INTRODUCTION A IPV6 (IPNG) Les insuffisances du protocole IP V4

Transcription

1 INTRODUCTION A IPV6 (IPNG) Les insuffisances du protocole IP V4 L'une des principales limitations d'ipv4 est liée à l'espace d'adressage qu'il définit Adresses réparties en classe Conduit à l'épuisement rapide des réseaux Amène à un gaspillage d'adresses Surcharge des tables de routage Phase intermédiaire Adressage privé RFC 1918 Translation d'adresse (NAT) Mise en œuvre du CIDR Politique d'attribution des adresses Mesures provisoires Autres insuffisances Gestion de la sécurité Gestion de la qualité de service Support de cours 1/31

2 INTRODUCTION A IPV6 Contraintes techniques IPng Définir un espace d'adressage pouvant définir un milliard de réseaux Conserver les protocoles de routage existants Etre indépendant des réseaux physiques et de leurs topologies Offrir de base la sécurité au niveau 3 Supporter la diffusion de groupe Gérer des classes de services Permettre l'encapsulation de divers protocoles dans IPng. Offrir un service fiable et robuste. Offrir une transition d'ipv4 à IPv6 simple et flexible Support de cours 2/31

3 INTRODUCTION A IPV6 PRINCIPALES CARACTÉRISTIQUES D'IPv6 Conservation des principales fonctionnalités d'ipv4 Des possibilités étendues d'adressage et de routage La taille de l'adresse IP passe de 32 à 128 bits plus grand nombre de nœuds adressables, plus grand nombre de réseaux auto configuration des adresses. Nouveaux mécanismes de diffusion format d'en-tête simplifié En-têtes d'extensions définissant des options En-têtes placés entre l'en-tête Ipv6 et Transport Optimisation au niveau des routeurs qui ne les traitent pas Pas de taille limite Gestion de l'authentification et de confidentialité Gestion de la qualité de service (étiquetage de flux) Support de cours 3/31

4 Format de la trame Ipv6 FORMAT D'EN-TÊTE IPv6 Vers. Classe trafic. Identificateur de flux Longueur des données En-tête suiv. Nb de sauts. Adresse source Adresse destination Version : version du Protocole IP. Sa valeur est 6. Classe de trafic : permet la différenciation des services conformément à la RFC2474. Identificateur de flux : identificateur unique choisi par la source. Utilisé pour mettre en œuvre la qualité de service Longueur des données utiles : taille des données utiles. En-tête suivant : identifie le prochain en-tête protocole de niveau supérieur (ICMP, UDP, TCP) en-tête d'extension Nombre de sauts : remplace le champ «TTL» d' IPv4. Sa valeur est décrémentée à chaque nœud traversé. Le nombre de champs est ramené à 8 : plus simple à traiter Support de cours 4/31

5 EN-TÊTES SUPPLÉMENTAIRES Utilisées pour coder des informations complémentaires En-têtes placés dans entre l'en-tête IPv6 et l'en-tête de la couche transport. Chaque extension est identifiée par une valeur de Next Header distincte. Un paquet IPv6 peut comporter aucune, une ou plus d'entêtes supplémentaires Ordre des en-têtes (RFC 2460) IPv6 options sauts après sauts options de destination routage fragmentation authentification (RFC-2402) encapsulation de charge utile sécurisée (RFC-2406) options de destination (destination finale) couche supérieure Exemple En-tête IPV6 En-tête suivant = routage En-tête de routage En-tête suivant = TCP En-tête TCP + données Support de cours 5/31

6 L'ADRESSAGE DANS IPv6 Représentation des adresses Les adresses Ipng sont des identifiants de 128 bits pour des nœuds ou un ensemble de nœuds. Les adresses de 128 bits sont conçues pour offrir une organisation hiérarchique la flexibilité lors des évolutions de réseau Une partie est utilisée pour définir des plans d'adressage L'autre partie est utilisée pour identifier l'équipement L'adresse a une durée de vie Représentation en 8 mots de 16 bits notés en hexadécimal Exemple : 0ABD:0123:45F6:BA5F: 010A: BD4C:46FE:C1A5 Notations particulières Le zéro 0ABD:0000: 0000: 0000: 010A: BD4C:46FE:C1A5 0ABD:0: 0: 0: 010A: BD4C:46FE:C1A5 0ABD:: 010A: BD4C:46FE:C1A5 équivalent Le préfixe Semblable à la notation CIDR adresse réseau := <préfixe> / <longueur préfixe> 0ABD:0000: 0000: 0000: 010A: BD4C:46FE:C1A5/64 ABCD:12:3::/48 Support de cours 6/31

