Pile TCP/IP. Introduction. Encapsulation des données. Rappel sur les couches basses. 1. La couche réseau et le routage.

Transcription

1 Pile TCP/IP Introduction 1. La couche réseau et le routage Introduction Le protocole IP (Internet Protocol) Rappel sur les couches basses Format du paquet Fragmentation des datagrammes L adressage Internet Segmentation en sous-réseaux Adressage CIDR Le protocole ARP Le protocole ICMP Le protocole DHCP Translation d adresses IP version 6 Allocation d adresses IP Répartition des adresses IP Le routage Introduction Principes du routage Exemples de routage Routage sur Internet Algorithmes de routage Routage hiérarchique Routage et commutation Les protocoles TCP/IP se situent au niveaux 3 et 4 de la modélisation OSI. Historiquement lié à UNIX, TCP/IP est désormais proposé sur tous les systèmes d exploitation (Windows, MAC OS, Android ). Ils constituent un ensemble de protocoles de référence pour l interconnexion des réseaux locaux et des réseaux longue distance, notamment Internet. Les protocoles Internet sont définis dans des documents appelés RFC ( Requests For Comments) qui sont publiés, révisés et analysés par la communauté Internet. Modèle TCP-IP Process Host to Host Telnet FTP SMTP POP3 IMAP4 HTTP TCP DNS TFTP NFS SNMP UDP Modèle OSI 7. Application 4. Transport Internet ICMP RIP IP ARP RARP 3. Réseau Stéphane Lohier lohier@univ-mlv.fr Network Access BlueTooth WiFi Ethernet PPP PPTP 2. Liaison 1. Physique 1 2 Encapsulation des données Rappel sur les couches basses Les données issues de l application sont encapsulées (ajout d un en-tête) au niveau de la couche transport pour fournir des segments TCP. Les segments sont à leur tour encapsulés dans des paquets IP au niveau de la couche réseau (Internet) et enfin des trames sont délivrées sur le média utilisé. Données http Aux niveaux 1 et 2, se trouvent les protocoles liés aux architectures Ethernet, WiFi en local ou ATM en distant. Au niveau 2, la couche liaison est généralement divisée en deux souscouches : Ø LLC (Link Layer Control) pour la gestion des trames (numérotation, gestion de flux, gestion des erreurs de transmission ) ; Ø MAC (Medium Access Control) pour le contrôle d accès au support suivant l architecture choisie (Ethernet 802.3, WiFi ) Paquet IP Trame Ethernet Réseau - 3 Liaison - 2 IP LLC MAC Physique - 1 PHY 3 4 1

2 Couches basses usuelles Couches 3 et 4 Sur un LAN, pour une architecture de type Ethernet II, la sous-couche LLC n existe pas. Le protocole IP est indiqué directement dans le champs Longueur de la sous-couche MAC par la valeur 0800 H. MAC Adr. Dest. Adr. Src H IP Sur un WLAN, pour une architecture de type Wifi , le protocole IP est indiqué dans le champs Type de la sous-couche LLC par la valeur 0800 H. MAC LLC Au niveau 3, se trouve l implantation du protocole IP (Internet protocol). Ce protocole, en mode datagramme, va offrir des fonctions de routage et de fragmentation des données. La couche 3 contient quatre autres protocoles : Ø ARP (Address Resolution Protocol) permet de faire la correspondance entre les adresses logiques (Internet) et les adresses physiques (MAC). Ø ICMP (Internet Control Message Protocol) sert à la gestion du protocole IP. Adr. Dest Adr. Src. Contrôle DSAP=AA H SSAP=AA H Contrôle Code 0800 H IP Ø DHCP (Dynamic Host Configuration Protocol) permet l allocation dynamique par un serveur des adresses IP aux clients demandeurs. Sur une liaison distante, avec votre FAI par exemple, le protocole PPP (Point to Point Protocol) permettent d adapter le réseau ou le poste de travail à une communication série par l intermédiaire d un modem avec un serveur distant (cas du réseau Internet). PPP IP Ø RIP (Routing Information Protocol) est un protocole de routage utilisant le principe de la multidiffusion. Au niveau 4, se trouve le protocole TCP (Transmission Control Protocol) qui offre aux utilisateurs un transfert fiable sur connexion et le protocole UDP (User Datagramme Protocol) qui offre un transfert en mode datagramme. 5 6 Couches hautes Le protocole IP (Inter-network Protocol) Le niveau 7 regroupe les différentes applications courantes, notamment dans le monde UNIX (Linux) : Ø Telnet (Terminal Emulation Protocol) pour la connexion et l émulation de terminal ; Ø FTP (File transfert Protocol) pour le transfert de fichiers ; Ø SNMP (Simple Network Management Protocol) pour l administration et la gestion des machines du réseau ; Ø SMTP (Simple Mail Transfert Protocol) pour les services de courrier électronique, notamment pour les transferts entre serveurs de messagerie et pour le courrier sortant ; Ø POP (Post Office Protocol) pour offrir un service de courrier entrant lorsque l utilisateur n est pas connecté en permanence ; Ø IMAP (Internet Message Access Protocol) pour offrir des fonctionnalités de lecture de messages plus avancées (archivage sur le serveur, tri ) ; Ø HTTP (HyperText Transmission Protocol) pour la navigation à l aide d hyperliens. Le protocole IP est un protocole de niveau réseau. Il est responsable de : Ø la transmission des données en mode sans connexion ; Ø l'adressage et le routage des paquets entre stations par l intermédiaire de routeurs ; Ø la fragmentation des données. Lors de l émission, les fonctionnalités assurées sont : Ø identification du paquet ; Ø détermination de la route à suivre (routage) ; Ø vérification du type d'adressage (station ou diffusion) ; Ø fragmentation de la trame si nécessaire. À la réception, les fonctionnalités sont : Ø vérification de la longueur du paquet ; Ø contrôle des erreurs ; Ø réassemblage en cas de fragmentation ; Ø transmission du paquet réassemblé au niveau supérieur

