Vous êtes sur la page 1sur 60
Laurent GEORGE

Laurent GEORGE

IPv6

Page 2 sur 60

TABLE DES MATIERES

Table des matières

2

INTRODUCTION

4

I. Adressage

5

A. Représentation des adresses

5

B. Les types d'adresses

6

C. Les adresses individuelles ou adresses unicast

7

 

1. Exemples d'adresses unicast

8

2. Adresse unicast opérateur

8

3. Adresses NSAP

9

4. Adresse unicast locale

9

5. Adresse unspecified

10

6. Adresse de bouclage

10

7. Les adresses qui encapsulent les adresses IPv4

10

D. Adresses cluster

10

E. Adresses multicast

11

 

1. Format des adresses multicast

11

2. Adresses multicast pré-définies

13

F. Les types d'adresses reconnus par les nœuds

13

II.

Protocole réseau

14

A. Format d’en-tête IPv6

14

B. Les extensions IPv6

17

 

1. Proche en proche

18

2. Destination

19

3. Routage

19

4. Fragmentation

21

5. Authentification

21

6. En-tête de confidentialité

22

III.

Configuration automatique et contrôle

24

A. Découverte des voisins (RFC 1970)

24

B. Configuration automatique

25

 

1. Détection d’adresse double

26

2. Création de l’adresse lien-local

27

3. Auto-Configuration sans état

27

4. Auto-Configuration avec état : DHCPv6

28

C. Renumérotation automatique des routeurs

28

D. Mécanisme de découverte du PMTU (RFC 1981)

29

IV.

Supports de transmission

1

A. Réseau à diffusion

1

 

1. Ethernet (RFC 1972)

1

2. FDDI (RFC 2019)

32

3. IEEE 802.3

1

4. Anneau à jeton — Token-Ring

34

B. NBMA

34

C. Lien point à point, PPP (RFC 2023)

35

D. Tunnels

36

V.

Routage

38

L. George

IPv6

Page 3 sur 60

A.

Protocoles de routage

38

B.

Routage interne

38

1. RIPng

38

2. OSPFng

40

C.

Routage externe

41

D.

Réseau IPv6 expérimental

41

1. Le réseau 6bone

41

2. Le G6bone

43

VI. La sécurité [RFC 1752]

45

A. Quelques définitions

45

B. Les mécanismes de sécurité dans IPv6

46

 

1. Le mécanisme de l'en-tête d'authentification (Authentication Header)

46

2. La technique ESP (Encapsulating Security Payload)

46

3. La combinaison des mécanismes de sécurité

47

C. La gestion des clés (Key Management)

48

 

1. La distribution d'une clé manuelle

48

2. La distribution d'une clé automatique

48

D. L'utilisation des mécanismes de sécurité dans IPv6

49

 

1. Les « Firewalls »

49

2. La protection de la Qualité de Service (QoS)

49

3. Des réseaux compartimentés ou à niveau multiple (Multi-level)

50

E. La prise en compte des autres éléments relatifs à la sécurité

50

VII. Mobilité dans IPv6

51

A. Quelques définitions

51

B. Les formats d'en-tête pour l'option de mobilité

52

 

1. L'option de mobilité pour les données utilisateur

52

2. L'option de mobilité pour le contrôle

53

C. Le format d'entrée AMT

54

D. Les méthodes d'authentification

55

E. La connexion à un réseau

55

 

1. Les procédures utilisées sur le nœud mobile

55

2. Les procédures utilisées sur un noeud intermédiaire

56

3. Les procédures utilisées sur un nœud situé à la frontière (Boundary Node) du réseau

maison

56

F. La communication des données

56

1. Les procédures appliquées au noeud source

56

2. Les procédures appliquées au nœud intermédiaire

57

3. Les procédures appliquées au nœud de destination

57

Conclusion

58

Glossaire

59

BIBLIOGRAPHIE

60

L. George

IPv6

Page 4 sur 60

INTRODUCTION

L’explosion de l'Internet (dont la taille double environ tous les 12 mois) a deux conséquences :

- la consommation des adresses s'est fortement accélérée ces dernières années, et l'on commence à parler d'épuisement des adresses IPv4 (la " fin du monde IPv4 " est estimée aux environs de 2010 !)

- la taille des tables de routage des équipements qui doivent connaître toutes les routes mondiales (full routing) est devenue gigantesque et n'est pas sans poser quelques problèmes aux opérateurs de services IP.

Pour pallier ces difficultés inhérentes à la version actuelle du protocole (IPv4), un nouveau protocole a été spécifié, le protocole IP version 6. Il doit permettre d'adresser un espace beaucoup plus grand et fournir des techniques de routage plus efficaces (en lien avec un adressage hiérarchique).

Le rôle de l'IETF (Internet Engineering Task Force) a été prépondérant dans le processus d'élaboration des spécifications du nouveau protocole. Il a d'abord fait publier un livre blanc (RFC 1550) pour définir les fonctionnalités du nouvel IP. A l'issue d'un long travail d'analyse et de débats, " les critères techniques pour choisir le nouvel IP " (RFC 1726) ont été publiés. Trois propositions ont été retenues (sur les 21 recueillies), comme proches des critères imposés. Il s'agit de CATNIP (Common Architecture for The Internet Protocol), SIPP (Simple Internet Protocol Plus) et TUBA (TCP and UDP with Bigger Addresses).

Finalement, SIPP (moyennant un certain nombre de modifications) a été retenu. Le processus aura duré 4ans ! (sans parler de la phase de développement et d'implantation dans les équipements, où nous sommes aujourd'hui

Ipv6 est donc une nouvelle version d'IP qui s'inscrit comme l'évolution naturelle et normale d’IPv4. Il est conçu pour fonctionner aussi bien sur des réseaux à très hauts débits comme ATM que sur des réseaux à faible bande passante tels que les réseaux sans fils.

Les principales fonctionnalités d'IPv4 sont conservées dans IPv6 excepté certaines fonctions peu ou pas utilisées qui ont été supprimées ou rendues optionnelles. En outre, quelques priorités ainsi que de nouvelles fonctionnalités qui faisaient défaut à son prédécesseur (la

sécurité, le support du temps réel et du multipoint,

) ont été ajoutées.

Nous verrons qu’IPv6 possède huit grandes caractéristiques :

- des possibilités étendues d'adressage et de routage,

- un format d'en-tête simplifié,

- des possibilités d'extension des en-têtes et des options,

- le « Source Routing » ou routage en fonction de l’adresse de la source,

- le multipoint,

- l'auto-configuration des équipements,

- la sécurité (authentification, confidentialité et intégrité),

- une transition d'IPv4 à IPv6 simple et flexible.

L. George

IPv6

Page 5 sur 60

I. Adressage

L'adressage est de la toute première importance dans le réseau Internet. L'intérêt des utilisateurs est de pouvoir se connecter au réseau Internet pour avoir accès à des données ou pour pouvoir se connecter sur n'importe quelle machine.

