IPv6. Histoire. Mesures d'urgences. Proxy NAT NAT. Network Address Translation. Entreprise. Internet

Transcription

1 IP Histoire Années 90: Croissance exponentielle Risque de pénurie d'adresses Prévision d'un épuisement de l'espace d'adressage Arrêt de la croissance en 1994! Initialement Entre 2008 et 2018 En Janvier 1996 Pourcentage d'adresses allouées Class A % Class B % Class C % Problème sur la taille de l'espace d'adressage Mesures d'urgences Proxy NAT Affectation exceptionnelle de la classe B Utilisation de la classe C CIDR (Classless Internet Domain Routing) [RFC 1519] Adresse réseau = préfixe+ longueur de préfixe Moins de gaspillages d'adresses Agrégation Autorisation d'utilisation de plans d'adressages privés Déploiement de NAT (Network Address Translation) Architecture similaire au pare-feu Espace d'adressage public Espace d'adressage privé Proxy: Ces mesures donnent du temps pour développer un nouvelle version de IP : IP Internet Entreprise Network Address Translation > > > > Internet Official address pool entreprise <=> NAT Avantages : Réduit le besoin d'adresses globales Facilite le déploiement de plan privé Transparent aux applications Securité? : filtrage Inconvénients : Sensible au facteur d'échelle Introduit un état dans le réseau: Redémarrage Changement de route Traitement complexe En défaut par rapport à une approche "peer -to-peer" Frein aux nouvelles applications Sécurité? : authentification+ chiffrement 1

2 Pourquoi un Nouveau Protocole IP? Une solution pour les problèmes de croissance: Actuellement la taille de l'internet double tous les 14 mois épuisement des adresses IP explosion de la taille des tables de routage Autres motivations Accélérer le traitement du datagramme Prendre en compte de nouvelles contraintes Faciliter la QoS Routage vers le meilleur serveur parmi un ensemble de serveurs en miroir Pour de nouveaux réseaux Réseaux mobiles Réseaux personnels, domotique Ajouter de nouvelles fonctionnalités Autoconfiguration Multicast Sécurité Mobilité Cahier des charges Adresser un espace (beaucoup) plus grand 10 E+9 réseaux au minimum Routage plus efficace Conserver les principes qui ont fait le succès de IP Corriger les défauts de la version actuelle Résoudre les problèmes qui vont devenir critiques Applications temps réel Multipoint Sécurité... Croissance des tables de routage IP: Quelques Caractéristiques Adresse plus longue : 128 bits (16 octets) Adressage de 340 x 10 e36 équipements Adressage hiérarchique Peut contenir l'adresse MAC (IEEE802) 3 types d'adresses : Unicast Multicast Anycast plus d'adresse de broadcast En-tête simplifié Taille fixe de l'en-tête: 40 octets Augmente l'efficacité de commutation des équipements de routage Nombre de champs réduit de moitié Fonctions liées à l'acheminement Extension de l'en-tête pour les options Les options IP sont placées dans des en-têtes séparés intercalées entre l'en-tête IP et l'en-tête de la couche transport La longueur des options n'est plus limitée à 40 octets introduction aisée de nouvelles fonctionnalités IP: Nouvelles fonctionnalités Autoconfiguration : "plug and play" Gestion de la mobilité Renumérotation facile si changement de prestataire Serveurs d'adresses (DHCP : Dynamic Host Configuration Protocol) SAA : Stateless Address Autoconfiguration (RFC 1971) Multipoint (Multicast) inclus de base Pour les routeurs et les s "scope" = meilleur routage des paquets multicast => Plus besoin de Mbone ni de mrouted "Marquage" des flux particuliers : (Flow Label) Traitements particuliers Applications temps réel Qualité de Service (QoS) Sécurité Authentification Confidentialité Routage à partir de la source Source Demand Routing Protocol IP : En-tête 32 bits Ver. IHL ToS Total Length Identifier flags fragment TTL Protocol Checksum Source Address Destination Address Options Total Length (TL) --> Payload Length Alignement 32 --> 64 bits Fragmentation dans les hôtes 20 Octets 2