3 Format du paquet IP Description des champs IP (nombre de bits) Version Longueur d en-tête Type de service Longueur totale Identificateur Drapeaux Position du fragment Durée de vie Protocole Total de contrôle d en-tête 32 Adresse IP source 32 Adresse IP destination variable Options IP (éventuelles) Données couche 4 Remplissage En-tête de 20 octets minimum. Version : numéro de version du protocole IP (actuellement 4). Longueur : longueur de l'en-tête codée sur 4 bits et représentant le nombre de mots de 32 bits (généralement 5). Type de service (TOS) : désigne la qualité de service qui doit être utilisée par le routeur (indicateurs de fiabilité, de priorité, de délai et de débit) ; très peu utilisé Longueur totale : longueur totale du fragment (en-tête et données) exprimée en nombre d octets. Identificateur : identifie le paquet pour la fragmentation (tous les fragments d un même paquet portent le même numéro). Drapeaux : gère la fragmentation sur 3 bits suivant le format : 0 DF MF : Ø le bit DF (Don t Fragment) demande au routeur de ne pas fragmenter le paquet ; Ø Le bit MF (More Fragment) est positionné à 1 dans tous les fragments, sauf le dernier. Position du fragment (offset) : indique par multiple de 8 octets la position du fragment dans le paquet courant. Durée de vie (TTL, Time to live). Décrémenté de 1 à chaque passage dans un routeur. Évite la circulation infinie des paquets à la recherche de destinations inexistantes. La valeur initiale est de 32 ou 64 (rarement 128) suivant la taille supposée du réseau (LAN ou WAN). Protocole : numéro du SAP destinataire du paquet, indique le protocole de la couche supérieure (1 pour ICMP, 6 pour TCP, 17 pour UDP). Options : utilisées pour le contrôle ou la mise au point Fragmentation des datagrammes Exemple d analyse IP La fragmentation d un datagramme lors de sa traversée d un routeur est nécessaire lorsque les deux réseaux ont des longueurs maximales de trame différentes. Dans l exemple, le premier réseau est caractérisé par un MTU (Maximal Transfer Unit) de 1500 octets, le second possède un MTU de 620 octets. Le routeur doit donc découper le datagramme initial en 3 fragments et positionner les champs associés des en-têtes IP en conséquence. Le premier octet du deuxième fragment portera le numéro 600 (octets 0 à 599 pour le premier fragment). Les positions de fragment (offset) étant exprimées en multiple de 8 octets, la valeur d offset pour le deuxième fragment sera 600/8=75. en-tête IP (20 octets) 1480 octets de données En-tête IP analysée ID=34 DF=0 MF=0 Offset=0 MTU= er réseau En-tête IP en hexa. (20 octets) Routeur MTU=620 2 eme réseau 600 octets ID=57 DF=0 MF=1 Offset=0 600 octets ID=57 DF=0 MF=1 Offset= octets ID=57 DF=0 MF=0 Offset= Relevé hexadécimal de la trame (78 octets) Affichage en caractères (Par ex. 44 h est le code ASCII de D) 12 3

4 IP est-il un protocole fiable? Questions sur IP Quelles sont les mécanismes de contrôle d erreur présents dans IP? Une erreur sur les données peut-elle être détectée? L adressage Internet Chaque machine susceptible d être connectée à l extérieur de son réseau local possède une adresse IP en principe unique. Les adresses codées sur 32 bits comportent deux parties : Ø le numéro de réseau (Net_id) Ø le numéro de la machine sur le réseau (Host_id) Une autorité internationale, l ICANN (Internet Corporation for Assigned Names and Numbers) attribue les Net_id. L administrateur local gère les Host_id. Quelle est la valeur probable du champs TTL d un paquet IP à la sortie de votre box? Quel est l intérêt du champ d identification en l absence de fragmentation? A quoi sert le champ protocole de l en-tête IP? 7 bits 24 bits 0 Net_id (adresse réseau) Host_id (adresse station) Net_id Host_id Net_id Host_id Adresse de Multicast Format non défini Classe A Classe B Classe C Classe D Classe E Les classes d adresse Les adresses réservées Les adresses sur 32 bits sont exprimées par octet (soit quatre nombres compris entre 0 et 255) notés en décimal et séparés par des points : Les classes d'adresse correspondent à des réseaux de plus ou moins grande envergure avec des plages d adresses successives. Compte tenu du manque d adresses IP disponibles, les classes sont peu à peu abandonnées au profit de l adressage CIDR (Classless InterDomain Routing). Classe Adresses de réseau Nombre de réseaux Nombre de machines A à B à C à Classe Adresses de réseau Nombre d adresses de groupes D à E à Les autres adresses sont particulières ou réservées : Ø : adresse non encore connue, utilisée par une machine pour connaître sa propre adresse IP au démarrage. Ø host_id = 0 : désigne le réseau (ou sous-réseau) lui-même ( pour une classe C par exemple). Ø host_id avec tous les bits à 1 : adresse de diffusion (broadcast), désigne toutes les machines du réseau concerné ( pour une classe B par exemple). Ø : adresse de diffusion (broadcast). Idem que précédent sauf que le numéro du réseau n a pas besoin d être connu Ø 127.X.Y.Z : adresse de bouclage (localhost, loopback), utilisée pour des communications inter-processus sur le même ordinateur ou des tests de logiciels ( par exemple). Ø adresses utilisées pour constituer un réseau privé (adresses RFC 1918) : Classe A Classe B à Classe C à