Les adresses IPv6 sont des identifiants de 128 bits pour des nœuds ou un ensemble de nœuds. La taille d’une adresse IPv6 est donc le quadruple de celle d’une adresse IPv4. En prenant en compte les estimations les plus pessimistes et les plus optimistes, on obtient l’encadrement suivant où l’unité est le nombre d’adresses par m 2 de surface terrestre (océans compris) :

1564

nombre d’adresses disponibles

3911873538269506102

Ce calcul est bien entendu complètement arbitraire. Il est difficile de prévoir l’utilisation des adresses dans les années futures. Ainsi, par exemple, le plan d’adressage actuellement mis en œuvre utilise un identifiant d’équipement sur 64 bits. En fait ce genre de calcul sert de justification aux partisans des adresses de taille fixe (ce qui simplifie le traitement des paquets) en montrant que le nombre d’équipements adressables est colossal.

On peut distinguer trois types d'adresses:

- Unicast : employé pour envoyer un datagramme à un unique nœud.

- Cluster : employé pour identifier un groupe de nœuds qui ont en commun un préfixe d'adresse. Un datagramme envoyé à une adresse cluster sera délivré à un membre du groupe.

- Multicast : employé pour envoyer un datagramme à tous les membres d'un groupe de nœuds.

Il n'y a pas d'adresses de broadcast dans la version d'IPv6, les adresses multicast assurent leurs fonctions. Comme dans IPv4, un sous-réseau IPv6 est associé à une seule liaison. Mais Ipv6 permet aussi d'associer plusieurs sous-réseaux à une même liaison. Dans la suite de notre rapport, les champs des adresses ont des noms particuliers, prenons l'exemple de "subscriber". Lorsqu'il est utilisé avec le terme "ID" pour identifieur, après le nom ("subscriber ID"), on se réfère au contenu du champ nommé. Alors que s'il est utilisé avec "prefix" ("subscriber prefix"), le terme se rapporte à tous les bits de poids fort de l'adresse en incluant ce champ.

A. Représentation des adresses

Il y a trois formes conventionnelles de représentation d'adresses Ipv6 :

1- La forme la plus appréciée est x:x:x:x:x:x:x:x, où les 'x' sont les valeurs hexadécimales des huit blocs de 2 octets chacun.

Exemples :

FEDC:BA98:7654:3210:FEDC:BA98:7654:3210

1080:0:0:8:800:200C:417A

On remarquera qu'il n'est pas nécessaire d'écrire tous les zéros devant un chiffre hexadécimal dans un champ individuel, mais il doit y avoir au moins un chiffre dans chaque champ.

L. George

IPv6

Page 6 sur 60

2- La méthode d'allocation des adresses IPv6 montre qu'il est commode de "mettre" des bits à 0 dans le milieu des adresses. Pour avoir une écriture facilitée, une syntaxe adéquate sera de supprimer les zéros. L'expression de deux "::" indiquera un ou de multiple groupes de 16 bits à 0.

Par exemple l'adresse multicast suivante :

FF01:0:0:0:0:0:43

sera représentée de la manière suivante :

FF01::43

les "::" ne peuvent apparaître qu'une seule fois dans l'adresse.

3- Une autre forme alternative est quelquefois plus commode lorsque l'on est dans un environnement mixte de nœuds IPv6 et IPv4. Elle est x:x:x:x:x:x:d.d.d.d, où les 'x' sont des valeurs hexadécimales (6 groupements de 16 bits) et les 'd' des valeurs décimales (4 groupements de 8 bits de la représentation standard d'IPv4).

Exemples :

0:0:0:0:0:0:13.1.68.3

0:0:0:0:0:1:129.144.52.38

ou dans le format compressé :

::13.1.68.3

::1:129.144.52.38

B. Les types d’adresses

Les types d'adresses d'Ipv6 sont décrites par les bits de poids fort de l'adresse. Nous appelons ce champ de longueur variable le préfixe du format (Format Prefix - FP). Donnons l'attribution des adresses suivant le préfixe :

Adresse

Préfixe

Fraction

espace

 

alloué

Réservé

0000 0000

1/256

Réservé

0000 0001

1/256

NSAP

0000 001

1/128

IPX

0000 010

1/128

Réservé

0000 011

1/128

Réservé

0000 100

1/128

Réservé

0000 101

1/128

Réservé

0000 110

1/128

Réservé

0000 111

1/128

Réservé

0001

1/16

Réservé

001

1/8

Adresse Unicast définie par fournisseur de service

010

1/8

Réservé

011

1/8

L. George

IPv6

Page 7 sur 60

Réservé pour les adresses géographiques

100

1/8

Réservé

101

1/8

Réservé

110

1/8

Réservé

1110

1/16

Réservé

1111 0

1/32

Réservé

1111 10

1/64

Réservé

1111 110

1/128

Adresses locales

1111 1110

1/256

Adresses Multicast

1111 1111

1/256

Pour les nœuds utilisant le protocole IPv4, les adresses unicast IPv6 ont pour préfixe 0000

0000.

Cette allocation supporte l'allocation directe des adresses fournisseurs (provider), adresses NSAP [NSAP-USE], adresses IPX, adresses d'usage local, et les adresses multicast. De l'espace est réservé pour les adresses géographiques. Les espaces adresses "Réservé" (85% du total adressable) seront attribués pour de futures utilisations. Elles pourront être utilisées pour étendre les adresses existantes (e.g. adresses de fournisseurs supplémentaires, adresses IPX, etc.) ou pour de nouveaux emplois.

On distingue les adresses unicast des adresses multicast par la valeur des octets de poids fort de ces adresses. Une valeur de FF (1111 1111) identifie une adresse multicast, toutes les autres sont des adresses unicast.

C. Les adresses individuelles ou adresses unicast

L'adresse unicast d'IPv6 est basée sur le même principe de l'adresse de la version 4 d'IP sous le protocole de routage Internet sans classes (Classless Internet Domain Routing, CIDR). C'est-à-dire que les adresses sont allouées de manière contiguë et ont en commun les mêmes bits de poids fort, les mêmes préfixes.

Il existe plusieurs formes d'adresse unicast dans Ipv6 : adresse unicast hiérarchique opérateur, adresse hiérarchique géographique, adresse hiérarchique NSAP, adresse hiérarchique IPX, adresse locale, et adresse unique de station. Les nœuds peuvent avoir une connaissance plus ou moins étendue de la structure interne des adresses Ipv6, cela dépend du rôle "joué" par le nœud. Par exemple les fonctions d'une station sont différentes de celles d'un routeur. Au minimum, un nœud peut "voir" les adresses unicast (y compris la sienne) sans structure interne :

128 bits

Node address

Une station légèrement plus perfectionnée (mais restant encore assez simple) peut avoir connaissance du ou des préfixes de sous-réseaux et donc des liaisons qui leur sont attachés. La valeur de n est variable suivant les adresses:

n bits

128-n bits

Subnet prefix

Node ID

L. George

IPv6

Page 8 sur 60

Bien qu'un très simple routeur puisse n'avoir aucune connaissance de la structure interne des adresses unicast IPv6, les routeurs devront généralement avoir connaissance d'un ou de quelques niveaux hiérarchiques pour les protocoles de routage. La connaissance des domaines différera de chaque routeur, celle-ci dépendra des positions hiérarchiques des routeurs.

