Tutoriel sur IPv6. Pourquoi une nouvelle version du protocole IP? JRES 2001, 10 décembre JRES01 / Tutoriel IPv6 2 JLR/LS

Transcription

1 Tutoriel sur IPv6 JRES 2001, 10 décembre Pourquoi une nouvelle version du protocole IP? JRES01 / Tutoriel IPv6 2 1

2 L épuisement des adresses IPv4 (source en décembre 2001) Utilisation de l'espace d'adressage IPv4 en fractions de 1/ Années JRES01 / Tutoriel IPv6 3 Mesures d urgence Allocation exceptionnelle de réseaux de classe B Réutilisation des adresses de classe C CIDR (Classless Internet Domain Routing) NAT et adressage privé (RFC1918) JRES01 / Tutoriel IPv6 4 2

3 Conséquence des mesures d urgence Force les plans d adressage privés Les adresses sont utilisées en interne Ressemble à une architecture de sécurité avec firewall Utilisation de proxy ou NAT pour sortir RFC 1631, 2663 et 2993 JRES01 / Tutoriel IPv6 5 Aspects technologiques du protocole IPv6, et nouveautés par rapport à IPv4 JRES01 / Tutoriel IPv6 6 3

4 En-tête IPv4 32 bits Ver. IHL DiffServ Total Length Identifier flags fragment TTL Protocol Checksum Source Address Destination Address 20 Bytes Options JRES01 / Tutoriel IPv6 7 IPv6 : simplification de l en-tête 32 bits Ver. DiffServ Payload Length Flow Label Next Header Hop Limit 5 words Source Address 40 Bytes Destination Address JRES01 / Tutoriel IPv6 8 4

5 Structure des adresses IPv6 JRES01 / Tutoriel IPv6 9 Schéma d adressage Les adresses de 128 bits permettent une organisation hiérarchique la flexibilité lors des évolutions de réseau adressage sans classe (idem CIDR) adresse réseau := <préfixe> / <longueur préfixe> 3FFE:302:12::/48 3FFE:302:12:2:a00:20ff:fe18:964c/64 l Aggrégation réduit la taille des tables de routage notation numérique hexadécimale une interface a plusieurs adresses IPv6 JRES01 / Tutoriel IPv6 10 5

6 Adresses IPv6 Loopback ::1 Link local Site local FE80::. FEC0::. Global 6bone : 3FFE Officielles : 200x IPv4 mappées IPv4 compatibles 6to4 : 2002:: Unicast Multicast Anycast Spécifiques à l intégration IPv4/IPv6 JRES01 / Tutoriel IPv6 11 Adresses IPv6 (2) 48 bits 80 bits 001 TLA NLA SLA 3 bits 13 bits 32 bits 16bits Topologie Publique Interface ID 64 bits EUI64 Topologie Privée TLA : Top Level Aggregator => (/16) NLA : Next Level Aggregator => (/48) SLA : Site Level Aggregator => (/64) JRES01 / Tutoriel IPv6 12 6

7 Autres améliorations Amélioration du support de la sécurité (IPsec) de la mobilité Amélioration de la gestion des flots Auto-configuration JRES01 / Tutoriel IPv6 13 Options v4 vs. extensions v6 A R1 options IPv4 : analysées par chaque routeur ralentit les paquets. extensions IPv6 : (sauf Hop-by-Hop) sont traitées par le seul matériel concerné (la destination). B JRES01 / Tutoriel IPv6 14 7

8 IPv6 en-têtes optionnelles IPv6 Header Next Header = TCP TCP Header + DATA IPv6 Header Next Header = Routing Routing Header Next Header = TCP TCP Header + DATA IPv6 Header Next Header = Routing Routing Header Next Header = Fragment Fragment Header Next Header = TCP TCP Header + DATA JRES01 / Tutoriel IPv6 15 Auto-configuration : mécanisme Internet Routeur RS host Créer link local Exécuter DAD Envoi d un RS à une adresse Multicast Récupérer les préfixes Définir le routeur défaut RA (DNS Dynamic Update) JRES01 / Tutoriel IPv6 16 8

9 Router Renumbering (prévu) Permet de changer les adresses et les préfixes annoncés par les routeurs Neighbor discovery propage la reconfiguration aux machines feuilles Plusieurs actions prévues (envoi de multicast aux routeurs: Changer un (ou une famille de) préfixes ajouter des préfixes Besoin de sécurité (IPSec, anti-rejeu) JRES01 / Tutoriel IPv6 17 DNS JRES01 / Tutoriel IPv6 18 9

