IPV6 et IPV4 : petit retour sur la « pénurie »
Le 25 janvier 2011, j’écrivais un post intitulé « Pénurie d’adresses IP : beaucoup de bruit pour pas grand chose« . Suite à la publication de cet article, j’ai reçu des centaines d’emails, et j’ai rapidement été surnommé « le Claude Allègre d’IP« . Qu’avais-je donc fait ? J’expliquais simplement que la soi-distante pénurie d’adresses IPv4 était artificielle et qu’au moment où on indiquait qu’il n’y avait plus d’adresses IPv4 disponibles sur Internet, il y en avait en réalité plus de 700 millions qui n’étaient pas encore attribuées, et que sur celles qui avaient déjà été attribuées, plus de la moitié n’étaient en réalité pas utilisées.
Peu de temps après, début février 2011, on annonçait dans la presse que « la dernière adresse ip » (sic) avait été attribuée sur Internet, je cite : « Hier, la dernière adresse IP libre a été attribuée… L’explosion d’Internet a atteint la limite de possibilités de IP de quatrième génération, l’IPv4« . Suite à cette annonce : nouveau déferlement d’emails : « tout va changer dans les prochains mois car sinon Internet va s’arrêter ! » (sic bis !). J’expliquais donc le plus posément possible à mes interlocuteurs dont certains journalistes « spécialisés » que je ne nommerai pas pudeur pour leur réel manque de compétence, que d’ici 1 an rien n’aurait changé. Aucun d’entre eux n’a pris le risque de me citer.
Contrairement à ce que certains peuvent penser, je suis loin d’être quelqu’un de réfractaire au progrès qu’il soit humain ou technologique : à ce sujet, il suffit de lire mon article intitulé « les managers et décideurs de demain doivent revoir leur copie » ou encore « L’éthique de pseudos bien pensant est un frein au progrès !« , pour se rendre compte que je soutiens plus volontiers le transhumanisme que le conservatisme. Concernant IPv6, je proposais dès 2003, au travers du groupe Digital Network, du trafic ipv6 gratuitement avec la plupart des offres d’hébergement proposées.
Mais IPv6 reste un échec : nul doute qu’il sera adopté avec le temps, mais je n’ai non plus pas le moindre doute au sujet d’IPv4 : le réseau IP « ancienne génération » subsistera en parallèle du nouveau. Si IPv6 était une réussite, il y a déjà plus de 10 ans que tout aurait été migré : IPv6 est un échec technique, mais également un échec en terme de communication, j’ai eu là aussi déjà l’occasion de m’exprimer sur le sujet au travers de mon article intitulé : « Migration vers IPv6 : (sur)communiquer sur la pénurie d’IPv4 est une erreur«
Pour conclure, j’invite les nombreuses personnes à avoir parié avec moi des « caisses de champagne » concernant la situation 1 an après mon article de me contacter pour régler leur dette 
–
Christophe Casalegno
http://twitter.com/Brain_0verride
http://www.facebook.com/brain.override
-
Oui alors effectivement, c’est en Chine que les connexions doivent être les plus rapides…
-
Pingback: Illimité
-
Pingback: Interpretariat
-
As-tu conscience que l’email d’Octave auquel tu fais référence a été posté un premier avril ? Argumenter sur la pertinence de ton propos en prenant — sérieusement — pour référence une plaisanterie n’est pas très sérieux.
-
En fait non, on m’a juste copié collé le propos, sans me le préciser, je corrige donc.
-
C’est fixé, ce qui ne change pas le fond : Vu sur le site d’ovh en ce moment même :
Un serveur est livré en standard avec :
IPv4 1
IP Failover 3Soit 4 IPv4 par serveur, sans surcoût, vraisemblablement ce n’est donc pas la crise de l’ipv4 ou « l’ipcalypse » pour tout le monde !