1. Exemples d’adresses unicast

Voici un exemple de format d'adresse unicast qui sera probablement commun à tous les LAN et autres environnements dont les adresses MAC IEEE-802 sont disponibles :

n bits

m

bits

48 bits

Subscriber prefix

Subnet ID

Node ID

Les 48 bits du Node ID représentent l'adresse MAC. Dans d'autres environnements, où les adresses IEEE-802 ne sont pas disponibles, d'autres adresses de la couche liaison peuvent être utilisées, comme les adresses E.164. L'utilisation d'un unique node identifier, comme nous l'avons vu précédemment, rend possible et de manière assez simple l'auto configuration des adresses. Un nœud peut ainsi relever le subnet ID en "écoutant" les messages "Advertisement" du routeur auquel il est rattaché, et donc fabriquer sa propre adresse IPv6 en y ajoutant son adresse IEEE MAC comme node ID dans ce sous-réseau. Les détails d'auto configuration de station seront vus dans le chapitre suivant. Un autre exemple de format d'adresse unicast est donné pour un site ou une organisation qui a besoin de couches supplémentaires de hiérarchie. Son format est :

s bits

n bits

m

bits

128-s-n-m bits

Subscriber prefix

Area ID

Subnet ID

Node ID

Ici, la zone (area) et le sous-réseau (subnet) définissent N niveaux hiérarchiques locaux, permettant d'utiliser le style de masquage de CIDR.

2. Adresse unicast opérateur

Le format est le suivant :

3 bits

n bits

m bits

p bits

125-n-m bits -p

010

Provider ID

Subscriber prefix

Subnet ID

Node ID

La partie haute de l'adresse est attribuée aux opérateurs (fournisseurs), qui attribuent des portions d'espace d'adresse aux souscripteurs (subscribers). Le terme "préfixe opérateur" fait référence à la partie haute de l'adresse, provider ID compris. On est alors dans le même schéma que les adresses IP sous le protocole CIDR.

L. George

IPv6

Page 9 sur 60

Le subscriber ID permet de distinguer un souscripteur (ou abonné) parmi d'autres attachés au même fournisseur repéré par le provider ID. Le terme de "préfixe du souscripteur" fait référence à la partie haute de l'adresse, subscriber compris. Le subnet ID identifie une liaison physique spécifique. Il peut y avoir plusieurs sous-réseaux rattachés à la même liaison physique. Tandis qu'un sous-réseau ne peut pas être raccordé à de multiples liaisons physiques. Le terme de "préfixe sous-réseau" se rapporte à la partie haute de l'adresse, subnet ID compris. Le groupe de nœuds identifiés par un subnet ID doivent être attachés à la même liaison. Le node ID identifie un unique nœud parmi le groupe de nœuds déterminé par un préfixe de sous-réseau.

3. Adresses NSAP

L'adresse NSAP a pour format dans la nouvelle version IP,

7 bits

1

4 bits

12 bits

32 bits

16 bits

48 bits

0000001

G

AFC

IDI

Prefix

Area

ID

La nouvelle version d'IP "supporte" les adresses NSAP (Network Service Access Point) d'une manière transparente (sans conversion) et celles-ci sont totalement compatibles avec l'en-tête étendu de noeud-par-noeud. Ipv6 est totalement "compatible" avec le plan d'adressage NSAP existant qui a été défini par l'ISO et ITU-T, incluant des adresses utilisant la longueur totale maximale de 20 octets. Ceci est principalement adressé aux personnes qui ont déjà planifié ou déployé un plan d'adressage NSAP pour l'usage "du protocole réseau sans connexion" (Connectionless Network Protocol - CLNP) selon le plan d'adressage de la couche réseau OSI. On trouvera dans la draft "OSI NSA usage in IPv6" les recommandations pour continuer à dresser le plan d'adressage NSAP coexistant avec IPv6 et faire la transition pour IPv6.

4. Adresse unicast locale

Les adresses "d'emploi local" sont des adresses utilisées à l'intérieur d'un site d'un souscripteur donné. Elles sont formatées de la manière suivante :

8 bits

n bits

m bits

p bits

1111 1110

0………0

Subnet ID

Node ID

Les adresses locales sont employées pour des sites ou des organisations qui ne sont pas (encore) connectés au monde Internet. Pour accéder à ce dernier, il n'est pas besoin d'en faire la demande ou de "voler" un préfixe d'adresse depuis le monde Internet. L'adresse locale suffit, lorsque l'organisation veut se connecter au monde Internet, elle forme ses adresses globales en remplaçant le préfixe local par un préfixe souscripteur.

L. George

IPv6

Page 10 sur 60

5. Adresse unspecified

L’adresse 0:0:0:0:0:0:0:0 est appelée adresse unspecified. Elle ne doit être affectée à aucun nœud. Elle indique l'absence d'adresse. Par exemple, on peut la trouver dans le champ d'une adresse source de n'importe quels datagrammes envoyés par une station "initialisée" avant que cette dernière n'est réussie à constituer sa propre adresse. L'adresse unspecified ne doit pas être employée comme adresse destination des datagrammes ou dans les en-têtes de routage d'IPv6.

6. Adresse de bouclage

L'adresse unicast FE00:0:0:0:0:0:0:1 est appelée adresse de bouclage. Elle est utilisée par un nœud pour envoyer un datagramme à lui-même. Elle n'est affectée à aucune interface. L'adresse de bouclage ne doit pas être utilisée comme adresse source de datagrammes envoyés à l'extérieur du nœud.

7. Les adresses qui encapsulent les adresses IPv4

La transition simple à IPv6 (Simple IPv6 Transition - SIT) utilise deux formes d'adresses unicast IPv6, conçus spécialement pour faciliter l'évolution de l'Internet passant d'IPv4 à IPv6. Dans les deux cas, l'adresse IPv4 est inclue dans la partie basse de l'adresse Ipv6 (32 derniers bits). La première forme d'adresse est conçue pour représenter les adresses IPv4 des nœuds IPv4 (les nœuds ne peuvent pas comprendre le protocole IPv6) en adresses Ipv6. Elle est de la forme suivante :

80

bits

16

bits

32

bits

0000…………………………………………………0000

0000

Ipv4 address

La seconde forme d'adresse est conçue pour être utilisée par les nœuds IPv6 qui ont besoin de "dialoguer" avec des nœuds IPv4. On dira que ces adresses IPv4 sont compatibles IPv6.