10 Enregistrements IPv6 RR : nouveaux types d enregistrement A AAAA $ORIGIN mew.org. ftp IN AAAA 3ffe:501:8:1234:260:97ff:fe40:efab PTR PTR in-addr.arpa ip6.int $ORIGIN e.f.f.3.IP6.INT. b.a.f.e.0.4.e.f.f.f IN PTR ftp.mew.org. JRES01 / Tutoriel IPv6 19 Serveur DNS bind > (8.2.5 actuellement) AAAA & PTR support (contents) RR v6 mais transport v4 uniquement bind v9 (9.1.3 actuellement) AAAA, A6, PTR, DNAME RR et transport v6 et v4 JRES01 / Tutoriel IPv

11 APIs getaddrinfo() recherche directe hostname adresses ( sockaddr_in* ) remplace gethostbyname() en utilisant la famille AF_UNSPEC, les applications sont protocole indépendant getnameinfo() recherche inverse adresse ( sockaddr_in* ) hostname remplace gethostbyaddr() JRES01 / Tutoriel IPv6 21 Protocoles de routage RFC 2080 (PS) : RIPng RFC 2858 (PS) : BGP4+ RFC 2740 (PS) : OSPF v3 draft-ietf-isis-ipv6-02.txt: IS-IS RFC 2545 (PS) : basé sur MBGP Extension multi-protocoles de BGP => Pas de différences majeures avec IPv4 JRES01 / Tutoriel IPv

12 Aller vers IPv6 JRES01 / Tutoriel IPv6 23 Transition ou Intégration? Les conditions Pas de jour J Persistance longue d IPv4 Pas d application «tueuse d IPv4» Coexistence longue entre IPv4 et IPv6 JRES01 / Tutoriel IPv

13 Étapes de migration v6fier le réseau v6fier les systèmes v6fier les applications Maintenir la communication entre les deux mondes au niveau client/serveur au niveau IP pour tout l Internet JRES01 / Tutoriel IPv6 25 L existant : routage Cisco : IOS 12.2(2)T Ericsson 6Wind : tout produit Nortel Telebit Juniper Logiciel Zebra : Ripng, Ospf v3, Bgp4+ JRES01 / Tutoriel IPv

14 L existant : accéder à IPv6 Réseaux IPv6 : 6bone/G6bone, Renater IPv6, opérateurs (?), Accès natif, ATM, ou par tunnels sur IPv4 configurés entre routeurs. Connexion en utilisant infrastructure IPv4 Tunnels à la demande : Tunnel broker 6to4 6over4 JRES01 / Tutoriel IPv6 27 Réseau G6bone Q2/2K Lille 3ffe:307::/32 Brest Rennes 3ffe:305::/32 Caen Paris Strasbourg Nancy 3ffe:303::/32 3ffe:304::/32 Colmar Belfort Nantes 6Bone 3ffe:308::/32 Bordeaux G6= 3FFE:0300::/24 3ffe:306::/32 Montbonnot Grenoble 3ffe:302::/32 Sophia JRES01 / Tutoriel IPv

15 Réseau pilote IPv6 Renater Lille 6bone Brest Other IPv6 Networks 6TAP Rennes FT R&D Nantes Caen Paris Sfinx G6bone Nancy Strasbourg Loria Belfort INRIA Colmar Grenoble Euro-IPv6 Sophia JRES01 / Tutoriel IPv6 29 L existant - piles et applications FreeBSD : 4.x NetBSD : 1.5 Linux : 2.4 Apple : MacOS X Microsoft : Windows NT, 2000, XP developer Solaris : 8 AIX : 4.3 Compaq : True 64 Web Internet Explorer, mozilla, apache, squid Langages C(API libc), java, perl, python Connectivité telnet, ftp, ssh, rlogin, lpd(unix) Mail sendmail, popper, clients (?)... JRES01 / Tutoriel IPv

16 Mécanismes de cohabitation Exemples de mécanismes en fonction de leur positionnement Applications Noyau système Relais applicatifs, mandataires Relais TCP/UDP & SOCKv6 Bump in the API, Bump in the stack Dual Stack Dual Stack Transition Mechanism Traducteurs d adresses SIIT NAT-PT JRES01 / Tutoriel IPv6 31 Mécanismes de transitionintégration : Étude d un cas générique 16

17 Situation initiale : site IPv4 seul v4 NFS v4 web pop routeurs client v4 Internet IPv4 client v4 Site IPv4 routeurs Routeur de sortie NATv4+ ALG JRES01 / Tutoriel IPv6 33 Situation cible: connexion au 6bone Internet IPv4 v4/v6 NFS web pop v4/v6 client client v4/v6 Routeurs v4 / v6 tunnel Réseau IPv6 client v6 Site v4/v6 Router v6 Routeur de sortie NATv4 ALG tunnel configuré JRES01 / Tutoriel IPv

