoup.)

En fait, si le passage à l'IPv6 était indolore, nous l'aurions fait depuis longtemps.