3 IP : En-tête 32 bits 5 mots de 64 bits 4 bits 8 bits Vers Class Flow Label Payload Length Next Header Hop Limit 16 bits 8 bits Source Address (128 bits) 40 octets IP: En-têtes optionnelles Hop-by-Hop Header Destination Header Routing Header Fragmentation Header Authentification Header Encapsulating Security Payload Destination Address (128 bits) IP: Extensions En-têtes optionnelles : Ordre IP IP Header Next Header = TCP IP Header Next Header = Routing TCP Header + DATA Routing Header Next Header = TCP TCP Header + DATA Hop by hop Destination Routing Fragmentation Authentication Traîté par chaque routeur Traîté par les routeurs dans l'extension de routage Liste des routeurs à traverser Traîté par la destination Après réassemblage du paquet IP Header Next Header = Routing Routing Header Next Header = Fragment Fragment Header Next Header = TCP TCP Header + DATA Security Destination Upper Layer Chiffrer le contenu de l'information restante Traîté seulement par la destination ICMP [RFC 2463] Nouvelle version de ICMP Distinction des procédures et du format des messages Procédures de test et d'erreurs Message ICMP : fonctionnalités Reprises : Signalement des erreurs Test Configuration automatique Ajouts : multicast group management (ex IGMP) Résolution d'adresse (ex ARP) Nouvelles Procédures Neighbor Discovery (ND) (RFC 2461) Résolution d'adresses Détection d'inaccessibilité (NUD) Autoconfiguration Stateless Address Autoconfiguration (RFC 2462) Stateful Address Autoconfiguration DHCP : Dynamic Host Configuration Protocol (draft) Path MTU discovery (pmtu) (RFC 1981) MTU : Taille maximale du paquet (sans fragmentation) Efficacité de transfert : E/L PMTU : minimum des MTU des liens traversés Plus de fragmentation dans les routeurs Par défaut : 1280 octets 3

4 Plan d'adressage IP Adressage Contraintes Flexible, pour suivre l'évolution du réseau Faciliter le routage en réduisant la table de routage Choix Extension des types d'adresses : Mode de communication Portée de l'adresse Pour la transition Principe CIDR (préfixe / longueur du préfixe) Représentation hexadécimale Les interfaces ont plusieurs adresses IP Représentation des adresses [RFC 2373] Format de base (16 octets) FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 Format compressé FF01:0:0:0:0:0:0:43 => FF01::43 FE80:0:0:0:0:0:0:0 => FE80:: 0:0:0:0:0:0:0: => :: IP : Préfixes La notion de préfixe développée par CIDR est reprise: Adresse IP / longueur du préfixe Exemples : 5F00::/8 5F06:B500::/32 On peut indiquer qu une adresse fait partie d un réseau dont le préfixe est de longueur déterminée (netmask) 5F06:B500:8158:1A00::1/80 Adresses IP Loopback Link local Site local Global 6bone : 3FFE Official : 200x Pour la migration / IP mapped IP compatible 6to4 Unicast Multicast Anycast Espace d'adressage IP Reserved /256 Unassigned /256 Reserved for NSAP Allocation /128 Unassigned /128 Unassigned /128 Unassigned /32 Unassigned /16 Aggregatable Global Unicast Addresses 001 1/8 [RFC2374] Unassigned 010 1/8 Unassigned 011 1/8 Unassigned 100 1/8 Unassigned 101 1/8 Unassigned 110 1/8 Unassigned /16 Unassigned /32 Unassigned /64 Unassigned /128 Unassigned /512 Link-Local Unicast Addresses /1024 Site-Local Unicast Addresses /1024 Multicast Addresses /256 4

5 Adresse Unicast Communication N vers 1 Adressage hiérarchique Localisation du réseau Identification de la machine dans le réseau Subnet prefix Interface ID : A partir de l'adresse MAC : EUI -64 Aléatoire Autres... Interface ID Identifiant EUI-64 Bits : U : universel (unique) G : unicast ou multicast Constructeur ug Numéro de série Constitution à partir d'une adresse IEEE bits 24 bits u g vendor serial number 24 bits 16 bits 24 bits u g vendor 0xFFFE serial number 1 0 vendor 0XFFFE serial number Aggregatable Global Unicast RFC 2374 Topologie du réseau 48 bits 80 bits TLA res NLA SLA Interface ID (EUI-64) TLA Public Topology Private Topology NLA TLA : Top Level Aggregator => (/16) NLA : Next Level Aggregator => (/48) SLA : Site Level Aggregator => (/64) SLA Préfixe : 2000::/3 Déploiement RFC 2450 Attribution d'adresses par les autorités régionales (RIR) Plan d'adressage des RIR Depuis Juillet TLA Sub TLA res NLA* SLA* Interface ID X XXXX X 2001:0000::/ :01F8::/29 IANA X XXXX X 2001:0200::/ :03F8::/29 APNIC X XXXX X 2001:0400::/ :05F8::/29 ARIN X XXXX X 2001:0600::/ :07F8::/29 RIPE-NCC x ::/16 Reserved x ::/16 Sub-TLA Assignments x ::/16 "6to4" x1FFE 3FFE::/16 6bone Testing x1FFF 3FFF::/16 Reserved Exemple : Renater stla alloué : 2001:0660::/ :0660:xxx ::/48 Point accès /35 /41 Sites 2001:0660::/ :0660:0080::/41 NIO Renater :0660:0100::/41 Ile de France 2001:0660:0180::/41 Grenoble 2001:0660:0200::/41 Strasbourg 2001:0660:0280::/41 Rennes 2001:0660:1000::/41 INRIA 2001:0660:1080::/41 FT R&D 5

