RES240 / RES224 IP: addressage et acheminement

Transcription

1 RES240 / RES224 IP: addressage et acheminement Ahmed Serhrouchni Dario ROSSI dario.rossi@enst.fr 1

2 Plan Principes réseaux Contexte Internet Adressage ARP IP ICMP Routage 2

3 Protocoles de Routage Choix du chemin Plusieurs niveaux RIP, OSPF, BGP Couche réseau Internet Couche Transport : TCP, UDP Couche Réseau Table de routage Protocole IP Adressage Format des datagrammes Acheminement des datagrammes Protocole ICMP Rapport d erreur signalisation Protocole ARP Relie adresses IP et MAC Couche de liaison Couche Physique 3

4 Principes Reseaux Data Situé au niveau 3 par rapport au modèle OSI Distingué réseaux circuits et réseaux données Mettre en relation des équipements qui ont ou pas un lien physique directe entre eux. Optimise dans tous les cas le nombre de liens physiques Multiplexage (partage des liens physiques) Topologie maillée Plan d adressage logique et globale Niveau d abstraction Interface logicielle Décorollation des rythmes: application <> infrastructure Signalisation out 4

5 Contexte : Internet Internet Une architecture et un empilement de protocoles (profil) pour construire des réseaux étendues (WAN = plus étendus) Solution et architecture ouverte Base technologique fondée en début 1970 Expérience ARPANET débuté fin 1969 Evolution permanente (cf. IETF) Format de base : IP (Internet Protocol) Tous les paquets Internet sont codés en IP 5

6 Internet : IETF Processus d émergence d un protocole Structure : IETF (Internet Engineering Task Force) WG (Working Group) informel par thème Réunions 3 fois par an Libre proposition de draft Principe d accord sur un protocole Large consensus Working code Concrétisation d un protocole Tests réussis de l interaction entre 2 implémentations indépendantes 6

7 Modèle Architecture (1/3) OSI 7-5 INTERNET APPLICATIONS telnet, ftp, smtp, http,. 4 TCP UDP 3 ICMP IP RIP Interface (ARP/RARP, etc) Lien pt-à-pt (Ethernet, ATM, etc) Physique 7

8 Modèle Architecture (2/3) Internet Infrastructure définie à partir de la couche 3 (OSI) Indépendance vis-à-vis des moyens physiques de transfert de données (liaisons) Tout type de lien peut être candidat Ethernet, ADSL, ATM, Token Ring, , etc Toute machine peut s insérer dans Internet avec une pile de protocole et un lien qui lui permet de se raccorder à une station déjà existant dans Internet Un seul protocole couche 3 : IP Un seul service couche 3 : Datagram Best-Effort 8

9 Modèle Architecture (3/3) Deux protocole couche 4 : TCP, UDP TCP : service orienté connexion : transfert fiable de bouten-bout UDP : service datagram (même qualité que IP, mais au niveau 4, c est-à-dire à l interface avec la couche appli) Couche application Pas de couches 5 et 6 explicites Fonctionnalités intégrées des protocoles 9

10 Composition Internet = union des sites internet (Autonomous Systems) Un site AS Au moins une passerelle (gateway) Possibilités de passerelles multiples Un certain nombre de machine hôte (host) Liens entre passerelle et hôtes : libre Ethernet, Modem, etc. Interconnexion entre site Liens entre passerelles Rôle de passerelle : routage Passerelle == routeur (router) 10

11 Adresse IP Format Classes CIDR 11

12 Adressage IP Proprieté Propre au réseau Internet Acheminement Contient l information de localisation Identification Unicité à travers le Monde Associé à chaque Interface réseau (lien physique) Un même hote(interface) peut avoir plusieurs adresses Conséquence: un routeur (plusieurs liens par définition) possède (au moins) autant d adresses IP que d interface Format : Taille fixe 4 octets (32 bits) à notation décimal pointé A.B.C.D. Exemples :