80

bits

16

bits

32

bits

0000…………………………………………………0000

FFFF

Ipv4 address

D. Adresses cluster

Les adresses cluster sont des adresses unicast, employées pour atteindre le "plus proche" nœud (selon une notion de routage unicast du plus proche nœud) d'un ensemble de routeurs "frontières" d'un groupe de nœuds, ces derniers étant identifiés par un préfixe commun. Un routeur frontière d'un groupe C possède au moins une adresse avec le préfixe C et au moins une liaison avec un autre nœud de préfixe différent de C. Les adresses cluster sont de la forme générale :

L. George

IPv6

Page 11 sur 60

n bits

128-n bits

Cluster prefix

0000

0000

Par exemple, pour atteindre le plus proche routeur frontière pour le domaine de routage défini par un opérateur D, un datagramme doit être envoyé avec l'adresse cluster :

3

bits

m

bits

125-m bits

010

Provider = D

0000

0000

Pour atteindre le routeur frontière de souscripteur S d'un opérateur D, un datagramme doit être émis de la façon suivante,

3

bits

m

bits

n

bits

125-m-n bits

010

Provider = D

Subscriber = S

0000

0000

De même, pour atteindre le routeur frontière de sous-réseau T d'un souscripteur S, d'un opérateur D, un datagramme doit être émis de la façon suivante,

3

bits

m

bits

n

bits

s bits

125-m-n-s bits

010

Provider = D

Subscriber = S

Subnet = T

0000…………………0000

les groupes de routeurs frontières ont besoin de savoir, d'une part qu'ils sont des routeurs de frontière et d'autre part "accepter" les datagrammes adressés à l'adresse cluster correspondante comme s'ils leur étaient destinés. Les adresses cluster sont plus communément utilisées comme des adresses intermédiaires dans l'en-tête IPv6 de routage. Ceci afin de router un datagramme à un ou plusieurs "clusters" en chemin jusqu'à la destination finale. La valeur 0 est réservée à chaque niveau hiérarchique de l'adresse unicast pour former des adresses cluster. Les adresses cluster ne doivent pas être utilisées comme adresses sources dans le datagramme

IPv6.

E. Adresses multicast

1. Format des adresses multicast

Une adresse multicast (de diffusion de groupe) IPv6 est un identifiant pour un groupe de nœuds. Un nœud peut appartenir à n'importe quel nombre de groupes multicast. Son format est le suivant :

8 bits

4 bits

4 bits

112 bits

1111 1111

flags

scope

Group ID

les 1111 1111 du début de l'adresse caractérise l'adresse comme une adresse multicast.

L. George

IPv6

Page 12 sur 60

Les drapeaux (flags) sont au nombre de 4 :

0

0

0

T

Les trois bits de poids fort sont réservés, et doivent être positionnés à 0.

T=0 indique que l'adresse est multicast de façon permanente, allouée par l'autorité d'adressage de l'Internet.

T=1 indique que l'adresse est une adresse multicast provisoirement (de transition).

scope est une valeur de 4 bits, de portée du champ multicast. Elle est utilisée pour limitée l'étendue du groupe multicast. Les valeurs sont les suivantes :

0 reserved

1 intra-node scope

2 intra-link scope

3 (unassigned)

4 (unassigned)

5 intra-site scope

6 (unassigned)

7 (unassigned)

8 intra-organization scope

9 (unassigned)

A (unassigned)

B intra-community scope

C (unassigned)

D (unassigned)

E global scope

F reserved

group ID identifie le groupe multicast, qu'il soit permanent ou provisoire, à l'intérieur du domaine donné.

Donnons un exemple. Si le groupe de serveurs est assigné à une adresse permanente multicast avec un groupe ID de 43 en hexadécimal, alors :

FF01:0:0:0:0:0:0:43 signifie tous les serveurs NTP du même nœud que l'émetteur.

FF05:0:0:0:0:0:0:43 signifie tous les serveurs NTP du même site que l'émetteur.

FF0E:0:0:0:0:0:0:43 signifie tous les serveurs NTP du monde Internet.

Les adresses multicast provisoires ne sont significatives qu'à l'intérieur d'un domaine donné. Par exemple, un groupe identifié par une adresse multicast intra-site provisoire, FF15:0:0:0:0:0:0:43 d'un site donné, n'a aucun rapport avec un groupe utilisant la même adresse sur un site différent, ou un groupe provisoire utilisant le même group ID mais une valeur de scope différente, ou qu'un groupe permanent avec le même groupe ID.

L. George

IPv6

Page 13 sur 60

2. Adresses multicast pré-définies

Reserved Multicast Address: FF0s:0:0:0:0:0:0:0. Ces adresses multicast (avec une valeur de scope, s) sont réservées, et ne devront être assignées à aucun groupe multicast.

All Nodes Adresses:

FF01:0:0:0:0:0:0:1

FF02:0:0:0:0:0:0:1

Ces adresses multicast identifient le groupe de tous les nœuds IPv6, à l'intérieur d'une étendue intra-nœud (scope=1) ou intra-liaison (scope=2).

All Hosts Adresses:

FF01:0:0:0:0:0:0:2

FF02:0:0:0:0:0:0:2

Ces adresses multicast identifient le groupe de toutes les stations IPv6, à l'intérieur d'une étendue intra-nœud (scope=1) ou intra-liaison (scope=2).

All Routers Adresses:

FF01:0:0:0:0:0:0:3

FF02:0:0:0:0:0:0:3

Ces adresses multicast identifient le groupe de tous les routeurs IPv6, à l'intérieur d'une étendue intra-nœud (scope=1) ou intra-liaison (scope=2).

F. Les types d'adresses reconnus par les nœuds

Pour une station:

* Adresses unicast allouées.

* Adresse de bouclage.

* Adresse multicast All Nodes.

* Adresse multicast All Hosts

* Toutes les autres adresses multicast auxquelles la station appartient.

Pour un routeur:

* Adresses unicast allouées.

* Adresses cluster de tous les groupements qui considèrent le routeur comme un routeur frontière.

* Adresse de bouclage.

* Adresse multicast All Nodes.

* Adresse multicast All Hosts

* Toutes les autres adresses multicast auxquelles le routeur appartient.

L. George

IPv6

Page 14 sur 60

II. Protocole réseau

A. Format d’en-tête IPv6

Hormis la modification de la taille des adresses, ce qui conduit à une taille d’en-tête de 40 octets (le double de l’en-tête IPv4 sans les options), le protocole IP a subi un toilettage reprenant l’expérience acquise au fil des ans avec IPv4. Le format des entêtes IPv6 est simplifié et permet aux routeurs de meilleures performances dans leurs traitements :

— L’en-tête ne contient plus de champ checksum qui devait être ajusté par chaque routeur en

raison de la décrémentation du champ durée de vie. Par contre, pour éviter qu’un paquet dont le contenu est erroné, en particulier sur l’adresse de destination, ne se glisse dans une autre communication, tous les protocoles de niveau supérieur doivent mettre en oeuvre un mécanisme de checksum de bout en bout incluant le pseudo-en-tête. Le checksum d’UDP facultatif pour IPv4, devient ainsi obligatoire. Pour ICMPv6, le checksum intègre le pseudo- en-tête, alors que pour ICMPv4, il ne portait que sur le message ICMP.

— La taille des en-têtes est fixe. Le routeur peut facilement déterminer où commence la zone de données utiles.

— Les options ont été retirées de l’en-tête et remplacées par de nouveaux en-têtes appelés extensions qui peuvent être facilement ignorées par les routeurs intermédiaires.

— Les champs sont alignés sur des mots de 64 bits, ce qui optimise leur traitement surtout avec les nouvelles architectures à 64 bits.