5 Attribution des adresses Le nombre d attribution d adresses IP a suivi ces dernières années une croissance presque exponentielle, ce qui a conduit à une saturation. Au moment de la conception d IP, l adressage sur 32 bits qui offrait une capacité théorique de 2 32 = 4,29 milliards d adresses semblait suffisant L organisation en classes a de plus généré un gaspillage important, notamment dans le cas des classes A sous-utilisées. Une réattribution des blocs d adresses inutilisés grâce à des protocoles comme CIDR (Classless InterDomain Routing) ou l utilisation d adresses privées et de système de translation d adresses NAT (Network Adress Translation) permet de pallier, en partie, la pénurie. Parallèlement, la norme IPV6 tente de remplacer la version 4 actuelle du protocole IP pour offrir un codage des adresses sur 128 bits. Segmentation en sous-réseaux (subnetting) Il peut être utile de segmenter le réseau en plusieurs sous-réseaux dans le but : Ø de réduire le nombre de communications sur un même segment ; Ø de connecter des réseaux d architectures hétérogènes ; Ø de regrouper les ordinateurs en domaines ou sous-domaines. Les techniques d adressage IP devront permettre de déterminer si un paquet est destiné à : Ø une machine du même réseau ; Ø une machine sur un autre réseau ; Ø une machine d un sous-réseau différent sur le même réseau ; Réseau 3 Sous-réseaux Routeur Routeur Segmentation : net_id / host_id Le masque de réseau (Netmask) Lorsqu une segmentation en sous-réseaux est nécessaire, la partie de l adresse Internet administrée localement (host_id initial) peut être découpée en deux parties : Ø une adresse de sous-réseau (subnet_id) Ø un numéro de machine (host_id). Un masque de sous réseau (netmask) a le même format qu une adresse Internet : Ø Les bits à 1 désignent la partie réseau (net) et éventuellement sous-réseau (subnet) de l adresse ; Ø les bits à 0 la partie numérotation des machines sur le sous-réseau (host). L implémentation logicielle d IP au niveau du système d exploitation doit déterminer l information désignant le sous-réseau et l information désignant la machine. Cette structuration est employée, par exemple, dans les algorithmes de routage pour savoir si deux machines se trouvent sur le même sous-réseau. Un «ET logique» appliqué entre l adresse de la machine et le masque permet de déterminer l adresse du sous-réseau et donc de savoir si une destination est comprise dans ce sous-réseau ou doit être recherchée à travers une passerelle. Exemple : Net_id Subnet_id Host_id = 15 Net_id Host_id Initial SubNet_id Host_id Adresse IP : = Netmask : = Adr. sous-réseau : = &

6 Le masque de réseau (Netmask) Subnetting et VLSM Dans cet exemple de réseau de classe C, les 2 bits de poids fort des 8 bits disponibles sont utilisés pour identifier le sous-réseau. Il est ainsi possible de distinguer 4 adresses de sous-réseaux : = = En l absence de segmentation en sous-réseaux (subnetting), les masques sont ceux par défaut des classes standards : Ø classe A : Ø classe B : Ø classe C : = = Pour alléger la notation, les masques sont souvent notés sous forme de suffixe : & / 24 Le suffixe correspond au nombre de bits à 1 Lorsque la segmentation est utilisée, le masque de sous-réseau peut être de longueur variable si tous les sous-réseaux ne font pas la même taille Il s agit alors d un masque de type VLSM : Variable Lenght Subnet Mask. La première adresse est parfois exclue pour ne pas la confondre avec la classe, la dernière également pour éviter de confondre son broadcast avec le broadcast du réseau. Dans ce cas beaucoup d adresses de machines sont inutilisées La gestion des masques VLSM répond à deux principes : 1. étant donné un bloc d adresses IP, le masque de sous-réseau définit le nombre de sous-réseaux disponibles ainsi que le nombre maximal de stations qu'il est possible d'adresser dans chacun de ces sous-réseaux ; 2. lors de la segmentation d un bloc d adresses IP en plusieurs sous-réseaux de tailles différentes, on alloue les sous-blocs du plus grand au plus petit et on fait en sorte que les sous-blocs soient contigus Subnetting et VLSM Subnetting et VLSM Illustration du 1 er principe VLSM : Soit le bloc d adresses / 19. Le masque initial est celui d une classe B soit (/16). Le /19 indique que 3 bits supplémentaires sont utilisés pour adresser les sousréseaux. Il reste 13 bits (16-3=13) pour adresser les machines (host_id) dans chaque sous-réseau = 8190 adresses seront disponibles par sous-réseau (les 2 extrémités sont réservées à l adresse du sous-réseau et au broadcast local) Les sous-réseaux sont de la forme nnn où n peut prendre la valeur 0 ou 1. Les 8 sous réseaux sont : Ø = / 19 Ø = / 19 Ø = / 19 Ø = / 19 Ø = / 19 Ø = / 19 Ø = / 19 Ø = / 19 Illustration du 2 ème principe VLSM : Un routeur possède 3 interfaces pour connecter 3 réseaux N1, N2 et N3. L'administrateur réseau impose les conditions suivantes : Ø capacité d'adressage de N1, 40 hosts ; Ø capacité d'adressage de N2, 80 hosts ; Ø capacité d'adressage de N3, 140 hosts ; Ø utilisation au mieux du bloc / 20. La première étape consiste à trouver le nombre de hosts bits, ce qui correspond à la puissance de 2 immédiatement supérieure au nombre de stations : Ø N1 : 40 hosts donc 6 bits (2 5 < 40 <2 6 ). Ø N2 : 80 hosts donc 7 bits (2 6 < 80 <2 7 ). Ø N3 : 140 hosts donc 8 bits (2 7 < 140 <2 8 ). Les masques sont donc : Ø N1 : (/26) 26 bits à 1 ; 6 bits à 0 Ø N2 : (/25) 25 bits à 1 ; 7 bits à 0 Ø N3 : (/24) 24 bits à 1 ; 8 bits à