7 L'ADRESSAGE DANS IPv6 Les types d'adresses Trois types d'adresses Unicast Identifie une interface unique Utilisé pour envoyer un paquet à une interface unique. Identique à Ipv4 Multicast Utilisé pour identifier un groupe d'interfaces qui ont en commun un préfixe d'adresse. Un datagramme envoyé à une adresse multicast sera délivré à tous les membres du groupe. Anycast Utilisé pour identifier un groupe d'interfaces qui ont en commun un préfixe d'adresse. Un datagramme envoyé à une adresse anycast sera délivré à un membre du groupe. Nouveau en Ipng Il n'y a pas d'adresses de broadcast adresses multicast Support de cours 7/31

8 L'ESPACE D'ADRESSAGE DANS IPV6 Généralités Tableau de synthèse Attribution Nb bits Préfixe fraction de L'espace d'adressage Réservé ::/8 1/256 Non attribué ::/8 1/256 Réservé for NSAP Allocation ::/7 1/128 Réservé for IPX Allocation ::/7 1/128 Non attribué ::/7 1/128 Non attribué ::/5 1/32 Non attribué ::/4 1/16 Aggregatable Global Unicast Addresses ::/3 1/8 (RFC 2374) Provider-based Unicast Adress (abandonné) ::/3 1/8 Non attribué ::/3 1/8 geographic-based Unicast Adress (abandonné) ::/3 1/8 Non attribué 101 A000::/3 1/8 Non attribué 110 C000::/4 1/8 Non attribué 1110 E000::/4 1/16 Non attribué F000::/5 1/32 Non attribué F800::/6 1/64 Non attribué FC00::/7 1/128 Non attribué FE00::/9 1/512 Link-Local Unicast Addresses FE80::/10 1/1024 Site-Local Unicast Addresses FEC0::/10 1/1024 Multicast Addresses FF00::/8 1/256 Les différents plans d'adressage Le plan d'adressage géographique o Geographic-based unicast address o Obsolète Le plan d'adressage fournisseur o Provider-based unicast address o Obsolète Le plan d'adressage GSE : non retenu Le plan d'adressage agrégé Support de cours 8/31

9 L'ESPACE D'ADRESSAGE DANS IPV6 Le plan d'adressage géographique Premier plan d'adressage proposé Préfixe 8000::/3 Découpe l'espace d'adressage en zones géographiques Inconvénients Approche géographique non concurrentielle Difficultés techniques dans mise en œuvre Abandonné Support de cours 9/31

10 L'ESPACE D'ADRESSAGE DANS IPV6 Le plan d'adressage fournisseur Défini dans la RFC 2073 Préfixe 4000::/3 Défini un modèle hiérarchique à 5 niveaux Registry Id Provider Id subscriber Id subnetwork Id interface Id 5 bits 16+8 bits 24+8 bits 16 bits 48 bits Organismes identifiés pour le 1 er niveau IANA RIPE NCC InterNIC APNIC Le fournisseur obtient un identifiant auprès d'un des organismes précités Le souscripteur obtient un identifiant auprès d'un fournisseur Les deux derniers niveaux sont gérés par le souscripteur Problèmes lors de changement de fournisseurs Abandonné Support de cours 10/31

11 L'ESPACE D'ADRESSAGE DANS IPV6 Le plan d'adressage GSE Global Site, End-system Proposé pour répondre au problème de renumérotation Découpage dynamique de l'adresse partie basse de 64 bits, unique, identifiant l'équipement partie haute de 64 bits, dynamique, identifiant le fournisseur Traitement d'un paquet à l'intérieur du site : partie haute à zéro en sortie du site : positionnement par le routeur de site de la partie haute Avantages Renumérotation facile Attachement à plusieurs fournisseurs Difficultés calcul des checksums résolution inverse garantie d'unicité de la partie basse aujourd'hui abandonné Support de cours 11/31