-
-
-
@Christophe : le NAT de la maison est désactivable (mode bridge) ou controlable (ouverture de ports à la main ou en UPNP), ce que n’est pas le cas du NAT à grande échelle (CGNAT) qu’on se coltine sur la 3G.
Le CGNAT n’est plus utilisé seulement par choix comme chez les téléphonistes depuis des années, mais par pénurie réelle dans le cas de FreeMobile.Et le NAT pose déjà des problèmes, comme par exemple à la voip SIP dans certains cas, qui n’est pas « un serveur » mais juste une utilisation d’internet de plus en plus courante.
-
@Julien : le fait qu’il soit « désactivable » (ce qui est loin d’être le cas sur l’ensemble des box, mais qui sont remplaçables par un modem), ne change pas le fait que par défaut on *est pas* en mode bridge.
Certains FAI durant des années, bien avant les problèmes d’attribution d’adresses IP, et particulièrement les cablesopérateurs fournissaient une adresse IP Natée à leurs clients.
Quant au protocole SIP qui nécessitait avant un « proxy SIP », est faitement supporté par le NAT maintenant dans les dernières versions du noyau linux. La réalité, c’est que le NAT convient parfaitement à plus de 95% des utilisations « client » d’internet, que ce soit en tant que particulier ou en tant qu’entreprise, et que les utilisations qui nécessitent vraiment des IPv4, ne représentent qu’un très faible pourcentage des besoins.
Le problème n’est pas que le NAT soit utilisé par choix ou pas, je dis simplement qu’internet fonctionne relativement bien malgré l’utilisation du NAT, et que ce n’est pas nouveau !
-
Bonjour,
il y a beaucoup d’inexactitudes dans tous ces propos.
D’abord il est dit qu’IPv6 est un échec technique. Je ne comprends pas le sens de cette assertion. Il répond au problème auquel il doit répondre (la dépletion des @ ipv4, nombreuses mais certainement pas suffisante pour le futur et qui plus est mal attribuées) et prend en compte le retour d’expérience IPv4 ce qui d’un point de vu technique le rend plus performant (routage plus rapide car pas de calcul du CRC à chaque décrémentation du TTL et fragmentation gérée par les extrémités). La taille du paquet est un peu plus lourde certes… Mais sinon IPv6 et IPv4 sont très similaires. Il ne s’agit certainement pas d’une révolution.
C’est peu être un échec en terme de communication, quoique j’ai du mal en quoi il faut communiquer sur un protocole. Ça devrait rester le travail des a
-
FAIL, je reprends
des administrateurs réseaux qui.
De plus, on entend souvent qu’aucune stratégie de transition n’a été conçue. C’est faux, on en parlait avant l’an 2000. Mais maintenant c’est trop tard pour la transition douce en dual stack.
La dépletion des adresses IPv4 n’est pas un mythe, contrairement à ce que laisse entendre cet article. Freemobile (3 millions d’utilisateurs) n’a reçu que 8000 @IPv4. On est très loin d’avoir une @ par device. Et ça pose problème : quand on fait du NAT, ça revient à partager les ports qui ne sont que 65536, et encore pas tous utilisables.
Puisqu’on parle du NAT, il conviendra de défaire un autre mythe. Mais avant, il est nécessaire de clarifier les termes utilisés. Le NAT est la traduction d’adresse, ce qui ne veut pas forcément dire qu’il y a partage d’@. Ce dont on parle dans cet article et ces commentaires, c’est du NAPT pour Network Address and Port Translation : la traduction se fait sur l’@ ET le port.
Le NA(P)T et IPv4/IPv6 sont différents. On peut très bien faire du NAT avec IPv6 comme avec IPv4 là n’est pas la question.
Le NAT a été rendu obligatoire par le fait que les FAI fournissent une seule adresse aux foyers qui ont potentiellement plusieurs devices. Si les FAI font ça, c’est aussi en partie parce qu’elles n’ont pas un stock illimité d’@.