7 Illustration du 2 ème principe VLSM : Subnetting et VLSM Subnetting et VLSM Exemple de représentation graphique de découpage VLSM. On applique le 2ème principe : Ø 1er bloc, le plus grand : N3. o Masque soit /24. o Espace d'adressage de N3 : à (254 stations). Ø 2ème bloc : N2. o Masque (/25). o On utilise le sous-bloc contigu à N3, donc : /25. o Espace d'adressage de N2 : à (126 stations). Ø Le plus petit sous-réseau : N1. o Masque (/26). o On utilise le sous-bloc contigu à N2, soit : /26 o Espace d'adressage de N1 : à (62 stations). En utilisant cet algorithme, l'adressage IP est optimisé au maximum, C'est la façon dont les ISP gèrent, en principe, leurs espaces d'adressage IP La division des classes d adressage (CIDR) CIDR et supernetting En attendant la généralisation de IPV6, un mécanisme permettant de mieux gérer les adresses existantes est utilisé. Avec CIDR, toutes les adresses de réseaux sont annoncées avec leur suffixe qui correspond au nombre de bits à 1 du masque et remplace celui-ci. L idée est de diviser les classes d adressage en blocs plus petits : Classless InterDomain Routing CIDR RFC 1518 et Par exemple : & / & / 24 Principe : Ø Seules des classes C peuvent désormais être attribuées et beaucoup de sociétés ont besoin de plus de 256 adresses. Les deux réseaux explicites et peuvent être agrégés en & Ø Le protocole CIDR permet d agréger des classes C ou d affecter une partie seulement d une classe B en utilisant des préfixes pour indiquer aux routeurs qu un seul sous réseau correspond à trois classes C par exemple. Ø On s'affranchit ainsi du découpage arbitraire et peu flexible en classes : l'allocation des ressources est plus fine et les tables de routages sont allégées au cœur du réseau. L agrégat est noté / 23, il désigne le couple préfixe / nombre de bits à 1 du masque. Dans le cas d une agrégation avec CIDR, on parle de supernetting. On peut en effet considérer qu il s agit de l opération inverse du subnetting : les réseaux ou sous-réseaux sont agrégés et non segmentés

8 Exemple de division CIDR Les suffixes réseau étant de taille variable, les fournisseurs d accès Internet peuvent allouer à leurs clients un espace d'adressage adapté à leur besoin. Imaginons le cas d'un fournisseur disposant du bloc d'adresses / 18, soit 2 14 (16384) adresses individuelles ou 64 réseaux de 256 machines. Si un client demande 800 adresses, il peut se voir assigner : Ø soit une classe B (environ adresses sont alors perdues) ; Ø soit 4 classes C (et devoir rentrer quatre routes dans ses tables de routage). Questions sur l adressage IP Quels sont les 3 types d adressage IP? L adresse de votre réseau est /23. Combien pouvez vous adresser de machines? Quelle est l adresse de la dernière machine? Votre configuration IP est la suivante : Netmask Quelle est l adresse de votre sous réseau? Avec CIDR, le fournisseur peut assigner à son client le bloc / 22, soit 1024 adresses. " Calculateurs de sous-réseaux : L adresse de votre sous-réseau est et l adresse de la dernière machine est Quelle est la valeur du masque? Quel est le masque correspondant à 8 classes C en CIDR? Le protocole ARP Le protocole ARP (2) ARP (Address Resolution Protocol) permet de faire la correspondance entre les adresses logiques (IP) et les adresses physiques (MAC). Rappelons que l adresse physique est gravée sur la carte réseau du PC alors que l adresse logique n est nécessaire que lorsque le PC se connecte à un réseau IP. Principe : Ø Une machine A veut envoyer un paquet connaissant l adresse IP du destinataire D mais pas son adresse MAC. Le paquet doit être encapsulé dans une trame de niveau 2 (Ethernet, Wifi...). Ø Le module ARP envoie une requête ARP dans une trame avec une adresse MAC de diffusion générale (broadcast) : toutes les machines du réseau la reçoive. A Je veux B Pas mon C Pas mon D MAC de D problème! problème! C est moi qu on cherche! Ø Ø La couche ARP de la machine visée reconnaît que cette requête lui est destinée et répond par une réponse ARP contenant son adresse MAC (les autres machines l ignorent). La réponse ARP est reçue par l émetteur qui peut donc envoyer directement les paquets avec la bonne adresse MAC de destination. A B C D Merci! Ø Structure de la trame ARP dest = src = D En tête dest = A En tête ARP Je répond à A Réponse src = D Requête ARP 2 octets phy. log (6) (4) (6) (4) phy. log. Code phy. log. phy. log. dest src = diffusion dest = src = A En tête Eth En tête ARP

9 Exemple de dialogue ARP La station envoie une requête ARP à la station L adresse MAC de destination est alors une adresse de diffusion (FFFFFFFFFFFF) Exemple de dialogue ARP (suite) La station répond en envoyant son adresse MAC à la station En tête ARP En tête ARP Le protocole ICMP (Internet Control Message Protocol ) Format du paquet ICMP Le protocole ICMP est utilisé pour gérer le trafic IP, il réalise les fonctions suivantes : Ø Contrôle de flux : lorsque les datagrammes arrivent trop rapidement pour être traités, l'élément destination renvoie un message de congestion qui indique à la source de suspendre temporairement l'envoi. Ø Détection de destination inaccessible : Lorsqu'une destination s'avère inaccessible, le système qui détecte le problème envoie un message "Destination unreachable" à la source. Ø Redirection des voies : Une passerelle envoie le message de redirection afin d'indiquer à une machine d'utiliser une autre passerelle qui constitue un meilleur choix. Ø Vérification des machines-hôtes à distances : Une machine-hôte peut envoyer le message d'écho ICMP par une commande de type «ping» pour vérifier que l adresse et la couche IP du système distant sont opérationnelles. Ø Détection du temps expiré : les paquets qui circulent en boucle sont identifiés grâce au champs TTL de l en-tête IP. Ø Détection de paramètre incorrect : la structure du paquet IP n est pas conforme. Type : indique le type de message de contrôle ICMP (Echo Request, Destination unreachable ) Code : donne des informations complémentaires sur le message. Par exemple le code 0 pour un paquet de type 3 ("Destination unreachable"), signifie "Network unreachable", ce qui implique un routeur ou un lien en panne ; le code 1 signifie "Host unreachable". Checksum : permet une détection d erreur sur l en-tête ICMP. Parametres : dépend du type de message. Par exemple le type 3 n utilise pas ce champs, les types 0 et 8 l utilisent pour stocker un identifiant e et un numéro de séquence. Données : recopie par défaut l en-tête IP et les 64 premiers bits du datagramme original (celui ayant déclenché le message ICMP). Séquence quelconque dans les messages de type «Echo»

