Objectifs du chapitre

Transcription

1 Objectifs du chapitre L objectif de ce chapitre est de faire le point sur les conséquences d IPv6 en matière de routage. Nous verrons donc les modifications apportées par IPv6 sur les paramétrages de routage statique mais aussi aux principaux protocoles de routage dynamique. Notre but est plus de faire comprendre au lecteur les apports, souvent positifs, de la version IPv6 que de faire une présentation complète de toutes les commandes, options et paquets correspondant à cette nouvelle version.

2 Généralités IPv6 n introduit pas de modifications fondamentales sur le routage. 1. Protocoles disponibles Les mêmes protocoles qu en IPv4 sont disponibles en plus du routage statique : RIP (Routing Information Protocol) avec RIPng. OSPF (Open Shortest Path First) avec OSPFv3. IS-IS (Intermediate System to Intermediate System). BGP (Border Gateway Protocol) avec BGP4+. EIGRP (Enhanced Interior Gateway Protocol) avec EIGRPv6. 2. Choix du chemin Le choix du chemin se fait toujours sur celui qui correspond au préfixe le plus long, donc un chemin offrant la possibilité de joindre un préfixe sur 64 bits sera préféré à celui qui route vers un préfixe sur 48 bits. 3. Redirections ICMP Il est possible de changer la route adoptée par un hôte en envoyant à celui-ci un message ICMPv6 de redirection (type de message = 137). Cela se produit généralement quand un poste du site A cherchant à joindre une destination (site B) s adresse à sa passerelle par défaut (souvent le routeur permettant d aller sur Internet) alors que la destination est joignable par une connexion interne (un VPN opérateur pour aller sur des sites distants, de l entreprise, par exemple). Dans ce cas, si la route vers B est bien enregistrée sur la passerelle comme passant par le routeur VPN, la passerelle va émettre vers le poste émetteur un message ICMP redirect indiquant l adresse du routeur à utiliser, en l occurrence celle du routeur VPN dans notre exemple. Néanmoins, la passerelle transmet elle-même le paquet d origine au routeur VPN. Ce sont seulement les paquets suivants que l émetteur adressera directement au routeur VPN, s il tient compte du message Redirect. 4. Routage par la source (Source Routing) Comme en IPv4, il est possible à la source de spécifier le chemin par lequel elle souhaite faire passer la communication. La différence fondamentale avec IPv4 est que les options Loose et Strict qui permettaient ce routage par la source sont maintenant intégrées dans un en-tête spécifique : routing header. Seuls les routeurs concernés vont analyser ce header et le traiter alors qu en IPv4 tous les routeurs devaient traiter les en-têtes contenant les options de routage, en-têtes qui n étaient, de plus, pas conçus pour être traités de façon optimale par les routeurs (notamment impossibilité d utiliser le fast forwarding). Comme en IPv4, cette option doit être acceptée avec précaution par les routeurs/firewalls car elle peut constituer un vecteur d attaque en permettant d emprunter des routes non prévues par les administrateurs du réseau.

3 Routage statique Nous avons déjà vu dans les différents exemples et mises en œuvre présents dans les chapitres précédents que les routes se présentaient sous la forme du préfixe à atteindre (avec sa longueur) et du routeur à solliciter. Rappelons que la route par défaut est exprimée sous la forme ::/0. Voyons un petit exemple d une table de routage (sous Centos) : [root@jerry admin]# route -A inet6 -n Kernel IPv6 routing table Destination Next Hop Flags Metric Ref Use Iface Les routes passant par l interface de loopback : celles du poste lui-même ::1/128 :: U lo 2604:3400:dc1:41:216:3eff:fed6:2ba0128 :: U lo Route pour joindre le préfixe du réseau sur lequel est le poste, passant par eth0 de ce poste 2604:3400:dc1:41::/64 :: UA eth0 Route pour atteindre l adresse link-local du poste, sur l interface loopback fe80::216:3eff:fed6:2ba0/128 :: U lo Route pour atteindre le réseau en link-local, par eth0 fe80::/64 :: U eth0 ff00::/8 :: U eth0 Nous voyons bien la route par défaut passant par le routeur sur l adresse link-local de celui-ci ::/0 fe80::641 UGDA eth0 [root@jerry admin]# En IPv6, contrairement à IPv4, le routeur est toujours indiqué avec une adresse de type link-local.