— La taille minimale des MTU Maximum Transmission Unit est de 576 octets 1 . Il est question d’augmenter la taille minimale des MTU à 1280 octets.

— La fonction de fragmentation a été retirée des routeurs. Les champs qui s’y reportent

(identification, drapeau, place du fragment) ont été supprimés. Normalement les algorithmes

de découverte du PMTU Path MTU évitent d’avoir recours à la fragmentation. Si celle-ci s’avère nécessaire, une extension est prévue.

— Le champ type de service (ToS : Type of Service) des datagrammes IPv4 a été supprimé au

profit d’un champ classe. La fonction de ce champ dans le data-gramme IPv4 a été réaffectée par le RFC 1349. Il est utilisé par l’émetteur pour indiquer si le routage doit favoriser le délai,

le débit, la fiabilité ou le coût. Mais il n’a jamais été exploité à grande échelle. Il peut conduire à des boucles de routage et implique la nécessité de construire un plan de routage par type de service. Le champ type de service n’est plus présent dans la version actuelle d’IPv6. Un champ classe a été défini, mais son utilisation à grande échelle pose autant de problèmes. Des propositions de réaffectation de ce champ sont discutées dans le groupe de travail intserv.

Le format d’en-tête d’un paquet IPv6 est donné par le RFC 1883 (cf. schéma ci-dessous). Si le format du paquet est universellement admis, l’affectation de certains champs indiqués dans le

1 En IPv4 le MTU minimal est de 68 octets, 576 octets est la taille minimale garantie pour un paquet IPv4. Le choix de 576 comme MTU minimal en IPv6 a été fait pour des raisons de compatibilité avec certains supports de transmission.

L. George

IPv6

Page 15 sur 60

RFC 1883 est encore sujet à de nombreuses discussions au sein des instances de standardisation.
RFC
1883
est
encore
sujet
à
de
nombreuses
discussions
au
sein
des
instances
de
standardisation.
0
4
8
16
24
31
vers.
prio.
identificateur de flux
longueur des données
en-tête suiv.
nb de sauts
adresse de la source
adresse de la destination

Version : le champ version est le seul champ qui occupe la même place dans le paquet IPv6 et dans le paquet IPv4. Sa valeur est 6.

Priorité ou classe : le premier mot de 32 bits étant exclu du calcul du checksum avec les pseudo-en-tête, il est plus facile de le faire évoluer. La version actuelle du standard IPv6 définit un champ priorité sur 4 bits suivi d’un champ d’identificateur de flux sur 24 bits. Dans de nouvelles propositions, en cours d’étude, le champ priorité est remplacé par un champ classe étendu de 4 bits pris sur l’identificateur de flux. Ceci pour permettre aux équipes de recherche de tester des nouvelles fonctionnalités comme la gestion de flux multimédias ou la différenciation de services.

0 4 8 12 16 24 31 Vers. classe identificateur de flux longueur des données
0
4
8
12
16
24
31
Vers.
classe
identificateur de flux
longueur des données
en-tête suiv.
nb de sauts
adresse de la source
adresse de la destination

- Priorité : les valeurs comprises entre 0 et 7 sont allouées aux trafics mettant en oeuvre un contrôle de flux, c’est-à-dire, principalement, utilisant le protocole TCP ; les valeurs supérieures à 7 sont réservées pour des trafics supportant des pertes mais ayant de fortes contraintes temporelles comme les données multimédias.

L. George

IPv6

Page 16 sur 60

- Classe : Le champ classe est un champ expérimental qui permet à une source de caractériser son trafic. Il peut être pris en compte par les routeurs intermédiaires. Pour le récepteur, le champ classe n’a aucune signification.

D prio réservé
D
prio
réservé

Ce champ est divisé en trois parties :

• Un bit D sert à marquer (bit à 1) un trafic interactif pour lequel la contrainte en délai est plus importante que la contrainte en débit. Ce bit correspond au bit du champ ToS d’IPv4 minimisant le délai.

• Les 3 bits suivants du champ classe servent à une source de trafic pour indiquer la priorité de remise de ces paquets. La priorité est relative aux autres paquets émis par la source et est définie par des valeurs comprises entre 0 et 7.

• Les quatre bits restants (ceux pris sur le champ identificateur de flux) ne sont actuellement pas définis. Ils pourront être utilisés à des fins expérimentales.

Identificateur de flux : ce champ contient un numéro unique choisi par la source qui a pour but de faciliter le travail des routeurs et la mise en œuvre des fonctions de qualité de service. Cet indicateur peut être considéré comme une marque à un contexte dans le routeur. Le routeur peut alors faire un traitement particulier : choix d’une route, traitement en « temps- réel » de l’information.

Longueur des données utiles (payload) : contrairement à IPv4, ce champ, sur deux octets, ne contient que la taille des données utiles, sans prendre en compte la longueur de l’en-tête. Pour des paquets dont la taille des données serait supérieure à 65536 ce champ vaut 0 et l’option jumbogramme de l’extension de « proche-en-proche » est utilisée.

En-tête suivant : ce champ a une fonction similaire au champ protocole du paquet IPv4. Il identifie le prochain en-tête. Il peut s’agir d’un protocole (de niveau supérieur ICMP, UDP, TCP…) ou de la désignation d’extensions. Les extensions contiennent aussi ce champ pour permettre un chaînage.

Nombre de sauts : il est décrémenté à chaque nœud traversé. Un datagramme retransmis par un routeur est rejeté avec l’émission d’un message d’erreur ICMPv6 vers la source si la valeur après décrémentation atteint 0. Dans IPv4 ce champ est appelé durée de vie (ou TTL Time To Live). Sa vocation initiale est d’indiquer, en secondes, la durée maximale durant laquelle un paquet peut rester dans le réseau. En pratique, les paquets ne restent que quelques millisecondes dans les routeurs, et donc la décrémentation est arrondie à 1. Par contre, pour une liaison plus lente la décrémentation de ce champ peut être supérieure à 1. Dans IPv6, comme il s’agit d’un nombre de sauts, la décrémentation est toujours de 1. La valeur n’est pas encore officiellement attribuée, mais certaines implantations prennent actuellement la valeur 64. La valeur par défaut peut être dynamiquement attribuée aux équipements du réseau, une modification de ce paramètre sera donc relativement simple quand la limite actuelle sera atteinte. On peut noter une limitation, puisque ce champ codé sur 8 bits n’autorise la traversée que de 255 routeurs. En réalité, dans l’Internet actuel, le nombre maximal de routeurs traversés est d’une quarantaine, ce qui laisse une bonne marge pour l’évolution du réseau.

L. George

IPv6

Page 17 sur 60

Adresse de la source : (128 bits) champ adresse de l'émetteur du datagramme.

Adresse de la destination : (128 bits) champ adresse du destinataire du paquet. Il est possible que l'adresse ne soit pas celle du destinataire final si une option de routage est présente.