10 Types de messages ICMP Type Message Type Description ICMP : fonctionnement du «ping» L émetteur génère un paquet ICMP Echo request unicast à destination de l équipement dont il souhaite tester la connectivité. Le contenu des données ICMP est quelconque. Le récepteur répond par un paquet ICMP Echo reply dont le contenu est identique à celui de la requête. 3 Destination Unreachable Le paquet ne peut être délivré 11 Time Exceeded Le champs TTL de l en-tête IP est arrivé à 0 12 Parameter Problem Champ non valide dans l en-tête IP 4 Source Quench Incite le récepteur du paquet à ralentir ping Redirect Demande à un routeur de rediriger le paquet 8 Echo Request Demande à un hôte si il est présent et opérationnel 0 Echo Reply L hôte répond en renvoyant le même paquet 13 Timestamp Request Identique à «Echo Request» avec un «timestamp» 14 Timestamp Reply Identique à «Echo Reply» avec un source : destination : source : destination : ICMP Echo request ICMP Echo reply Les informations suivantes sont fournies par l OS : Ø le délai d aller-retour ou RTT (Round Trip Time), c'est-à-dire le temps écoulé entre l émission de la requête et la réception de la réponse ; Ø les délais d aller-retour moyen, minimum et maximum calculés sur l ensemble des paquets émis ; Ø un code d erreur lorsque le message reçu par la source est un message d erreur Exemple de dialogue ICMP / ping ICMP : fonctionnement du «traceroute» Suite à une commande utilisateur de type «ping», la station envoie un «Echo request» (code ICMP 08) à la station Les données ICMP sont encapsulées dans le paquet IP. ICMP est un protocole de contrôle et non un protocole de transport. La source émet un premier paquet ICMP echo request dont l adresse destination est celle du destinataire final et dont le TTL vaut 1. En décrémentant le TTL, le premier routeur sur le chemin obtient une valeur nulle et en avertit la source par un datagramme ICMP time exceeded. En lisant le champ adresse IP source de ce paquet, la source apprend l identité du premier routeur traversé et mesure également le RTT jusqu à ce premier routeur. La source émet un deuxième paquet ICMP echo request vers le destinataire final dont le TTL vaut 2... traceroute ICMP echo req. TTL= En tête ICMP ICMP time exc. IPsrc : ICMP echo req. TTL=2 ICMP echo req. TTL= ICMP time exc. IPsrc :

11 ICMP : fonctionnement du «traceroute» Le protocole DHCP (Dynamic Host Configuration Protocol) La source répète cette opération (émission d une requête d écho en incrémentant d une unité le TTL à chaque envoi), jusqu à ce qu elle reçoive un paquet ICMP echo reply provenant du destinataire final. En pratique, trois paquets sont émis avec le même TTL, pour maximiser la probabilité de recevoir une réponse et fournir une moyenne statistique sur les RTT. La commande traceroute fournit également à l utilisateur une identification de chaque routeur qui peut être locale et non-conforme au nom de domaine ICMP echo req. TTL= Itinéraire déterminé ICMP echo req. TTL= ICMP echo req. TTL=2 ICMP echo req. TTL=1 ICMP time exc. IPsrc : ICMP echo req. TTL=3 ICMP echo req. TTL=2 ICMP echo req. TTL=1 ICMP echo rep. IPsrc : DHCP est un protocole de configuration dynamique d hôte qui permet d allouer à la demande des adresses IP aux machines se connectant au réseau. En théorie DHCP est un protocole applicatif de niveau 7 (il est encapsulé dans des segments UDP) mais ses fonctionnalités sont limitées à l adressage IP. Il présente les avantages suivants : Ø une gestion centralisée des adresses IP ; Ø les ordinateurs clients ne requièrent pas de configuration IP manuelle ; Ø le nombre de machines du réseau peut être supérieur au nombre d adresses IP disponibles. La base de données du serveur DHCP contient les informations suivantes : Ø une table d adresses IP valides et des adresses IP réservées qui seront affectées manuellement ; Ø des paramètres de configuration valides pour tous les clients du réseau (masques, adresses particulières...) ; Ø la durée des baux (le bail définit la période de temps durant laquelle l adresse IP attribuée peut être utilisée) Le protocole DHCP Messages DHCP Le processus d attribution dynamique d une adresse IP se déroule en 4 étapes : Ø découverte (discover) : le client envoie un trame de diffusion sur le réseau vers un serveur DHCP (l adresse IP du client en attente d attribution est l adresse réservée ) ; Ø offre (offer) : tous les serveurs DHCP répondent au client en lui faisant une offre ; Ø demande (request) : le client répond à un serveur DHCP (unicast) en lui précisant qu'il accepte l'offre proposée ; Ø accusé de réception (ACK) : le serveur DHCP confirme le bail avec sa durée et les options associées. DHCPDISCOVER : localiser les serveurs DHCP disponibles. DHCPOFFER : réponse du serveur à un paquet DHCPDISCOVER, contenant les premiers paramètres. DHCPREQUEST : requêtes diverses du client pour, par exemple, prolonger son bail. DHCPACK : réponse du serveur qui contient des paramètres et l'adresse IP du client. Client DHCPDISCOVER (UDP, broadcast) DHCPOFFER: IP (UDP, broadcast) Serveur DHCP DHCPNAK : réponse du serveur pour signaler au client que son bail est échu ou si le client annonce une mauvaise configuration réseau. DHCPDECLINE : le client annonce au serveur que l'adresse est déjà utilisée. DHCPREQUEST: IP (UDP, broadcast) DHCPRELEASE : le client libère son adresse IP. DHCPACK: IP (UDP, broadcast) DHCPINFORM : le client demande des paramètres locaux