13 Structure (1/3) Principe : découpage en deux parties Une première partie d identification globale (Net-Id) Une seconde partie d identification locale (Host-Id) Structure : Net-Id (global) + Host-Id (locale) Exemple Dans : désigne le réseau ENST, désigne une station specifique au sein de ce réseau Conséquence pour le routage Tous les paquets ayant comme destination x.y vont dans la même direction Une seule entrée dans la table de routage À comparer avec la gestion des adresses MAC (adresses «plates») dans des ponts une entrée pour chaque hote: ne passe pas à l echelle 13

14 Structure (2/3) Évolution de la structure au fil des années Application itérative du principe de découpage: Au sein d un réseau donné, découpage de l espace «identification locale» Structure : Id. Réseau + [Id. Sous-réseau + Id. Hôte] Exemple : le réseau possède un espace local sur deux octets (64 K!) Hypothèse de travail : division en 256 sous-réseaux avec 256 adresses chacun Adresse = Hôte #18 du sous-réseau # 52 Net-Id = unicité mondiale Host-Id =espace local Net-Id = unicité mondiale SubNet-Id Host-Id 14

15 Structure (3/3) Intérêt : Faciliter l organisation (découpage administratif) Facilite le routage Remarques Principe applicable itérativement Précision : l espace des identificateur = contigu Interdiction d avoir Subnet-Id entouré de Host-Id ou vice versa Comment on reconnaît la separation de Net-Id/Subnet-id? utilisation de Masque (cf plus loin) 15

16 Les classes (1/3) Addressage avant les masques Classe A Net-id Host-id Classe B 1 0 Net-id Host-id Classe C Net-id Host-id Classe D Classe E Adresses Multicast Expérimental (réservé) Un prefix specifique decide le decoupage, pas besoin de masque associé à un addresse! 16

17 Les classes (2/3) Définition initiale: 3 classes d adresses individuelles 1 classe d adresses multicast 1 classe (espace) réservé Classe A: TRES grands réseaux (16 M stations /réseaux) 126 réseaux au total (127.x.y.z = usage spécial) De à Exemples : (Apple), (MIT), > hint: HAL9000, du celebre film de S. Kubrick 17

18 Les classes (3/3) Classe B : Réseaux de taille «raisonnable» : 64 K stations/réseaux (2 14 ) réseau De à Exemple : (ENST) Classe C : Réseau de taille faible : max 255 addresses Beaucoup de réseux (2 Millons, = ) De à Classe D : multicast Classe E : réservé 18

19 Adresse multicast De à Utilisé par les applications multicast Multicast = l envoi d un seul paquet pour destinataires multiples Ne respecte pas la structure Net-Id+Host-Id Une adresse Multicast = un label regroupant une liste d adresses IP individuelles Cf. RFC 1700 (10/94) pour une liste des adresses Exemples «application» Routage RIP v2 Television sur IP dans reseaux avec offre triple-play Adresse multicast :

20 Fin des classes, passage au masques Phénomène Classe B : classe d adresses préférée Simplicité de decoupage, sous-utilisation potentielle Classe C : trop petite Difficulté d agregation, et gestion de different plages Consequence: remise en question des classes Remise en question des C uniquement Compatibilité Solution: «casser» la barrière Net-Id/Host-Id sur un octet entier Prermettre longueur variables de champ Host-Id = 9, 10, 11 bits Précision : Net-Id = bits contigu Flexibilité dans le choix du decoupage => Réseau «C» de tailles raisonnable grandes possible 20

21 CIDR Classless Internet Domain Routing (RFC 1338) Abolition des classes (classe C surtout) Résoudre le problème de «pénurie» Notation pour la longueur du Net-Id Exemple : /16 Règles d attribution des blocs contigus d adresses par localisation géographiques Diminuer le nombre d entrée dans des (grands) routeurs Situation avant : Attribution non contrôlée Deux réseaux «voisins» dans l espace des adresses peuvent se retrouver sur deux continents different 21