6 Adresse de Test RFC 2371 TLA du 6Bone: 0X1FFE Préfixe du 6Bone: 3FFE::/16 Attribution de ptla par ngtrans WG G6/FR : 3FFE:0300::/24 Adresse locale Adresse à usage local : link local Interface ID FE80 Non routable Adresse à usage local : site local 3 13 x 32-x FFE ptla pnla SLA Interface ID Subnet ID Interface ID FEC0 Plan de Transition Adresse compatible IP Adresse Multicast Flag Scope Group ID FF IP Address Communication IPV6 par tunnel automatique Adresse IP imbriquée (mapped) FFFF IP Address 80 bits 16 bits 32 bits Flag: T = 0 T = 1 Groupes ID prédéfinis 1 noeuds 2 routeurs T permanente temporaire 9 routeurs utilisant RIP Multicast sollicité FF02::1:FF00:0/ derniers bits extraits de l'adresse unicast IP Pour la résolution d'adresses IP Scope 1 : Node local 2 : Link local 5 : Site local 8 : Org. local E : Global Remarque : multicast sont traduites MAC et mises dans la carte Ethernet. (RFC 2464) MAC et IP Adresse Particulière Adresse de bouclage : 0:0:0:0:0:0:0:1 => ::1 Adresse indéterminée: 0:0:0:0:0:0:0:0 => :: Ne peut jamais être adresse destination 6

7 Neighbor Discovery Nouvelles Procédures Fonctionnalités Résolution d'adresses Détection d'inaccessibilité (NUD) Configuration Localisation des routeurs Découverte des préfixes Détection des adresses dupliquées (DAD) Indication de redirection Configuration pour le routage Router Solicitation (RS) Router Advertisement (RA) la liste des préfixes utilisés sur le lien local (autoconf) une valeur possible de Max Hop Limit (TTL de IP) et la valeur du link MTU Redirect Echanges entre voisins Neighbor Solicitation (NS) Neighbor Advertisement (NA) Résolution d'adresse Principe Requête avec l'adresse de multicast sollicité Réponse en unicast MAC IP NS (sa =FE80::45.. FFFE..12, da= FF02::1:FF..9A) NA (sa =FE80::67.. FFFE..9A, da= FE80::45.. FFFE..12) 45:..:12 33:33:FF:..:12 FE80::45.. FFFE..12 FF02::1:FF..12 MAC IP 67:..:9A 33:33:FF:..:9A FE80::67.. FFFE..9A FF02::1:FF..9A Auto-configuration Rendre les hôtes "plug & play" Apprentissage automatique Au démarrage, le démande ses paramètres : Préfixe Routeur par défaut Nom de domaine Les routeurs doivent être configurés Autoconfiguration sans état (stateless) Auto-configuration IP Stateless Address Autoconfiguration ne s'applique pas aux routeurs Internet Permet à une machine de fabriquer une adresse globale à partir de : son adresse MAC des annonces de préfixes faites par les routeurs Routeur 2. RS 0. Création d'une adresse locale au lien Machine 4. DHCP 3. RA 1. NS Procédure DAD 7

8 Transition De IP vers IP Objectif Connectivité globale quelle que soit la version d'ip Problème de la coexistence des 2 protocoles Tous les routeurs ne passeront pas en même temps en IP Pas de jour J Fin de IP : pas pour tout de suite (jamais?) Introduction progressive A commencé expérimentale et commerciale IP IP & IP IP T0 T1 T2 temps Motivations à la migration complexité IP IP Pénurie d'adresses Nouveaux réseaux (pays, téléphonie mobile, domotique, ) Configuration automatique Nouveaux services sur la base du peer-to-peer Moins de mécanismes de transition Moins de réseaux IP Plus d'applications IP Temps Objectifs de la transition Besoins Construction d'une infrastructure IP Accès à un réseau IP Production de trafic IP Cohabitation avec IP 2 problèmes Service Infrastructure Activités V6fier l'os V6fier l'application V6fier le réseau Méthodes de migration Piles IP Applications Produire du trafic IP Transparent (adaptations simples) Une même application portée gère IP et IP NAT dans l'hôte IP - IP Relais applicatif () Couches réseau RFC 2893 Acheminer du trafic IP Machines à double pile (, V6) Encapsulation de IP dans IP (tunelling) Traduction d en-têtes (IP <--> IP) FreeBSD 4.x : included 3.x : «INRIA», KAME NetBSD: -current : included 1.4.2; «INRIA», KAME Linux 2.2 : included Apple MacOS X : included Microsoft Windows x : Trumpet stack Solaris 8 AIX 4.3 : included Compaq True64 : included Cisco IOS 12.1 Beta, Supported: Q3 8