12 Durée des baux DHCP DHCP et BOOTP Une fois une adresse affectée, le client devra renouveler le bail avant son expiration s'il souhaite continuer a l'utiliser. Ce renouvellement passe par les étapes suivantes : Ø à 50% de la durée du bail, émission d'un DHCPREQUEST (unicast) contenant l'adresse attribuée : o le serveur ne répond pas : la demande devra être réémise en broadcast a 87,5% de la durée du bail ; o le serveur répond défavorablement (DHCPNAK) : le client doit cesser d'utiliser cette adresse mais peut recommencer le processus d'obtention ; o le serveur répond favorablement (DHCPACK) : ce message indique une nouvelle durée du bail ; Ø la demande à 87,5% de la durée du bail diffère de la précédente par la destination (broadcast). Si aucun serveur ne répond, aucune nouvelle demande ne doit être émise et le client devra cesser d'utiliser l'adresse a expiration du bail. Lorsqu'un client n'a plus besoin d'une adresse (déplacement d une station sur un autre réseau par exemple), il doit la libérer (DHCPRELEASE). Le protocole BOOTP est l ancienne version de DHCP avec les différences suivantes : Ø BOOTP a été conçu pour un environnement statique où une station reçoit toujours la même adresse IP ; Ø BOOTP était prévu pour «booter» donc pour demander à un serveur, en plus des paramètres IP, des informations pour le téléchargement d un OS (station diskless) à l aide du protocole TFTP ; Ø Les clients BOOTP ne renouvellent pas la configuration avec le serveur BOOTP, sauf lorsque le système redémarre ; Ø DHCP prend en charge un ensemble plus complet et extensible de paramètres de configuration client appelés options. Le dialogue d allocation d adresse est analogue, BOOTP utilise les messages BOOTREQUEST et BOOTREPLY. Un serveur DHCP est aussi un serveur BOOTP, les numéros de ports et le format des messages sont identiques Exemple de dialogue DHCP (1) Exemple de dialogue DHCP (2) La capture de trame correspondant à la phase «Discover» du client DHCP. L adresse IP source est nulle, les destinations IP et MAC sont en broadcast. Le protocole de niveau 4 est UDP avec des numéros de port égaux à 67 côté serveur et 68 côté client : DHCP est interprété comme du BOOTP. Le code du «Magic coookie» définit la syntaxe des options BOOTP ou DHCP. L option permet de reconnaitre le type de message DHCP. La capture de trame correspondant à la phase «offer» du serveur DHCP. L adresse IP offerte est ici Les adresses destination IP et MAC sont en broadcast. L id de transaction et MAC source permettent à la station de savoir que la réponse lui est destinée

13 Exemple de dialogue DHCP (3) Exemple de dialogue DHCP (4) La capture de trame correspondant à la phase «request» du client DHCP. Le client n a toujours pas d adresse. La requête est toujours effectuée en broadcast pour avertir les autres éventuels serveurs DHCP. Le serveur choisi se reconnait grâce à l ID de la transaction. La capture de trame correspondant à la phase «ACK» du serveur DHCP. Le paquet est toujours envoyé en broadcast. L adresse IP offerte est confirmée pour le client identifié par l ID et Questions sur les protocoles de niveau 3 La translation d adresses (NAT) Quel est l intérêt d avoir deux types d adresse, MAC et IP? La translation d adresses est basée sur l utilisation des adresses privées, non routables sur Internet : Une station peut-elle savoir qu un paquet IP envoyé n est jamais arrivé? Comment est mesuré le RTT dans un «ping» ou un «traceroute»? Peut-on connaître le temps d aller simple? Classe A Classe B à Elle permet d isoler le trafic local du trafic public de l internet et nécessite l utilisation d un translateur d adresse : NAT - Network Adress Translator. Le NAT qui peut être localisé sur le routeur/firewall ou le proxy peut travailler suivant 3 types de translation : Ø privées vers publique ; Ø privées vers publiques ; Ø privée vers publique. Classe C à Une station peut-elle recevoir une adresse IP si le serveur DHCP n est pas dans son sous-réseau? Que se passe-t-il si un client DHCP ne demande pas le renouvellement de son bail avant expiration?

14 NAT : translation dynamique NAPT : Translation d Adresses et de Port Quand un paquet sort, l'adresse source est remplacée par une adresse publique. l'adresse source est donc masquée masquerading. Les adresses et ports source et destination internes et externes sont inscrits dans la table de translation. Quand une réponse à un paquet arrive depuis Internet, la source interne qui correspond à la destination du paquet est cherchée dans la table et la destination est remplacée par la source interne. Le NAT dynamique ne permet pas l'établissement de connexions entrantes (bonne protection par défaut) Paquet IP Internet Quand deux connexions ne sont différentes que par l'adresse interne : collision. Ø On peut utiliser un pool d'adresses publiques et utiliser des adresses sources externes différentes. Ø On peut changer le port source externe (Network Address and Port Translation : NAPT). La translation de port est souvent systématique. Les adresses et les ports internes sont masqués LAN Port Port dst= Paquet IP Paquet IP Routeur / Paquet IP Paquet IP Internet Port src=5001 Port dst= LAN Interne Routeur / NAT Table de Port Port Interne Port src 1025 Table de translation Port dst @src Port src=5002 Port dst= Port src 5001 Port dst NAPT : Exemple NAT et Mapping Le NAPT est souvent utilisé lorsque le nombre d adresses IP publique est inférieur au nombre de machines. Le numéro de port permet alors de différencier les messages. Exemple : votre FAI vous fournit une adresse publique et vous avez plusieurs PC avec des adresses privées dans votre réseau domestique. Après translation, deux messages auront la même adresse IP mais un port toujours différent. Problème : comment autoriser une connexion depuis l extérieur vers une machine d adresse privée? La translation permet l ouverture de connexions depuis l extérieur à condition d associer de manière statique le port d un service défini à une adresse privée mapping. Dans l exemple, le port 80 est associé à l adresse dans la table de translation. Adresse source Port source Privé Adresse destination Table de translation Port destination 80 Adresse source Port source Publique Adresse destination Port destination 80 Adresses IP privées Box DHCP FAI Internet Passerelle NAT Redirection statique des paquets destinés au port NAPT Adresse IP publique Interne src Port src Port src Serveur web :80 Adresse source Port source Adresse destination Port destination Client externe