IPv6, de part la structure de son @, permet de s’affranchir du NAT, mais on peut toujours faire du NA(P)T avec.
La remarque sur le support de SIP/NAT dans le noyau Linux est sans fondement technique. Comprendre : c’est une bêtise
Le SIP utilise TURN/STUN pour faire des trous dans le NA(P)T via un serveur intermédiaire pour pouvoir faire du P2P.De plus, dire que le NA(P)T correspond à 95% des besoins des utilisateurs est une assertion gratuite. Amha, c’est prendre le problème à l’envers. Les utilisateurs ont adoptés des utilisations centralisées (youtube, etc) en partie à cause des problèmes de NAT.
En plus le NAT à un coût extrèmement élevé. D’une part ce coût est supporté par les développeurs d’applications qui doivent implanter STUN/TURN et bricoler pour faire fonctionner le tout. D’autre part, on s’est rendu compte (au niveau opérateur) quand les utilisateurs se sont largement reportés sur MEGAVideo/XXXX au lieu d’utiliser le P2P classique (bittorrent) que ça coutait extrèmement cher et que d’un point de vue économique, le P2P était moins coûteux. Enfin, ça fragilise l’infrastructure d’internet puisqu’on créé des goulets d’étranglement et une trop grande centralisation des données.
Le véritable échec en ce qui concerne IPv6 est l’échec du marché. C’est la victoire de la vision court-termiste. Mais dans 10 ans quand des équipements IPv4 only devront être remplacés pour être compatible IPv6, là on pourra parler des coûts. Regardez ce que Free est obligé de faire pour supporter l’IPv6 alors que leurs DSLAM ne sont pas compatibles avec : du bricolage, certainement plus coûteux à terme. Sans parler des applications qui vont mettre des années à migrer…
Sur cet échec du marché qui est à tord attribué à IPv6, Stéphane Bortzmeyer en parle mieux que moi : http://www.bortzmeyer.org/ipv6-et-l-echec-du-marche.html
D’ailleurs, toute personne prétendant faire du réseau ou des télécoms devrait déjà suivre ce blog :p Ça évite bien des contre-vérités.
-
« De plus, on entend souvent qu’aucune stratégie de transition n’a été conçue. C’est faux, on en parlait avant l’an 2000. Mais maintenant c’est trop tard pour la transition douce en dual stack. »
Mais c’est totalement ce que je disais : si IPv6 était un succès, cela fait bien longtemps qu’on serait en IPv6. Il était prévu qu’on soit tous en IPv6 il y a plus de 10 ans en effet, on voit le résultat aujourd’hui.
La différence entre IPv6 et un politique, c’est qu’on ne peut pas virer IPv6…
-
« La remarque sur le support de SIP/NAT dans le noyau Linux est sans fondement technique. Comprendre : c’est une bêtise
» : bien au contraire, il permet maintenant des implémentations directes sans tous les problèmes de réglages de firewall, mise en place de proxy SIP, etc…Dire que le NAT a un coût extrêment élevé aujourd’hui est idiot. Concernant la remarque pour les développeurs, on pourra la faire pour n’importe quel protocole à la Rfc « non arrangeante » pour les développeurs. Le but d’un protocole réseau ou d’une suite de protocoles n’est pas de faciliter la vie des développeurs, mais de fournir un réseau sécurisé, fiable et performant !
Quant à l’adresse que vous indiquez et que je connais bien, si on peut y lire des articles intéressants, on y trouve aussi des inepties sans nom, par exemple : http://www.bortzmeyer.org/seo-principes.html : page qui montre une totale incompréhension du sujet : je n’aurai pas fait pire sur la plomberie. Il est donc comme toute autre source sur internet, à prendre avec des pincettes en fonction des sujets.
-
Sur SIP/NAT, filez moi quelques références parce que je ne vois vraiment pas de quoi vous parlez.