Exemples :

Les paquets IPv6 suivants ont été capturés au cours d’une connexion FTP :

Le paquet commence par 6 qui indique la version du protocole. Le second 6 donne la classe réservée au trafic de commande FTP (un trafic de données aurait la priorité 4) 2 . L’identificateur de flot n’a pas été défini par la source 00 00 00. La longueur du paquet est de 0x0028 octets. Le paquet ne contient pas d’extension puisque la valeur de l’entête suivant, 0x06, correspond au protocole de niveau 4 TCP. Le nombre maximal de routeurs que le paquet pourra traverser est de 64 (0x40). Les adresses source et destination sont des adresses de test appartenant au plan d’adressage fournisseur.

B. Les extensions IPv6

Les extensions d’IPv6 peuvent être vues comme un prolongement de l’encapsulation d’IP dans IP. Ces informations complémentaires sont codées dans des en-têtes qui doivent être placés entre l'en-tête IPv6 et l'en-tête de la couche transport.

Une extension a une longueur multiple de 8 octets. Elle commence par un champ en-tête suivant (Next Header) d’un octet qui définit le type de données qui suit l’extension : une autre extension ou un protocole de niveau 4. Pour les extensions à longueur variable, l’octet suivant contient la longueur de l’extension en mots de 8 octets, le premier n’étant pas compté (une extension de 16 octets a un champ longueur de 1).

Comme illustré dans les exemples suivants, un paquet IPv6 peut comporter aucun, un ou plusieurs en-têtes supplémentaires,

comporter aucun, un ou plusieurs en-têtes supplémentaires, 2 Il s’agit de la notation définie dans le

2 Il s’agit de la notation définie dans le RFC 1883.

L. George

IPv6

Page 18 sur 60

À part l’extension de proche en proche traitée par tous les routeurs intermédiaires, les autres extensions ne sont prises en compte que par les équipements destinataires du paquet. Lorsqu'il y a plus d'un en-tête supplémentaire utilisé dans le même paquet, le RFC 1883 recommande l’ordre suivant :

- Proche en proche (doit toujours être en première position)

- Destination (sera aussi traité par les routeurs listés dans l’extension de routage par la source)

- Routage par la source (type 0)

- Fragmentation

- Authentification

- Sécurité

- Destination (traité uniquement par l’équipement terminal)

Chaque type d'en-tête ne doit apparaître qu'une seule fois dans le paquet (excepter dans le cas d'une encapsulation IPv6 dans IPv6, où chaque en-tête IPv6 encapsulé doit être suivi par son propre en-tête supplémentaire).

1. Proche en proche

Cette extension (en anglais : hop-by-hop) se situe toujours en première position et est traitée par tous les routeurs que le paquet traverse. Le type associé (contenu dans le champ d’en-tête en-tête suivant de l’en-tête précédent) est 0 et le champ longueur de l’extension contient le nombre de mots de 64 bits moins 1.

0

8

16

24

31

En-tête suivant

lg. extension

options

L’extension est composée d’options. Pour l’instant, seules quatre options, dont deux de bourrage, sont définies. Chaque option est une suite d’octets. Le premier octet est un type, le deuxième (sauf pour l’option 0) contient la longueur de l’option moins 2. Les deux premiers bits de poids fort du type définissent le comportement du routeur quand il rencontre une option inconnue :

00 :

le routeur ignore l’option ;

01

:

le routeur rejette le paquet ;

10

:

le routeur rejette le paquet et retourne un message ICMPv6 d’inaccessibilité;

11

:

le routeur rejette le paquet et retourne un message ICMPv6 d’inaccessibilité si l’adresse de destination n’est pas multicast.

Le bit suivant du type indique que le routeur peut modifier le contenu du champ option (valeur à 1) ou non (valeur à 0).

L. George

IPv6

Page 19 sur 60

Les quatre options de proche en proche sont :

— Pad1 (type 0). Cette option est utilisée pour introduire un octet de bourrage ;

— Padn (type 1). Cette option est utilisée pour introduire plus de 2 octets de bourrage. Le

champ longueur indique le nombre d’octets qui suivent. Les options de bourrage peuvent sembler inutiles avec IPv6 puisqu’un champ longueur pourrait en donner la longueur exacte. En fait les options de bourrage servent à optimiser le traitement des paquets en alignant les champs sur des mots de 32, voire 64 bits.

— Jumbogramme (type 194 ou 0xc2). Cette option est utilisée quand le champ longueur des

données du paquet IPv6 n’est pas suffisant pour coder la taille du paquet. Cette option est essentiellement prévue pour la transmission à grand débit entre deux équipements. Si l’option jumbogramme est utilisée, le champ longueur des données utiles dans l’en-tête IPv6 vaut 0.

— L’option Router Alert a aussi été définie récemment dans IPv4 (RFC 2113). L’émetteur

envoie les données à la destination, mais s’il précise l’option Router Alert, les routeurs intermédiaires vont analyser les données, voire modifier leur contenu avant de relayer le paquet. Ce mécanisme est efficace puisque les routeurs n’ont pas à analyser le contenu de tous les paquets d’un flux.

Le type de l’option n’est pas encore attribuée, mais il devra commencer par la séquence binaire , puisqu’un routeur qui ne connaît pas cette option doit relayer le paquet sans le modifier. Le champ valeur de l’option contient :

0 : pour les messages ICMPv6 de gestion des groupes multicast ;

1 : pour les messages RSVP ; les autres valeurs sont réservées.

Pad 1

0

   

Pad n

1

longueur

0

0

 

Jumbogramme

194

4

 

Longueur des données

Router Alert

???

2

 

valeur

 

2. Destination

Cette extension, dont le format est identique à l’extension de proche en proche, contient des options qui sont traitées par l’équipement destinataire. Pour l’instant, à part les options de bourrage (voir Pad1 et Padn, page précédente) et de mobilité, aucune autre option n’est définie.

3. Routage

Cette extension permet d’imposer à un paquet une route différente de celle offerte par les politiques de routage présentes sur le réseau. Pour l’instant seul le routage par la source (type = 0), similaire aux options Strict Source Routing et Loose Source Routing d’IPv4, est défini.

L. George

IPv6

Page 20 sur 60

Le routage peut être strict (le routeur suivant présent dans la liste doit être un voisin directement accessible) 3 ou libéral (loose) (un routeur peut utiliser les tables de routage pour joindre le routeur suivant servant de relais).

Le principe du routage par la source ou Source Routing pour IPv6 est le même que pour IPv4. L’émetteur met dans le champ destination du paquet IPv6, l’adresse du premier routeur servant de relais, l’extension contient la suite de la liste des autres routeurs relais et le destinataire. Quand un routeur reçoit un paquet qui lui est adressé comportant une extension de routage par la source, il permute son adresse avec l’adresse du prochain routeur et réémet le paquet vers cette adresse suivante.

Le schéma suivant donne le format de l’extension de routage par la source :

0

 

8

 

16

 

24

31

en-tête suivant

lg. extension

type de routage

segments restants

réservé

 

bitmap strict/loose

 
 

adresse du routeur 1

 
 

 

adresse du routeur n

 

Longueur de l’en-tête : ce champ indique le nombre de mots de 64 bits qui composent l’extension. Pour l’extension de type 0, cela correspond au nombre d’adresses présentes dans la liste, multiplié par 2.