22 Masque (1/2) Nécessité de reconnaître le Net-Id (y compris SubNet-Id) et le Host-Id càd, reconnaître la frontiere entre les deux Solution technique : utilisation d un masque pour definition de la frontiere Masque : séquence binaire de 32 bits dont les N premiers bits valent 1 et le reste 0 N: longueur de Net-Id Notation : adresse réseau / N Exemple : /16 Masque = toujours associé à un réseau M = Idée : par une opération AND avec un address IP, faire apparaître uniquement la partie Net-Id 22

23 Masque (2/2) Procédé Objectif : vérifier si une adresse a (ici : ) appartient (a pour Net-Id) au réseau de l ENST (N=16) M = Opérations D= a AND M = D différent du Net-Id de l ENST Conclusion A n appartient pas au réseau ENST A n est pas à être dirigé vers le réseau ENST 23

24 Adresses particulières (1/2) (en général) : loopback, localhost Tout trafic retourné dans sa propre entité Communication inter-processus sur la même machine Application: test de logiciels de communication Simplification: une seule interface (e.g., X11) Les paquets ne passent pas sur la carte MAC mais restent dans le stack software TCP/IP : machine sans adresse Comme source: designe cet hote dans ce reseau (qui ne connaît pas son addresse) Comme destination: pas valable Station sans disque qui utilise RARP La route par défaut (route add) Adresse réseaux (Net-Id) Comme source: designe un sous-reseau Comme destination: pas valable Partie Host-Id = 0 Exemple :

25 Adresses particulières (2/2) Addresse diffusion (broadcast) : Comme source: pas valable Comme destination: tous les hotes d un sous-reseau Partie Host-Id = 1 Exemple : Ce serait pour tout l ENST (!) Adresses réservées aux réseaux privés (RFC1918) Classe A : Classe B : à Classe C : à Remarque: le trafic d un réseau privé Intranet ne se mélange pas par définition avec celui du reseau public Internet Remede: Network Address Translation (NAT) 25

26 Acheminement Deux machines A, B sur le meme sous-reseau: Directement livrable au niveau MAC Une seule trame: (SrcMAC, DstMAC, SrcIP, DstIP) = A, B, A, B Deux machines A, B sur deux reseaux differents: Acheminement IP necessaire Au depart, A envoye la trame à son default gateway G, connu par son addresse IP (SrcMAC, DstMAC, SrcIP, DstIP) = A, G, A, B G relaye vers le routeur R du prochain saut (determiné grace au tables de routage) qui lui est adjacent à niveau MAC (SrcMAC, DstMAC, SrcIP, DstIP) = G, R, A, B Au saut final, le dernier routeur Z livre à B (SrcMAC, DstMAC, SrcIP, DstIP) = Z, B, A, B Dans les deux cas, besoin de relier addresses MAC et IP 26

27 ARP Principe Procédé RARP 27

28 Position du problème Une entité IP = identifiée par une adresse IP Internet = un monde «virtuel» basé sur des liens physiques Transmission sur un lien physique Besoin d identifier le récepteur physique correspondant Nécessité d une résolution d adresses établit un lien entre Addresses IP et Addresses MAC Procédé général : liste de correspondance Sur un médium à diffusion (Ethernet en particulier) : résolution automatisable Le protocole ARP 28

29 ARP Address Resolution Protocol (RFC826) Développé initialement pour Ethernet, objectif : Trouver une adresse MAC en partant d une adresse IP Scenario : Deux stations IP, A et B, sur le même segment Ethernet. A veut envoyer un datagramme à B. A connaît bien sûr Adrs IP de B, mais pas son adresse Ethernet Problème : Comment faire pour l obtenir (automatiquement) Procédé ARP A diffuse (adresse DA = FFFFFF) une trame de réclamation (type de cette trame = 0x0806) qui contient l adresse IP de B en particulier Toutes les machines du réseau local reçoivent la requête. Seul B répond à A en lui donnant son adresse Ethernet. Le problème est ainsi réglé 29