Je suis resté mesuré, me traiter d’idiot c’est pas cool :/
De plus, c’est méconnaître l’histoire des protocoles réseau que d’affirmer que la sécurité entre en compte dans la conception d’un protocole réseau. En fait, les protos qui ont réussit sont ceux qui ne prennent pas en compte la sécurité (IPv4, TCP, UDP, DNS, HTTP). La sécurité vient après (SSL/TLS, DNSSEC, IPSec).
Le NA(P)T casse le modèle originel d’internet qui est la connectivité de bout en bout. En cela ça déporte la facilité qu’apporte le NAT pour permettre à plusieurs machines d’utiliser une seule IPv4 publique vers le développeur d’applications qui de base ne peut plus faire que des applications NAT-compatibles.
Et merci de ne pas me faire la leçon sur mes sources, j’ai assez d’esprit critique pour me faire une opinion. Il se trouve que Stéphane Bortzmeyer est un expert reconnu. Parfois ce qu’il dit ne plait pas comme cet article par exemple.
-
1) http://lxr.free-electrons.com/source/net/ipv4/netfilter/nf_nat_sip.c
2) Je ne vous ai pas traité d’idiot : J’ai dit que « Dire que le NAT a un coût extrêment élevé aujourd’hui est idiot » nuance !
3) Vous êtes ici chez *moi* ! Même si j’y laisse une grande liberté, j’y fais donc la leçon sur ce qu’il me plaît, quand cela me plaît : vous avez cité cette source sur mon site, je peux donc en dire ce que j’en pense ne vous en déplaise
–
Christophe Casalegno
http://twitter.com/Brain_0verride
http://www.facebook.com/brain.override
-
-
-
-
@Tangui : le seul fait qu’IPv6 soit incompatible avec IPv4 est une ineptie *sans nom* et fait de ce dernier un échec technique !
C’est un échec en terme de communication : pas une absence de communication ! Au contraire cette dernière a été (trop) massive et orientée sur l’urgence au lieu de mettre en avant les avantages du protocole !
-
Dire qu’IPv6 et IPv4 sont (très) similaires, est une aberration sans nom : s’ils étaient (très) similaires ils seraient très certainement compatibles.
Le seul fait qu’IPv6 soit incompatible avec IPv4 est une ineptie *sans nom* et fait de ce dernier un échec technique !
C’est un échec en terme de communication : pas une absence de communication ! Au contraire cette dernière a été (trop) massive et orientée sur l’urgence au lieu de mettre en avant les avantages du protocole !
-
« Dire qu’IPv6 et IPv4 sont (très) similaires, est une aberration sans nom : s’ils étaient (très) similaires ils seraient très certainement compatibles. »
Donc ce qui est similaire est compatible ? Que signifie ce « très certainement » ? Que je sache, un protocole réseau est un science exacte !
Au final, on garde tous les champs (modulo quelques renommages) sauf ceux pour la fragmentation et le checksum (un progrès d’ailleurs) et on change la taille des adresses. On garde le principe de communication de bout en bout. Le localisateur et l’identificateur sont toujours confondus. Et enfin on garde le principe de commutation par paquets. Ces deux protocoles sont similaires ! Mais, il ne sont pas compatibles.
La taille d’un paquet étant fixe, et vu le bazar du à la frag IPv4, ça a été impossible de rendre les paquets IPv6 compatibles avec IPv4, puisqu’on passe d’@ de 32 bits à des @ de 128 bits.
Et le travail de l’IETF est de proposer des normes techniques pour internet, pas de faire la pub. IPv6 répond au problème de dépletion des @ IPv4.
Au fond, IPv6 n’a pas énormément d’avantages par rapport à IPv4. Puisqu’ils sont similaires
-
-
-
-
Bonsoir,
Concernant le NAT et le fait que ça fonctionne très (TRÈS) bien pour alimenter des populations entières, je signale qu’un pays comme la Chine est, du point de vue ‘internet’, un gigantesque NAT (adresses IP en 10.x.x.x à la maison via le câble ethernet directement à l’entrée de l’appartement, adresses en 172.16-31 à l’hôtel) segmenté lui-même par villes ou provinces.