12 L'ESPACE D'ADRESSAGE DANS IPV6 Le plan d'adressage agrégé Défini dans la RFC 2450 Préfixe 2000::/3 Reprend des idées du plan d'adressage GSE et fournisseurs Défini un modèle hiérarchique à 3 niveaux TLA réservé NLA SLA interface Id 13 bits 8 bits 24 bits 16 bits 64 bits Le niveau topologie publique TLA Top Level Aggregator grands opérateurs internationaux réseaux sans routes par défaut NLA Next Level Aggregator Opérateurs intermédiaires Interconnexion avec les TLA 8 bits réservés à adjoindre au niveau TLA ou NLA Le niveau topologie de site SLA Site Level Aggregator Possibilité de hiérarchisation L'identifiant d'interface Support de cours 12/31

13 L'ESPACE D'ADRESSAGE DANS IPV6 Le plan d'adressage agrégé l'identifiant d'interface nécessité de garantir l'unicité de l'identifiant l'identifiant EUI bits 40 bits U G Constructeur Numéro de série bit U : vaut zéro si adresse universelle bit G : vaut zéro si adresse individuelle l'identifiant d'interface 24 bits 40 bits 1 0 Constructeur Numéro de série Constitution d'un identifiant d'interface à partir de l'adresse MAC 24 bits 24 bits u g Constructeur Numéro de série u g Constructeur 0xFFFE Numéro de série 1 0 Constructeur 0xFFFE Numéro de série Support de cours 13/31

14 L'ADRESSAGE DANS IPv6 adresses unicast particulières Adresse indéterminée 0:0:0:0:0:0:0:0 abrégé :: utilisée uniquement lors de l'initialisation Adresse de bouclage 0:0:0:0:0:0:0:1 équivalente de l'adresse Ipv Support de cours 14/31

15 L'ADRESSAGE DANS IPv6 adresses unicast - Adresses lien local Adresses dont la validité est limitée à un lien Un lien peut-être un réseau Ethernet sans routeur Une liaison PPP un tunnel d'interconnexion Préfixe FE80::/10 Une adresse est obtenue en concaténant l'identifiant d'interface au préfixe FE80::/64 Format 10 bits 54 bits 64 bits F E 8 Utilisés par les protocoles de configuration d'adresse globale découverte des voisins (neighbor discovery) découverte de routeurs (router discovery) Adresse unique sur un même lien Support de cours 15/31

16 L'ADRESSAGE DANS IPv6 adresses unicast - Adresses site local Adresses dont la validité est limité à un site un site est un réseau ou un inter-réseau non connecté à Internet L'adressage site local est assimilable à l'adressage privé d'ipv4 (RFC 1918) Préfixe FEC0::/10 Une adresse est obtenue en concaténant l'identifiant d'interface le champ de sous-réseau et le préfixe FEC0::/48 Format 10 bits 38 bits 16 bits 64 bits Subnet ID 0 F E C Support de cours 16/31

17 L'ADRESSAGE DANS IPv6 adresses unicast - Adresses compatibles IPv4 représentées sous la forme ::a.b.c.d a.b.c.d est une adresse Ipv4 notation hexadécimale XXXX:YYYY possible Format 96 bits 32 bits 0 Adresse IP v4 utilisées pour permettre la communication de deux piles Ipv6 au travers d'ipv4 Traitement d'un paquet à destination d'une adresse ::a.b.c.d création automatique d'un tunnel Ipv6/Ipv4 le paquet Ipv6 est encapsulé dans un paquet ipv4 le paquet Ipv4 est normalement délivré le paquet Ipv6 est traité par la pile de communication IpV6 conçues pour une phase transitoire Support de cours 17/31

18 L'ADRESSAGE DANS IPv6 adresses unicast - Adresses IPv4 mappées représentées sous la forme ::FFFF:a.b.c.d a.b.c.d est une adresse Ipv4 notation hexadécimale ::FFFF:XXXX:YYYY possible utilisées pour permettre la communication de deux piles Ipv4 dans le domaine AF_INET6 conçues pour écrire des applications répondant à la fois à des requêtes Ipv4 ou Ipv6 Format 80bits 16 bits 32 bits 0 0xFFFF Adresse IP v4 Support de cours 18/31