15 Exemple de NAPT Exemple de NAPT Commentez les commandes suivantes utilisées sur un routeur/nat Cisco :! # ip nat pool adrpub netmask !! # ip nat inside source static ! # show ip nat translations! Pro Inside global Inside local Outside local Outside global! !! Vous gérez localement un serveur web sur une machine d adresse privée Toutes les connexions privées/publiques et publiques/privées passent par votre NATBox. Comment devez vous configurer la fonction NAT pour que votre serveur soit joignable de l extérieur? Comment ce procédé s appelle-t-il? # show ip nat translations! Pro Inside global Inside local Outside local Outside global! tcp : : : :22! tcp : : : :25! Quelle commande utiliseriez-vous sur un routeur/nat Cisco? Limites d IPv4 Apports d IP V6 IPv4 présente les limites suivantes : Ø Epuisement des adresses : IPv4, un protocole finalisé en 1983 et qui s adressait à une communauté restreinte : militaires et scientifiques. Le stock d adresses IP (2 32 = adresses) paraissait plus que suffisant Les apports d'ipv6 sont les suivants: Ø capacités d'adressage plus importantes (128 bits au lieu de 32 bits) ; Ø Explosion des tables de routage : l adressage IP est faiblement hiérarchique. Les routeurs du cœur d Internet doivent par conséquence avoir des tables de routage conséquentes. Ø Absence de type de données : bien qu un champ Type de service (TOS) et qu un champ Options soient présents dans IP, le manque de spécifications et l absence d implantations dans les routeurs font que IP ne peut gérer les priorités. Ø Temps de traitement important : dans chaque routeur un certain nombre de traitements sont effectués pour chaque datagramme : calcul de checksum, calcul de routage, TTL... Ø hiérarchie d'adressage plus riche et prenant en compte différentes configurations ; Ø autoconfiguration (plug-and-play) possible des adresses ; Ø gestion de la mobilité (IP mobile) ; Ø en-tête de base plus simple (moins de champs) facilitant le traitement dans les routeurs ; Ø en-têtes d'extension pouvant être rajoutés pour prendre en compte de nouvelles fonctionnalités ; Ø mécanismes de sécurité (authentification et confidentialité) ; Ø possibilité de routage commandé par la source ; Ø possibilité d'identificateur de flot (flow label)

16 Notation IP V6 Notation IP V6 (2) L augmentation du nombre d'adresses (2 128 = 3, ) entraîne un passage de quatre "blocs" de 256 adresses pour IPv4 (en ne prenant pas compte des différents types d'adressage) à 16 blocs de taille équivalente pour IPv6 : IPv4 : IPv6 : Afin de simplifier la période transitoire, IPv6 a été conçu pour être compatible avec IPv4, notamment en mettant en place un schéma autorisant l'imbrication d'adresses IPv4 au sein d'une structure IPv6 : Ø les 128 bits de l'un peuvent contenir les 32 bits nécessaires à l'autre ; Ø les 32 bits de l'adresse originale sont placés en fin d'adresse IPv6, et tous les autres blocs sont mis à zéro. Pour faciliter la lecture et l'écriture de ces adresses, IPv6 défini une notation mixte pouvant prendre plusieurs forme. En gardant les 32 bits finaux en décimal, les 96 bits précédents prennent une forme hexadécimale, et ne sont plus séparés par des points mais par des deux-points. Douze blocs en notation décimale deviennent ainsi six blocs en hexadécimal : 805B:2D9D:DC28:1080:200C:FC57: Précisons que chaque bloc de 4 chiffres hexadécimaux correspond à 16 bits, ce qui donne bien 6 16 bits + 32 bits = 128 bits. Dans le cas d'une imbrication IPv4, on obtiendrait une suite de 0 précédant l'adresse originale : 0000:0000:0000:0000:0000:0000: Celle-ci est simplifiable en : 0:0:0:0:0:0: Elle peut également s écrire : :: Les deux "deux-points" indiquent qu'il s'agit d'une adresse IPv6, et que tous les blocs précédents sont égaux à zéro. Ce principe s'applique bien sûr aux adresses normales IPv6 et permet raccourcir certaines adresses contenant des blocs vides : 805B:2D9D:0000:DC28:12F7:000A:765C:D4C8 peut se simplifier en : 805B:2D9D::DC28:12F7:A:765C:D4C8 Les longues chaînes de zéro peuvent également être combinées : FE80:0000:0000:0000:0000:0000:0000:0001 donne FE80::1 en version abrégée. Par ailleurs, lorsque l on veut préciser l adresse du réseau (net_id) et de la machine (host_id), une adresse se représente avec son préfixe comme dans CIDR. Par exemple la machine A200:E8FF:FE65:DF9A sur le réseau FEDC: 6482:CAFE:BA05 : FEDC:6482:CAFE:BA05:A200:E8FF:FE65:DF9A / Allocation des adresses IP (1) Allocation des adresses IP (2) Une mauvaise gestion de l allocation d adresses IP peut rapidement augmenter la taille des tables de routage des routeurs et par conséquent sérieusement entraver la croissance d Internet. L ICANN (Internet Corporation for Assigned Names and Numbers) est chargé de la gestion de l espace d adressage IP au niveau mondial. RIPE-NCC (Réseaux IP Européens) L ICANN définit les procédures d attribution et de résolution de conflits dans l attribution des adresses mais délègue la gestion pure de ces ressources à des instances régionales puis locales, dans chaque pays, appelées " Internet Registries ". ARIN (American Registry for Internet Numbers) Il y a 5 " Regional Internet Registries " (RIR) : Ø L APNIC pour la région Asie-Pacifique ; Ø L ARIN pour l Amérique ; Ø Le RIPE NCC (Réseaux IP Européen Network Coordination Center) pour l Europe ; Ø L AfriNIC pour l Afrique ; Ø L ACNIC pour l Amérique Latine. AFRINIC (Réseaux IP Africain) APNIC (Asia Pacific Network Information Center) LACNIC (Latin American and Caribbean IP address Regional Registry)