4 Routages dynamiques 1. RIPng (RIP next generation) Ce nom désigne la variante IPv6 de RIP (Routing Interior Protocol). Elle est basée sur RIPv2 (RFC 2453) et décrite dans les RFC 2080 et Les principales caractéristiques de RIP sont conservées : Diamètre maximal de 15 sauts. Notion de split-horizon et de poison-reverse. Métriques fixes. Par défaut, mises à jour toutes les 30 secondes et expiration de la route en 180 secondes. Les principales nouveautés sont : Utilisation du port UDP 521 au lieu de 520. Table de routage IPv6 séparée de la table IPv4. Nature des informations diffusées : préfixes next hop sous forme d adresse link-local adresse source adresse multicast FF02::9 (all-rip-routers) pour la destination des mises à jour numéro de version = 1 Authentification basée sur IPsec. 2. OSPFv3 Cette version 3 d OSPF (RFC 5340) est indépendante du protocole, contrairement à la version 2 qui ne supportait qu IPv4. Elle peut donc prendre en compte IPv6. Les principaux points à noter sont : L identifiant de routeur (Router ID) reste sur 32 bits et c est lui qui sert pour identifier le routeur car les LSA Router et Network State ne contiennent plus d adresses (pour les déconnecter de la nature du protocole IPv6 ou IPv4). Il faut donc que cet identifiant soit dérivé d une des adresses IPv4 du routeur ou qu il soit fixé manuellement, ce qui est probablement le plus pertinent maintenant. Le next header pour identifier dans IPv6 le trafic OSPFv3 est 89. L authentification se fait au travers d IPsec. L adresse source des paquets OSPF est l adresse link-local de l interface d émission. L adresse destination est l adresse multicast FF02::6.

5 3. IS-IS Ce protocole est plus indépendant de la couche réseau puisqu il utilise essentiellement la couche lien sans faire appel aux adresses IP. Il est donc apte depuis le début à supporter IPv6 sans grandes modifications. Les seuls apports notables de la version IPv6 consistent à introduire trois types d informations nouvelles à diffuser sous forme de TLV (Type-Length-Value) ou de NLPID (Network Layer Protocol Identifier) : IPv6 Reachability TLV (type 236) pour diffuser les routes IPv6 avec leurs préfixes, leurs métriques. IPv6 Interface Address TLV (type 232) pour diffuser l adresse link-local dans le cas des paquets Hello ou globale pour les paquets LSP. IPv6 NLPID (142) pour annoncer le support d IPv6 dans ce protocole IS-IS. 4. BGP4+ C est la version de BGP ou plutôt de MBGP (Multiprotocol Border Gateway Protocol) bâtie pour supporter IPv6. Elle est définie par le RFC 2545 avec des éléments du RFC 4760 pour MBGP et du RFC 4271 pour BGP-4. Nous retrouvons l identifiant du routeur sur 32 bits comme dans OSPFv3 avec la possibilité d utiliser soit une adresse IPv4 soit un identifiant saisi manuellement

6 Pour aller plus loin 1. Quelques documents RFC 2080 et 2081 pour RIPng. RFC 5340 pour OSPFv3. RFC 2545, 2760, 4271 pour BGP. 2. Quelques liens qui est le site de référence pour les documents RFC. pour obtenir ces mêmes documents avec une interface de recherche plus souple et avec la possibilité d avoir les versions PDF des RFC, ce qui est parfois utile pour les imprimer correctement.