19 L'ADRESSAGE DANS IPv6 Adresses multicast L'adresse muticast désigne un ensemble d'interface moins pénalisant que le broadcast d'ipv4 Suffisant pour l'ensemble des besoins Préfixe FF00::/8 Format 8bits 4bits 4bits 112 bits 0xFF Flags Scope Groupe ID flags 3 bits réservés bit T o 0 adresse permanente o 1 adresse temporaire (visio conférence) scope ou niveau de diffusion 0 réservé 1 nœud 2 lien 5 site 8 organisation E global F réservé Le scope garanti le confinement de la diffusion dans un niveau le Groupe ID défini un groupe de diffusion Support de cours 19/31

20 L'ADRESSAGE DANS IPv6 Adresses multicast Adresses multicast prédéfinies Adresse permanente champ flags égal à zéro Un ou plusieurs numéros de groupe sont attribués à un protocole utilisant la diffusion Pour chaque groupe, seules certaines valeurs du champ scope sont autorisées Exemples de groupes Groupe 0 : réservé Groupe 1 : tous les nœuds Ipv6 défini pour le scope 1 et 2 ex : FF02:1 désigne tous les nœuds ipv6 d'un lien local Groupe 2 : tous les routeurs Ipv6 valable pour le scope 1 2 et 5 ex : FF05::2 tous les routeurs d'un site Adresses multicast sollicité Construite à partir du préfixe FF02::1:FF00:0/124 et des 24 derniers bits d'une adresse unicast ou anycast Chaque équipement construit des adresses multicast sollicité et écoute les paquets émis sur celles-ci. Support de cours 20/31

21 L'ADRESSAGE DANS IPv6 Adresses anycast unicast envoi d'un paquet à une interface déterminée multicast envoi d'un paquet à un groupe d'interfaces anycast envoi d'un paquet à une interface représentant un groupe d'interfaces encore du domaine de la recherche actuellement Support de cours 21/31

22 LA RESOLUTION DE NOM DANS IPV6 généralités Ipv6 rend encore plus nécessaire l'utilisation de la résolution de nom complexité des adresses o telnet o telnet FEC0::01AC: 010A: BD4C:46FE:C1A5 automaticité des adresses Les serveurs DNS deviennent essentiels pour le déploiement d'ipv6 Problème de l'automaticité des adresses Ipv6 lie l'adresse IP à l'adresse MAC Le changement de carte Ethernet doit se traduire par un changement automatique du DNS Conservation des mécanismes de bases /etc/hosts DNS introduction de nouvelles extensions enregistrement de ressources AAAA domaine de résolution inverse ip6.int. Mise à jour dynamique du DNS mise à jour dynamique RFC 2136 notification et transfert incrémental Support de cours 22/31

23 LA RESOLUTION DE NOM DANS IPV6 Le DNS L'enregistrement AAAA Associe une adresse Ipv6 à un nom Une machine ayant plusieurs adresses à plusieurs enregistrements Les adresses lien-local ou Ipv4 mappées ou compatibles n'on pas d'enregistrements format général <Nom> [TTL] IN AAAA <Adresses> exemple mac1 IN AAAA 3FBC: 0123:45F6:BA5F: 010A: BD4C:46FE:C1A5 Correspondance inverse enregistrement ptr dans le domaine ip6.int. l'adresse est notée en inversant l'adresse et en séparant chacun des chiffres hexadécimaux par un point. $origin exemple.cnam.fr. mac1 IN AAAA 3FBC: 0123:45F6:BA5F: 010A: BD4C:46FE:C1A5 5.A.1.C.E.F.6.4.C.4.D.B.A F.5.A.B.6.F C.B.F.3.ip6.int IN PTR mac1.exemple.cnam.fr Support de cours 23/31

24 LE PROTOCOLE ICMP v6 Défini dans la RFC 2463 fonctionnalités gestion des erreurs tests de connectivité configuration automatique (re direction ICMP) gestion des groupes de multicast gestion ARP le numéro de protocole est 58 format de la trame Type code checksum Données ICMP type : précise la nature du message ICMP code : précise la cause du message ICMP en fonction du champ type checksum : permet de vérifier l'intégrité du paquet ICMP Support de cours 24/31