30 ARP : Cache ARP procède par diffusion Procédure lourde Délai supplémentaire Mise en cache des correspondances trouvées par ARP Avantage Moins de trafics Moins d accès (donc de risques de collision) Délai plus court Remarque: Gratuitous ARP Hote configuré avec addresse IP, effectue un ARP request pour son adresse IP «gratuitement» au boot, pour remplir le cache des autres verifier que personne d autre n ait le meme adresse 30

31 ARP : Proxy Proxy = Agent = (ici) un routeur Scénario : Idem précédent sauf A et B sont sur deux segments! B ne pourra jamais répondre à la trame ARP Le routeur doit répondre à la place de B Critère : comparaison de l appartenance de l adresse IP de B à ce sous-réseau, condition necessaire au relay du ARP request Conséquence Le routeur devient un agent (proxy) de B Il attire vers lui le trafic vers B, et, d une manière générale, le trafic sortant. 31

32 RARP Reverse Address Resolution Protocol (RFC903) Problème dual de ARP Obtention d une adresse IP Utile pour les machines n ayant pas de mémoire non volatile Même procédé que ARP Diffusion d une trame (type = 0x8035) Seul le Serveur RARP répond avec une adresse IP Remarque: Pas utilisé à ce jour, substitué par BOOTP et DHCP 32

33 IP Principe Format Fonctionnalité 33

34 Généralités IP = Internet Protocol (RFC 791) Correspond à la couche 3 de l' OSI Service = Datagram Communication non fiable «Socle» de Internet Unique format pour les échanges de données dans Internet Mode de fonctionnement : Best-Effort Jusqu à épuisement des ressources (BP, CPU, RAM) Pas de réservation de ressources Solution simple et économique Pas de garantie de QoS (Qualité de service) 34

35 Format des paquets Version IHL Type of Service Total Length Identification Flags Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Options Padding

36 Format Organisation par lot (ligne) de 32 bits En-tête de taille variable Longueur variable en fonction des options Longueur toujours mutliple de 32 bits Longueur min (la plus courante) = 20 octets Longueur max = 60 octets (15*32 bits) Taille paquet Max. (théorique) : 64 Ko En pratique, on utilise une taille supporté nativement par la sous-couche LLC du niveau Lien 36

37 Les champs (1/2) Version du protocole IP (IPv4) 4 (sauf si nouvelle génération IPv6, encore peu utilisé) IHL (Longueur de l'en-tête): en mots de 32 bits Important pour detecter le debut du segment TCP/UDP Min : 5 (sans d'option), Max: 15 Type of service (TOS) => devenu DSCP (cf. TOS->DSCP) Longueur totale du "fragment" sur 16 bits Longueur totale en-tête + données Taille max. = 64 Ko Champ permettant de délimiter le paquet IP dans Ethernet distinction infos utiles / infos de bourrage 37

38 Les champs (2/2) Identification+Flag+Offset cf Fragmentation Un datagramme IP etre decoupé en plusieurs morceaux dans son trajet de bout en bout Time to Live (TTL): cf. TTL crédit de traitement Protocole : Identifie le protocole de niveau supérieur, important pour la decapsulation (demultiplexage du protocole de niveau transport) 1 : ICMP, 2 : IGMP, 6 : TCP, 17 : UDP Somme de contrôle de l en-tête: détection d'erreurs Options : facultatif longueur variable (rajout de bourrage pour avoir n*32 bits) Détails dans RFC

39 TOS -> DSCP ToS : objectif initial : options de gestion (RFC1394) 3 bits LBS : Précédence (priorité du datagramme) Pas utilisé 5 bits MSB (dernier non utilisé) 4 drapeaux pour le choix du lien délai court (telnet,ftp), débit élevé (ftp), fiabilité (snmp) et coût faible (nntp). Défaut : Devenu : DSCP = Diffentiated Service Code Point Les 6 LSB : définir jusqu à 32 classes de services Gestion avec l approche Service différencié (par classe) Les 2 MBS : non utilisées 39