18 Niveau réseau Demande de préfixe au G6bone Installation des routeurs IPv6 Installation d un DNS avec RR de type AAAA et PTR (Bind >4.9.4 ou v9) Configuration d un tunnel (IPv6 dans IPv4) du routeur de bord vers le G6bone (+ route par défaut ou BGP4+) JRES01 / Tutoriel IPv6 35 But final : intégration IPv4 / IPv6 Internet IPv4 v4/v6 NFS v4/v6 web pop Routeurs v4 / v6 client v4/v6 client tunnel 6bone client v6 Site v4/v6 Router v6 Routeur de sortie NATv4 ALG tunnel configuré Intégration v4/v6 : par exemple DSTM JRES01 / Tutoriel IPv

19 Dialogue niveau machines Serveur Client v4 v4/v6 v6 v4 v4 natif v4 natif Intégration v4/v6 v4 natif v6 natif v6 natif v6 Intégration v6 natif v6 natif Méthodes d intégration v4/v6: Dual stack (IPv4 ET IPv6) DSTM : Dual Stack Transition Mechanism... JRES01 / Tutoriel IPv6 37 Dual Stack Transition Mechanism Piles IPv4 et IPv6 La pile IPv4 n est configurée que si une ou plusieurs applications le nécessitent Pas de réseau interne IPv4 nécessaire Trois cas 1/ Session sortante (v6 v4) 2/ Session entrante (v4 v6) 3/ Applications v4 (dans un nuage v6) Combinaison des scénarios 1 & 2 Génère du trafic v6 depuis des applications v4 JRES01 / Tutoriel IPv

20 Scénario 1: hôte v6 vers hôte v4 DSTM DNS DNS X Y Z L application sur X utilise l adresse v4 de Z et remonte au noyau un paquet v4 L interface demande au serveur DSTM une adresse v4 src Le serveur DSTM renvoie les adresses X4 et Y6 JRES01 / Tutoriel IPv6 39 Scénario 1: hôte v6 vers hôte v4 DSTM DNS DNS X Y Z X encapsule le paquet v4 dans un paquet v6 pour Y Y décapsule le paquet v6 et envoie la paquet v4 à Z Y conserve la mémoire de l association des adresses v4 et v6. En réponse Z envoie à Y qui retransmet à X JRES01 / Tutoriel IPv

21 Scénario 2: hôte v4 vers hôte v6 DSTM DNS DNS X Y Z L application sur Z demande l adresse v4 de X La demande échoue, le serveur DSTM alloue une adresse v4 temporaire à X JRES01 / Tutoriel IPv6 41 Scénario 2: hôte v4 vers hôte v6 DSTM DNS DNS X Y Z Le paquet v4 est routé vers Y Y demande au serveur DSTM l adresse X6 correspondant à X4 Y encapsule le paquet v4 dans un paquet v6 et l envoie à X JRES01 / Tutoriel IPv

22 DSTM Invisible depuis les applications utilisant des adresses v4 dans les données Le réseau est configuré uniquement v6 L allocation des adresses v4 est simple Nécessite suffisamment d adresses v4 Sujet aux attaques en déni de service cas 2 & 3 doivent être limités à l Intranet JRES01 / Tutoriel IPv6 43 Relais applicatifs, mandataires Peuvent être utilisés pour une grande variété d applications: Mél (POP3, IMAP, SMTP) Web (mandataires : proxy, squid) Impression (serveurs d impression) DNS : relais (+changement du type de RR). JRES01 / Tutoriel IPv

23 Exemple de relais applicatif Une vieille imprimante sans pile IPv6 Client Spooler Imprimante IPv6 IPv4 JRES01 / Tutoriel IPv6 45 Conclusion La complexité du monde IPv4 va croissant Nouvelles applications Nouveaux paradigmes (sécurité) Fin du modèle de bout en bout (NAT) On va vers un réseau de niveau 7 Plus de coûts De plus en plus de difficultés à introduire de nouvelles applications (tel/ip, multicast, ) JRES01 / Tutoriel IPv

24 Complexité Conclusion IPv6 IPv4 Temps JRES01 / Tutoriel IPv6 47 Le G6 Groupe français d expérimentation IPv6 Créé fin 1995 Regroupe des académiques et des industriels : CNRS, ENST, INRIA, Universités Grenoble, Paris 7, Strasbourg, Bull, 6Wind, Eurocontrol... Partenariats avec des constructeurs G6 Recherche JRES01 / Tutoriel IPv

25 Ressources bibliographiques RFCs, IDs, implémentations, IPv6 théorie et pratique (G. Cizault, ed. O Reilly) JRES01 / Tutoriel IPv6 49? ou JRES01 / Tutoriel IPv