17 Allocation des adresses IP (3) Allocation des adresses IP (4) Les adresses IP sont finalement allouées à l utilisateur final qui en fait la demande par un Local Internet Registry (LIR) autorisé en Europe par le RIPE NCC. Un LIR est généralement un FAI ou une grande organisation (multinationale). Le LIR est sous l autorité de l instance régionale de gestion de l adressage. On compte environ 200 LIRs (entreprise ou fournisseur d accès) offrant leurs services en France selon le RIPE NCC. Hiérarchie des organismes chargés d attribuer les adresses IP. L allocation des adresses IPv6 s effectue au travers d un TLA Registry (Top-Level Aggregation Registry). L attribution de plage d adresses est déléguée à des NLA registries (Next-Level Aggregation Registry). Les NLA sont généralement des opérateurs de réseaux et de transit IP, ou des nœuds d échange, qui a leur tour affecteront une plage d adresses à leurs clients (SLA ID). Les TLA registries peuvent aussi affecter une plage d adresses directement à un utilisateur final. La France ne compte aujourd hui que 2 TLA registries : Renater et France Télécom Répartition géographique des adresses IP Répartition des adresses IP (2) Inégalités géographiques Ø IPv4 : un espace d adressage restreint avec une répartition géographique inégale ; Ø 36% des adresses IPv4 ont été attribuées avant l apparition des RIR (pre-rir) à des organisations américaines pour la plupart ; Ø En tenant compte de ces organisations pre-rir, on peut estimer que 48% des adresses allouées le sont pour l Amérique du Nord, 14% pour l Europe et 18% pour l Asie. Les détails sur la répartition mondiale montrent une sous-utilisation importante des adresses allouées pour les US (source:

18 Répartition des adresses IP (3) Répartition IPv4 par taille de réseau Les adresses de classe A ont été principalement attribuées aux US (source Certaines sont réservées à l organisme mondial de gestion des adresses : l lana (Internet Assigned Number Authority) ou ICANN. Le nombre total d allocation d adresse IPV4 augmente chaque année La tendance est à l augmentation des allocations dans des «petits» réseaux (/21) Principes du routage Exemple 1 : plan du réseau Le routage d un paquet consiste à trouver le chemin de la station destinatrice à partir de son adresse IP. Si le paquet émis par une machine ne trouve pas sa destination dans le réseau ou sous-réseau local, il doit être dirigé vers un routeur qui rapproche le paquet de son objectif (chaque routeur possède une adresse par interface réseau). Il faut par conséquent que toutes les stations du réseau possèdent l adresse du routeur par défaut La machine source applique le masque de sous-réseau (netmask) pour savoir si le routage est nécessaire. Chaque routeur doit donc connaître l adresse du routeur suivant, il doit gérer une table de routage de manière statique ou dynamique Eth Eth4 Eth Eth Routeur A Routeur B Routeur C Routeur distant Internet

19 Exemple 1 : table de routage Exemple 1 : envoi d un paquet Table de routage du routeur A : Réseaux directement connectés sur A Si la station veut envoyer un paquet à la station , le routage va se dérouler en 4 phases : Ø la station source connaissant sa propre adresse et son masque en déduit que l adresse destination se trouve dans un autre réseau, elle adresse donc le paquet au routeur A qui est son routeur par défaut ; Ø le routeur A qui reçoit le paquet lit l adresse de destination et consulte sa table de routage, il dirige en conséquence le paquet vers le routeur B ; Ø le routeur B suit le même processus et transmet le paquet au routeur C ; Ø le routeur C peut enfin délivrer le paquet à la destination qui se trouve sur un des ses réseaux connectés. Réseau connecté à B Réseau connecté à C Adresse non encore connue Exemple 2 : table de routage sous Windows Exemple 3 : table de routage sous Linux La table de routage d une machine fonctionnant sous Windows et possédant trois interfaces réseau est donnée ci-dessous. L extérieur est joint par l interface via la passerelle Les sous-réseaux privés et sont atteints respectivement par les interfaces et C:\WINDOWS>route print Itinéraires actifs : Flags : drapeau indiquant le type de route et sa validité. Les lettres les plus importantes sont U qui indique que la route est fonctionnelle et G qui indique que la route passe par une passerelle (Gateway). Metric : correspond au nombre de sauts. Cette valeur n'est pas utilisée par le noyau mais par certains programmes de routage. Iface : donne le nom et le numéro de l interface physique (eth pour ethernet, wlan pour Wifi ) Adresse réseau Masque réseau Adr. passerelle Adr. interface Métrique Adresse non encore connue Adresse de broadcast sur le sous-réseau

20 Exemple 4 : table de routage Cisco Questions sur le routage D après la table de routage Linux, quels sont les réseaux directement connectés et combien y-a-t-il de routeurs voisins? A quoi correspond le réseau ? D après la table de routage Cisco, combien de réseaux sont connectés? Sur quels types d interface? Combien d adresses de réseau sont-elles disponibles sur les interfaces série? Combien de connexions vers des interfaces série sont possibles? Routage et CIDR Les routeurs ne peuvent plus utiliser les classes. Les tables de routage contiennent obligatoirement un masque pour chaque destination. Le masque s écrit sous la forme de préfixe, collé a la destination : / 8. Dans l exemple, la table de routage de R2 indique : Ø toutes les adresses en 10.x.x.x sont directement connectées ; Ø toutes les adresses en x sont directement connectées ; Ø toutes les adresses en x.x sont joignables en passant par R3 ; Ø toutes les autres adresses passent par R1. Si plusieurs entrées peuvent correspondre à une destination, c est l entrée avec le préfixe le plus grand qui est retenue. Exemple: la route retenue vers l ordinateur est /28 plutôt que /24. Routage, CIDR et agrégation CIDR permet de réduire la taille des tables de routage lorsque l agrégation est possible. Dans l exemple, les réseaux A, B, C et D qui correspondent à 4 classes C contiguës sont joignables par le routeur R. La table de routage de R peut être allégée en regroupant les 4 classes C