9 Compatibilité des applications Intégration : traducteurs Adresse IP Imbriquée Passerelle applicative Par ex : une vieille imprimante sans IP server Client Spooler Printer IP application IP application IP IP IP IP ::FFFF: >::FFFF Bump In The Stack (RFC 2767) fier l'application sans recompiler Equivalent à un NAT dans chaque hôte IP application > ffe:305:1002::1->3ffe:305:1002::2 <-> Double Pile Tunnel Les équipements ont une adresse dans chacun des plans d'adressage IP et IP Ils acheminent le trafic IP et le trafic IP IP encapsulé dans IP IP IP Tunnel Automatique Tunnel Automatique Hôte IP isolé Aux début des expérimentations IP Utilise l'adresse IP compatible >ping6 :: trying to get source for :: source should be :: PING :: (:: ): 56 data bytes 64 bytes from :: : icmp6_seq=0 ttl=255 time= ms 64 bytes from :: : icmp6_seq=1 ttl=255 time= ms 64 bytes from :: : icmp6_seq=2 ttl=255 time= ms... IP IP/IP 9

10 Tunnel Configuré 6 To 4 (RFC 3056) IP/IP Une autre manière de construire une infrastructure tunnelée Configuration simplifiée Pas de tunnels configurés Plan d'adressage spécial Préfixe: 2002::/ x0002 IPADDR SLA Interface ID IP IP IP Le préfixe du site est obtenu de l'adresse IP du routeur de bordure Technique transitoire IP IP 2002:0102:0304::/48 6 to 4 Interaction avec le 6-bone DNS Le relais est un routeur avec une interface sur chaque réseau. 6-Bone AAAA for B? B=2002:0102:0304:: B relay relay A A relay Traduction rfc 2765,rfc 2766 Traduction des en-têtes IP <--> IP interopérabilité entre les équipements seulement IP et les équipements seulement IP. redevient très en vogue... avec le NAT! Exemple : Routeurs B et E Traduction d en-tête IP IP IP IP 10

11 Phase 0 : site IP Stratégie de migration web pop IP Internet IP site NAT+ IP only host IP only router IP only network Phase 1 : Routeurs et serveurs en double pile Phase 2 : Clients en double pile / / / web pop / / web pop / IP Internet / IP Internet / site NAT+ router / site NAT+ Hybrid / host Hybrid / router Hybrid / network Phase 3 : Connexion au 6-Bone Phase 4 : hôtes IP IP Internet IP Internet / / web / pop / / web pop / / tunnel 6bone / tunnel 6bone router / site NAT+ configured tunnel only router / site NAT+ configured tunnel IP only host IP only router IP only network 11

12 Phase 5 : Hôtes IP avec des serveurs IP Phase 6 : Site IP ou 6to4 IP Internet IP Internet web proxy / router / router tunnel 6bone web pop 6to4 tunnel 6to4 site router / site NAT+ configured tunnel IP site NAT-PT+ 6to4 router Phase 7 : IP site et Internet IP IP Internet Premières expériences web pop IP site NAT-PT or proxies to IP ISP IP Internet Le 6-bone Structure du 6-bone Premier Réseau IP Réseau expérimental pré-déploiement de l Internet version 6 construit au dessus de l Internet IP tunnel IP pour interconnecter les nuages IP Topologie virtuelle nuages de machines connectés en IP Lancé le 15 Juillet 1996 par 3 sites (WIDE/JP, UNI- C/DK, G6/FR) Aujourd hui : 641 sites & 48 pays Groupe de travail IETF: NGtrans 12

13 Croissance du 6-bone G6-bone Branche française du 6-bone G6: groupe de testeurs/développeurs IPV6 pour l expérimentation française de IP Plates-formes d expérimentations Réunit académiques et industriels Charte du G6 IMAG, UREC, INRIA, ENST-Bretagne, LIP6, Paris 7, Strasbourg,Institut Pasteur, Bull,... Carte du G6-bone Echanges d expérience Diffusion d informations (rédaction d un livre) Participation aux réunions RIPE & IETF Branche française du 6bone Infrastructure de test (G6-bone) Banc d essai pour une infrastructure nationale IP: Bibliographie IP IETF IP WG Associations : Livre Cizault, G. (2002). Ed.: O'Reilly&Associates. IP: Théorie et Pratique Transparents réalisés avec le support du 13