Type de routage : ce champ indique la nature du routage. Pour l’instant, seul le routage par la source, de type 0 est spécifié. La suite de l’en-tête correspond à ce type.

Segments restants : le nombre de segments restants est décrémenté après la traversée d’un routeur. Il indique le nombre d’équipements qui doivent encore être traversés. Il permet de trouver l’adresse qui devra être substituée. Pour le type 0, la valeur maximale est de 23.

Bitmap strict/loose : les 24 bits de la bitmap indiquent (de la gauche vers la droite), pour chaque équipement de la liste, s’il s’agit d’un routage strict (valeur à 1) ou libéral (valeur à 0).

3 Cette possibilité est controversée et devrait disparaître à court terme.

L. George

IPv6

Page 21 sur 60

Adresse du routeur : la liste comprenant les routeurs à traverser et le destinataire est fournie. Ces adresses ne peuvent pas être multicast.

4. Fragmentation

L'en-tête de fragmentation est utilisé par la source pour envoyer des paquets plus grands que ne peut acheminer le réseau à leurs destinataires. A la différence d'IPv4, la fragmentation est exécutée seulement par les nœuds source et non plus par les routeurs qui acheminent les paquets le long du chemin. L'en-tête de fragmentation est repéré par une valeur de En-tête suivant égale à 44 juste après le précédent en-tête. Le format est le suivant :

0

 

8

 

16

 

24

31

en-tête suivant

Réservé (0)

place du fragment

0

0

M

 

identification

 

La signification des champs est identique à celle d’IPv4 :

Place du fragment : ce champ indique lors du réassemblage où les données doivent être insérées. Ceci permet de parer les problèmes dus au déséquencement dans les réseaux orientés datagrammes. Comme ce champ est sur 13 bits, la taille de tous les segments, sauf du dernier, doit être multiple de 8 octets.

Le bit M s’il vaut 1 indique qu’il y aura d’autres fragments émis.

Le champ identification permet de repérer les fragments appartenant à un même paquet initial. Il est différent pour chaque paquet et recopié dans ses fragments.

Remarque : le bit DF (don’t fragment) d’IPv4 n’est plus nécessaire puisque, si l’extension n’est pas présente, il y aura rejet du paquet par le routeur.

Dans IPv4, la valeur d’une option était codée de manière à indiquer au routeur effectuant la fragmentation, si elle devait être copiée dans les fragments. Dans IPv6, l’en-tête et les extensions qui concernent les routeurs intermédiaires (pour l’instant proche en proche, routage par la source) sont recopiées dans chaque fragment.

5. Authentification

L'en-tête d'authentification est utilisé pour authentifier et assurer l'intégrité des paquets. La non-répudiation est obtenue par un algorithme d'authentification exécuté sur l'en-tête d'authentification. Mais elle n'est pas obtenue par tous les algorithmes d'authentification exécutés sur cet en-tête. L'en-tête d'authentification est déterminé par la valeur 51 du champ En-tête suivant, et a le format suivant :

L. George

IPv6

Page 22 sur 60

0

8

16

24

31

en-tête suivant

lg. extension

réservé

indice des paramètres de sécurité

données d’authentification (nombre variable de mots de 32 bits)

En-tête suivant (8 bits) : identifie le type d'en-tête suivant immédiatement l'en-tête d'authentification. Les valeurs sont identiques à celles du champ de protocole de IPv4.

Longueur extension (8 bits) : c'est la longueur du champ de données d’authentification, multiple de 8 octets.

Réservé (16 bits ) : initialisé à 0 à l'émission, ignoré à la réception.

Indice des paramètres de sécurité : Security Association ID (SAID - 32 bits) ; lorsqu'il est combiné avec l'adresse source, il identifie au(x) destinataire(s) le type de sécurité établi, associé aux paquets concernés.

Données d’authentification (longueur variable) : information sur l'algorithme spécifique nécessaire à authentifier la source du paquet et à assurer son intégrité conformément à la sécurité associée. La longueur de ce champ est variable et est un multiple de 8 octets.

6. En-tête de confidentialité

L’en-tête privé cherche à donner une confidentialité et une intégrité en cryptant les données à protéger et en les plaçant dans la section « données » de l’en-tête de confidentialité (Privacy Header). Suivant les exigences de sécurité de l'utilisateur, soit la trame de couche transport (e.g. UDP ou TCP) est cryptée, soit le datagramme entier d'IPv6 l'est. Cette approche par encapsulation est nécessaire pour assurer une confidentialité du datagramme complet original. S'il est présent, l'en-tête de confidentialité est toujours le dernier champ non-crypté dans un paquet.

L'en-tête de confidentialité travaille entre stations, entre une station et un gateway (passerelle) de sécurité, ou entre des gateways de sécurité. Ceci permet sans d'importants coûts financiers et de performance d'assurer un réseau digne de confiance en transitant du trafic sécurisé sur des segments du réseau qui ne le sont pas.

L. George

IPv6

Page 23 sur 60

0

8

16

24

31

indice des paramètres de sécurité

données de synchronisation (longueur variable)

en-tête suivant

lg. extension

réservé

données protégées (longueur variable)

trailer

Indice des paramètres de sécurité (SAID - 32 bits) : identifie le type de sécurité au datagramme. Si aucune association de sécurité n'a été établie, la valeur de ce champ est 0x0000. Une association de sécurité est unilatérale. Une communication sécurisée entre deux stations doit avoir normalement deux SAID (un pour chaque sens des échanges). La station destinataire utilise la combinaison de la valeur du SAID et de l'adresse origine pour distinguer la correcte association.

Données de synchronisation (longueur dépendant du SAID) : ce champ est optionnel et sa valeur dépend du SAID utilisé. Par exemple, le champ peut contenir des données de synchronisation de cryptographie pour un algorithme de codage. Il peut aussi contenir un vecteur d'initialisation cryptographique. L'implantation d'un en-tête de confidentialité utilisera une valeur de SAID pour déterminer si le champ n'est pas vide, et si c'est le cas, évalue la longueur du champ et l'utilise.

En-tête suivant (8 bits), crypté : identifie le type d'en-tête suivant immédiatement l'en-tête de confidentialité. Les valeurs sont identiques à celles du champ de protocole de IPv4.

Réservé (17 bits), crypté : ignoré à la réception.

Longueur (8 bits), crypté : longueur de l'en-tête privé, à l'exclusion des 8 premiers octets, donnée en un multiple de 8 octets.

Données protégées (longueur variable), crypté : ce champ peut contenir un datagramme complet encapsulé IPv6, une séquence d'option(s) IPv6 ou pas, et enfin le paquet de la couche transport. Ou bien, il est constitué du paquet de la couche transport précédé ou pas d'une série d'option(s).

Algorithme-dependant Trailer (trailer - longueur variable suivant SAID), crypté : ce champ est utilisé pour faire du bourrage (nécessité de certains algorithmes) ou pour enregistrer des données d'authentification à utiliser avec un algorithme de cryptographie qui fournit la confidentialité sans l'authentification. Ce champ n'est présent que si l'algorithme utilisé le nécessite.