40 Fragmentation : principe Fonctionnalité de base de la couche 3 Liens de «gabarits» différents a priori Opération : Fragmentation /Restitution à la source: préférentielle mais pas toujours prévisible (MTU discovery) Dans le réseau: solution évidente mais pas très efficace Donc, suivre le principe de complexité au bord du reseau Reassemblage/Restitution Jamais dans le réseau donc pas par les routeurs IP Toujours chez le récepteur final mais toujours par la couche IP 40

41 MTU Maximum Transmission Unit (MTU ) Taille max du datagramme qu un lien puisse transporter MTU définie par lien MTU Ethernet = 1500 octets MTU minimal sur Internet >= 576 octets Procédure de découverte de MTU dans Internet Basé sur ICMP et les champ Fragmentation de IP 41

42 Fragmentation dans IP (1/2) Trois champs Identification : référence au datagramme initial. Utilisé par le récepteur pour la reconstitution du datagramme. Les fragments auront le même identification Side effect: on peut identifier des datagrammes dupliqués par le reseau IP Flags 3 bits dont 2 utilisés : (0, DF, MF) DF : Don't Fragment (interdiction de fragmentation) MF : More Fragment (fragment NON terminal) 42

43 Fragmentation dans IP (2/2) Offset: Positionnement relatif dans le paquet initial Multiple de 8 octets, sur 13 bits (taille paquet es sur 16 bits) Exemple : Un datagramme 1500 B est acheminé sur un lien MTU=572 Le datagramme doit etre fragmenté en trois fragments F1 : MF=1, offset = 0 F2 : MF=1, offset = 69 (= 552/8) F3 : MF=0, offset = 138 (=69*2) Fragmentation intermédiaire non désirées Faire travailler le routeur, pas efficace Fragmentation à la source recommandée Découverte de MTU minimal sur le chemin 43

44 Fragmentation : Exemple Réseau 1 MTU = 1500 R Réseau 2 MTU = octets F1 552 octets En-tête = 20 octets F2 F3 552 octets 396 octets 44

45 Time To Live (TTL) Principe: IP : datagramme -> électron libre après émission Nécessité d éliminer les paquets tournant en rond À cause des risques de boucles en cas de problèmes de routage Idée de départ: Limitation exprimé en temps Moins facile à exploiter qu un crédit Utilisation actuelle: crédit de poursuite du routage Décrémentation (de 1) par chaque routeur intermédiaire Détruire le paquet (par le routeur intermédiaire) si TTL=0 un message d'erreur est renvoyé à l'émetteur. Remarque: Un routeur doit re-computer le checksum à chaque étape, car TTL change Le checksum peut être calculé de façon incrémentale (donc, avec simple calcul à partir du checksum précèdent) 45

46 IP : en guise de conclusion Une solution éprouvée (vu le volume du trafic IP ) Quelques défauts En-tête variable Examen systématique de IHL, meme si majorité a IHL=5 Calcul de checksum de l en-tête Calcul simple Consommateur CPU, meme si CPU de plus en plus puissant Parfois executé par les carter Ethernet (Checksum offloading) Violation des principes de couche Capacité de gestion limité ToS -> DSCP évolution récente (mais déjà pérdente) Possibilité très limités d étendre/faire évoluer les options vers IPv6. 46

47 ICMP Principe Format Fonctionnalités Usages 47

48 Généralités ICMP = Internet Control Messages Protocol Compagnon de IP (fonctionne ensemble) Protocole de signalisation Utilisé pour IP Operation and Management (OAM) Transmis via un paquet IP (protocol type = 1) Deux catégories de messages Query : Information diverses Génération suivant besoins Error : Signalisation d erreur Génération suite au constat d une erreur (e.g., perte de paquet, mauvaises configuration de routage,.) 48