Les débits sont bons et on accède sans problème aux serveurs en dehors de Chine à des vitesses comparables à chez nous. Donc pas de problème pour l’utilisateur lambda à la maison ou dans l’entreprise.
S’il existe un problème de « pénurie » se serait plutôt, me semble-t-il, pour les grosses entreprises « ouvertes sur internet » et qui ont besoin de plus d’une classe C et qui obtiennent des classes B qui, elles, sont démesurées pour leur besoins. Ce me semble être plus un problème d’administration de l’internet que technique (à l’origine, maintenant, bien sûr, pour revenir en arrière et resegmenter des classes B… bonjour l’angoisse).-
Bonjour Gilles,
La Chine n’est pas un gigantesque NAT. Le câble ethernet de votre appart était surement derrière un routeur. Celui de l’hôtel aussi. Par conséquent il s’agissait juste de réseau locaux classique.
Je ne pense pas que vous ayez habité en Chine. Les connexions vers l’extérieur sont bien plus lentes. Ou parfois impossibles (youtube, facebook, twitter, …). Et puis le NAT n’est pas sensé ralentir le traffic (ou alors subrepticement). Donc il n’y a pas de rapport entre la notion de vitesse et le nombre d’@ IPv4 disponible.
-
@Tangui : cela doit faire bien longtemps que vous n’êtes pas allé en Chine, les connexions sont extrêment rapides : ne confondez pas le filtrage de certains sites par les autorités et les capacités du réseau Chinois qui sont devenus très performants.
-
Ça fait 1 an, ça a peut être changé depuis mais à l’époque à Pékin c’était lent vert l’extérieur.
Par contre je me demande si c’était pas à ce moment qu’ils changeaient l’infrastructure de leur great wall.
Si vous avez des infos plus fraîches (des chiffres) je suis preneur, je vais me renseigner de mon côté.
-
Pas plus rapide à Pékin qu’il y a un an.
-
-
-
-
-
-
@Julien : dire qu’un accès derrière un NAT ce n’est pas Internet est ridicule : Tous les connectés à l’adsl derrière une box, sont actuellement derrière un nat ! (leur box !) avec un réseau privé « non routable » en interne.
L’ip ne sert que si nous avons besoin de proposer des fonctionnalitées *serveurs* pas dans le cadre de fonctionnalités client.
Quant à la solution « miracle » : je n’ai pas dit qu’on ne passera pas à IPv6 : Je dis au contraire que c’est une certitude, je dis juste que cette opération a été un échec par rapport à ce qui avait été prévu à l’origine car on a cherché à pousser les gens sur IPv6 pour de *mauvaises raisons*. IPv6 sera (un jour) massivement déployé, mais IPv4 va continuier à fonctionner en parallèle durant de (très) nombreuses années.
-
Pas dans le cadre serveur ou P2P (typiquement un coup de téléphone est du P2P).
Dire qu’avoir du NA(P)T n’est pas internet est excessif. Et comme tout ce qui est excessif est dérisoire…
Il reste que pour certains usages, c’est quand même très embêtant.-
Pour *certains* usages, mais pour la majorité des usages, non seulement le NAT est suffisant mais depuis quelques temps avec la dématérialisation des emails sur les plateforme webmail, un simple proxy web/ftp est suffisant !
-
Pour la majorité, je suis d’accord.
Je suis un geek, donc mes usages sont forcément peu représentatif. Mais desfois, toutes ces règles de filtrages m’embêtent.
