Réflexions sur l'adressage IPv6
IPv6 prend de plus en plus d'importance sur Internet. Alors que je préparais une petite introduction sur cette technologie, je me suis posé plusieurs question auxquelles j'ai pu trouver des réponses :
- Est-il possible d'avoir des masques supérieurs à /64 pour créer différents réseaux à partir d'un préfixe fourni par un opérateur ?
- Quid du NAT ?
Alors que l'adresse IPv4 fonctionne sur 32 bits, l'adresse IPv6 est longue de 128 bits. Nous partons du principe que les 56 premiers bits correspondent à la partie réseau, les 16 suivants offrent la possibilité de créer des sous-réseaux. Enfin les 64 derniers servent d'identifiant pour un noeud sur le réseau.
IANA | RIR | LIR | Client | Sous-réseau | Interface |
3 | 20 | 9 | 16 | 16 | 64 |
Source : Wikipédia
Pour mettre en place des sous-réseaux, il est conseillé (si l'on suit notamment les différentes RFC liées à IPv6) de ne pas utiliser des masques supérieurs à /64 mais rien ne l'interdit. Ainsi des masques en /120 sont déjà utilisés dans certaines infrastructures par exemple.
Cela n'est pourtant pas sans risque et peut poser des problèmes notamment en ce qui concerne le protocole NDP (Neighbor Discovery) qui se base sur l'intégralité de la partie identifiant de l'adresse IPv6. Cela peut s'avérer également problématique avec la configuration automatique d'adresse ou le protocole de detection d’adresse dupliquée qui a besoin des 24 derniers bits pour pouvoir fonctionner correctement.
Il faut donc, à mon avis, vraiment réfléchir à deux fois avant de choisir un masque supérieur à /64 et ne l'implémenter que si vous n'avez pas le choix. Dans la mesure du possible, essayez de respecter les recommandations des RFC.
Enfin, alors que je pensais que le NAT était mort avec l'arrivée d'IPv6, je me suis rendu compte de l'émergence d'outils comme NAT66 ou NPTv6. Pour corroborer tout cela, j'ai décidé de mettre en oeuvre cette technologie avec un préfixe global fourni par mon FAI, des adresses site local unicast (FC00::/7) et avec un routeur/firewall sous OpenBSD 5.3 + PacketFilter. Ce test s'est plutôt avéré concluant. Alors attention, le NAT n'est pas mort, je pense même qu'il sera encore utilisé à des fins sécuritaires.
Si vous avez des remarques complémentaires, je suis bien entendu preneur. :)
A bientôt.