49 Format 0 type code checksum contenu dépendant du type et du code 49

50 Règles pour ICMP Error (1/2) Possibilités Reseau joignable, hote joignable, protocole transport pas implementé sur l hote destination Reseau joignable, hote joignable, aucun daemon à l ecoute derrière le port du niveau transport specifié par la source Reseau joignable, hote pas joignable Reseau pas joignable Reseau joignable par parcours plus simple A envoie un datagramme à B en passant par G G doit passer par R, qui est directement relié à R G achemine le datagramme et envoye une redirection à A A crée (sur la base du message ICMP d erreur) une host specific route pour B qui passe par R, utilisé dans la suite 50

51 Règles pour ICMP Error (2/2) Pas de génération de ICMP Error pour la perte de un autre message ICMP Pour ne pas tourner en round un paquet destiné à une adresse broadcast un paquet dont l expediteur n a pas une adresse unique (adresse zéro, bouclage, adresse broadcast) ICMP serait envoyé à tout le monde sinon! un fragment autre que le dernier En general, insertion des info (les en-têtes) dans le contenu l entête IP (du message precedent qui a causé l erreur) les 8 premiers octets du protocole supérieure (e.g. entete TCP du msg prec; cela correspond au port utilisés par le protocole de niveau transport) 51

52 Les Message : type/code/description 0 0 réponse echo (ping) 3 destination inaccessible 0 réseau inaccessible 1 machine inaccessible 2 protocole inaccessible 3 port inaccessible 4 fragmentation nécessaire 5 échec de la route source 6 réseau de destination inconnue 4 0 débit trop élevé 5 0 redirigé 8 0 requête echo (ping) 9 0 avertissement du routeur 10 0 sollicitation du routeur 11 temps dépassé: 0 TTL vaut 0 pendant le transit 1 TTL vaut 0 pendant le réassemblage 12 problème de paramètre 0 mauvaise entête IP 1 option requise manquante 13 0 requête timestamp 14 0 réponse timestamp 17 0 requête de masque d adresse 18 0 réponse du masque d adresse 52

53 Echo/Ping Exemples Couple Eho Request (0), Echo Reply (8) Visibilité applicative : PING Usages divers Test si la machine distante est en activité Métrologie (mesure du délai allée-retour) Découverte MTU Envoy d un paquet assez long avec DF=1 Retour ICMP 3 /4 (fragmentation nécessaire) avec MTU checksum Unused (0) Next-hop MTU Header IP + 64bits of IP payload 53

54 Traceroute (1/2) Application basée sur ICMP But: découvrir les routeur traversés entre deux hôtes A, B Principe : forcer les routeurs à se «démasquer» en envoyant un ICMP avec un TTL spécifique Boucle commencée avec TTL=1 Premier routeur démasqué et ainsi de suite Même processus répété trois fois par étape Boucle continue avec TTL++ On peut ainsi découvrir la suite des routeurs Processus s arrête lors de réception d un ICMP 3/3 Un port fictif est choisi express pour forcer ICMP 3 / 3 (port unreachable) par le destinataire 54

55 Traceroute (2/2) 1 toutatis-local.res.enst.fr ( ) 2 ms 2 ms 2 ms 2 panoramix-bbone.enst.fr ( ) 2 ms 2 ms 2 ms Routeur qui ne repond pas avec ICMP error reply 3 enst-paris.rerif.ft.net ( ) 2 ms 3 ms 2 ms 4 danton1.rerif.ft.net ( ) 179 ms 132 ms 109 ms 5 stlamb3.rerif.ft.net ( ) 107 ms 229 ms 183 ms 6 stamand1.renater.ft.net ( ) 159 ms 75 ms 63 ms Requete et/ou reponse ICMP perdue 7 stamand3.renater.ft.net 55