On peu également se demander si les boxs et les middleboxs mal configurés ne participent pas à l’ossification d’internet. Aujourd’hui il est impossible de déployer autre chose que ce qui passent sur le port 80 ou 443 en HTTP. On en revient à tunneler tout et n’importe quoi sur HTTP(S) ce qui a un impact sur les coûts bien évidemment. Mais au delà, je pense aussi que ça tue l’innovation. http://www.bortzmeyer.org/home-gateway.html
Surtout que du point de vue sécurité, les NAT bloquent certes les connexions extérieures, au prix de l’utilisabilité, mais on peut se demander si c’est vraiment nécessaire.
Aujourd’hui les vecteurs d’attaque ce ne sont pas des vulnérabilités dans la stack de tel ou tel protocole, mais plus simplement un pdf piégé ciblant une vulnérabilité connue ou non patchée, un 0day ou tout simplement du social engineering. Et ensuite le backdoor sort sagement en HTTPS et personne n’y voit rien. Alors bloquer tout sauf 80/443 ça réduit certes la surface d’attaque, mais ça n’empêche pas un attaquant motivé d’y arriver. C’est à la portée de tout le monde avec de la patience et Metasploit. Mais bon, on bloque tout, sans doute à cause des gars de la sécu trop zélés qu’il faudrait retenir un peu (disclaimer : je travaille dans la sécu). Mais je crois qu’on a glissé vers un autre débat.
Parce que le débat, c’est de casser le mythe du NA(P)T comme élément de sécurité : c’est faux ! Cf le site de bortzmeyer
Et si on ouvre tout, avec IPv6 il devient beaucoup plus compliqué de scanner 64 bits d’@ locale. Si bien sûr on a activé la randomisation de ces bits, par défaut dans Windows (> Seven).
-
Attention : je ne dis pas que cela convient *à tout le monde*, surtout pas aux geeks, et surtout pas à moi ! C’est pour ça que mon bureau est au sein d’un datacenter avec un lien Gb/s direct, avec des ips publiques
Je dis juste que cela convient à la majorité des utilisateurs (ce qui implique que cela ne convient pas du tout, dont moi, à une minorité d’utilisateurs)Concernant les box, là encore il faut séparer les premiers utilisateurs d’internet dont je fais partie, et l’utilisateur moyen qui va sur le boncoin, lit quelques articles en ligne et veut se connecter à son compte facebook.
Concernant les vulnérabilits, les 2 cas existent : l’exploitation des logiciels clients est la plus répandue, parce que cela correspond au profil le plus répandu, mais rooter une machine sans port ouvert ça arrive aussi (d’ailleurs, j’ai déjà vu une bécanne « passive » se faire rooter en exploitant un bug dans l’IDS qui tournait dessus ! (sic !)).
Rien n’empêche un attaquant d’arriver à ses fins : il n’existe aucun système au monde qui soit invulnérable : celui qui prétend le contraire est, au mieux, un ignorant, au pire, un escroc.
A part ça je n’ai jamais indiqué que le NAT était un élément de sécurité, en tout cas pas par définition, je disais que c’est une solution très acceptable (et très utilisée), même pour une entreprise afin d’offrir un accès Internet avec un nombre d’adresses IP publiques réduites.
Concernant la difficulté d’un scan, cela n’empêche pas de suivre tranquillement les logs d’un site web, ou d’un serveur dns, ou autre, au travers d’une page web dans laquelle une applet java adéquate aura été mise en place, afin d’effectuer un ciblage précis. En ce qui me concerne, je me réjouis de l’IPv6 : non pour des raisons techniques, mais pour le nombre affolant de contrats de sécurité qui vont être à prendre sur le marché, et vont faire exploser les prix dans le domaine vu le manque de compétence en France dans ce dernier
-
-
-
-
-
FreeMobile pour prendre un autre exemple a malheureuseent obtenu seulement 8000 adresses v4 et doit donc faire du NAT… Avoir un accès derrière un NAT ce n’est PAS de l’internet, et hormis IPv6, je ne vois pas de solution miracle, en avez-vous ?
-
Longue vie a l’ IPV4 !
-
Santé alors !
31 Comments