25 L'AUTOCONFIGURATION D'ADRESSE présentation Objectifs de l'auto configuration : acquisition d'une adresse lors de l'attachement initial d'une station au réseau obtention d'une nouvelle adresse suite à une renumérotation (changement de la partie haute ) L'auto configuration Ipv6 comprend la création d'une adresse lien-local, la vérification de son unicité, la détermination de l'adresse unicast globale deux méthodes d'auto configuration de l'adresse unicast globale : sans état (stateless auto configuration [RFC2462]) : o Pas de gestion stricte des adresses attribuées. o Chaque construit sa propre adresse IPv6 globale. avec état (stateful auto configuration (DHCPv6) : o Gestion stricte des adresses attribuées. o Toute attribution d'adresse passe par un serveur DHCP Support de cours 25/31

26 L'AUTOCONFIGURATION D'ADRESSE La découverte des voisins La découverte des voisins repose sur 5 options générales 5 messages ICMP V6 Options générales Adresse physique de la source Adresse physique de la cible Information sur le préfixe En-tête redirigée MTU Messages ICMP v6 Sollicitation du routeur 133 Annonce du routeur 134 Sollicitation du voisin 135 Annonce du routeur 136 Re direction 137 Matrice d'utilisation des options Message Option Adresse phys. de la source Adresse phys. de la cible Information sur le préfixe En-tête redirigé MTU Sollicitation d'un routeur Annonce d'un routeur Sollicitation d'un voisin présent présent présent présent présent Annonce d'un voisin présent Re direction présent présent Support de cours 26/31

27 L'AUTOCONFIGURATION D'ADRESSE Configuration automatique Rappel : la configuration d'une station se fait en 3 temps Création de l'adresse lien-local Vérification de l'unicité de l'adresse Configuration de l'adresse unicast globale Création de l'adresse lien-local adresse dérivée de l'identifiant EUI-64 Concaténation avec le préfixe FE80::/64 Etat provisoire Vérification de l'unicité Si échec configuration manuelle Détection d'adresses dupliquées repose sur l'algorithme DAD (Détection d'adresses dupliquées) envoi d'un message de sollicitation avec l'adresse provisoire o message d'annonce en retour o message de sollicitation o pas de réponse OK Auto-configuration sans état Auto-configuration avec état : DHCPv6 Support de cours 27/31

28 L'AUTOCONFIGURATION D'ADRESSE Mécanisme de découverte de PMTU PMTU Path Maximun Transfert Unit Décrit dans la RFC 1981 Détermination du PMTU l'émetteur fait l'hypothèse que le PMTU du chemin est égal au MTU de son lien l'émission de paquets trop grand se traduit par o la destruction de paquets par le routeur o l'émission d'un paquet ICMP par le routeur o la ré-émission des paquets par l'émetteur PMTU minimum égal à 1280 octets Le PMTU peut-être revu en cours d'échanges Support de cours 28/31

29 L'AUTOCONFIGURATION D'ADRESSE Mécanisme de routage En Ipv6 la définition de routes spécialisées se fait sur les routeurs uniquement Le routage des autres équipements repose sur la route par défaut Le message ICMP de redirection est utilisé pour installer des routes spécialisées Envoi de messages périodiques d'annonces de routes par les routeurs Une seule route par défaut Support de cours 29/31

30 LE ROUTAGE Ipng Protocoles de routage Ipv6 Portage des protocoles de routage existants Utilisation des fonctionnalités incluses dans Ipv6 Conservation des familles de protocoles : interne et externe Routage interne RIPng OSPFng RIPng premier protocole de routage proposé en Ipv6 Simple extension du protocole RIP v2 Limitation identique à RIP v2 OSPFng deuxième protocole de routage proposé en Ipv6 adaptation importante de OSPF utilisation des mécanismes de sécurité d'ipv6 Routage externe : BGP4+ Support de cours 30/31

31 LA SECURITE DANS IPV6 Cf. Cours sécurité La sécurité dans IPV6 repose sur la suite IPsec RFC 2401 Commun avec ipv4 (cf. cours sécurité) Deux protocoles AH Authentication Header RFC 2402 ESP Encapsulating Security Payload RFC 2406 Deux modes d'utilisation Mode transport Mode tunnel Support de cours 31/31