L. George

IPv6

Page 24 sur 60

III. Configuration automatique et contrôle

A. Découverte des voisins (RFC 1970)

Le protocole de découverte des voisins (neighbor discovery) permet à un équipement de s’intégrer dans l’environnement local, c’est-à-dire le lien sur lequel sont physiquement transmis les paquets IPv6. Il permet de dialoguer avec les équipements connectés au même support (stations et routeurs).

Le champ nombre de sauts de l’en-tête IPv6 contient la valeur 255 — il peut sembler paradoxal d’utiliser une valeur aussi grande pour des datagrammes qui ne doivent pas être routés hors du lien physique ; en fait si un équipement reçoit un datagramme avec une valeur plus petite, cela signifie que l’information provient d’un autre réseau et que le datagramme doit être rejeté.

Le champ priorité vaut 15 4 .

Le protocole réalise les différentes fonctions suivantes :

— Résolution d’adresses. Comme pour IPv4, ce protocole construit des tables de mise en correspondance entre les adresses IPv6 et physiques.

— Détection d’inaccessibilité des voisins ou NUD (Neighbor Unreachability Detection).

Cette fonction n’existe pas en IPv4. Elle permet d’effacer des tables de configuration d’un

équipement les voisins qui sont devenus inaccessibles (panne, changement d’adresse,

un routeur devient inaccessible la table de routage peut être modifiée pour prendre en compte une autre route.

Si

).

— Configuration. La configuration automatique des équipements est l’un des attraits

principaux d’IPv6. Plusieurs fonctionnalités du protocole de découverte des voisins sont mises en œuvre :

- Découverte des routeurs : ce protocole permet aux équipements de déterminer les routeurs qui sont sur leur lien physique. Dans IPv4, ces fonctionnalités sont remplies par le protocole ICMP Router Discovery.

- Découverte des préfixes : l’équipement apprend le ou les préfixes du réseau en fonction des annonces faites par les routeurs. En y ajoutant l’identifiant d’interface de l’équipement, celui-ci construit son ou ses adresses IPv6. Il n’existe pas d’équivalent pour le protocole IPv4 puisque les adresses sont trop courtes pour faire de l’auto-configuration.

- Détection des adresses dupliquées : comme les adresses sont construites automati- quement, il existe des risques d’erreurs en cas d’identité de deux identifiants. Ce protocole teste qu’aucun autre équipement sur le lien ne possède la même adresse

IPv6.

Cette fonctionnalité est une évolution de l’ARP gratuit d’IPv4 émis à l’initialisation de

l’interface.

- Découverte des paramètres. Ce protocole permet aux équipements d’apprendre les différents paramètres du lien physique, par exemple, la taille du MTU, le nombre de

4 Valeur définie dans le RFC 1883. Cette exigence devrait bientôt disparaître.

L. George

IPv6

Page 25 sur 60

sauts maximal autorisé (valeur initiale du champ nombre de sauts), si la configuration automatique avec état (comme DHCPv6) est active Il n’existe pas d’équivalent en IPv4.

Indication de redirection. Ce message est utilisé quand un routeur connaît une route meilleure (en nombre de sauts) pour aller à une destination.

Les différentes fonctionnalités de découverte des voisins utilisent 5 types de messages ICMPv6 :

Message de sollicitation d’un routeur : il est émis par un équipement au démarrage pour recevoir plus rapidement des informations du routeur. Ce message est émis à l’adresse IPv6 de multicast réservée aux routeurs sur le même lien.

Annonce du routeur : ce message est émis périodiquement par les routeurs ou en réponse à un message de sollicitation d’un routeur par un équipement.

Sollicitation d’un voisin : ce message permet d’obtenir des informations d’un voisin,

c’est-à-dire situé sur le même lien physique (ou via des ponts). Le message peut lui être explicitement envoyé ou émis sur une adresse de diffusion. Dans le cas de la détermination de l’adresse physique, il correspond à la requête ARP du protocole IPv4.

Annonce d’un voisin : ce message est émis en réponse à une sollicitation, mais il peut

aussi être émis spontanément pour propager plus rapidement une information. Dans le cas de la détermination d’adresse physique, il correspond à la réponse ARP pour le protocole IPv4.

Indication de redirection : la technique de redirection est la même que dans IPv4. Un

équipement ne connaît que les préfixes des réseaux auxquels il est directement attaché et l’adresse d’un routeur par défaut. Si la route peut être optimisée, le routeur par défaut envoie ce message pour indiquer qu’une route plus courte existe. En effet, avec IPv6, comme le routeur par défaut est appris automatiquement, la route n’est pas forcément la meilleure. Un autre cas d’utilisation particulier à IPv6 concerne des stations situées sur un même lien physique mais ayant des préfixes différents. Ces machines passent dans un premier temps par le routeur par défaut. Ce dernier les avertit qu’une route directe existe.

Chacun de ces messages peut contenir des options qui sont au nombre de 4 (adresse physique de la source/cible, information sur le préfixe, en-tête redirigé, MTU).

B. Configuration automatique

Traditionnellement, la configuration d’une interface réseau d’une machine demande une configuration manuelle. C’est un travail souvent long et fastidieux. Avec IPv6, cette configuration est automatisée donnant par là-même des caractéristiques de fonctionnement immédiat (« plug and play ») à l’interface réseau. La configuration automatique signifie qu’une machine obtient toutes les informations nécessaires à sa connexion à un réseau local IP sans aucune intervention humaine. Dans le cas idéal, un utilisateur quelconque déballe son nouvel ordinateur, le connecte au réseau local et le voit fonctionner sans devoir y introduire des informations de « spécialiste ».

L. George

IPv6

Page 26 sur 60

L’auto-configuration a pour objectif :

- l’acquisition d’une adresse quand une machine est attachée à un réseau pour la première fois ;

- l’obtention de la nouvelle adresse suite à la renumérotation des machines du site après un changement d’opérateur. L’opération de re-numérotage revient concrètement à changer la partie haute de l’adresse. L’auto-configuration d’adresse va servir de vecteur dans l’attribution du nouveau préfixe.

Le rôle du routeur est important dans l’auto-configuration. Il dicte à la machine, par les bits et du message d’annonce de routeurs, la méthode à retenir et fournit éventuellement les informations nécessaires à sa configuration. La valeur de ces bits est donnée par l’administrateur. La mise à la valeur 1 indique à la machine de retenir la méthode d’auto- configuration avec état. L’algorithme de la procédure d’auto-configuration d’adresse se décompose de la manière suivante :

— La toute première étape consiste à créer l’adresse lien-local.

— Une fois l’unicité de cette adresse vérifiée, la machine est en mesure de communiquer avec les autres machines du lien.

— Maintenant, la machine doit chercher à acquérir un message d’annonce du routeur pour déterminer la méthode d’obtention de l’adresse unicast globale.

— S’il y a un routeur sur le lien, la machine doit appliquer la méthode indiquée par le

message d’annonce de routeurs, à savoir :

- l’auto-configuration sans état (stateless autoconfiguration), utilisée quand la gestion administrative des adresses attribuées n’est pas nécessaire au sein d’un site.

- l’auto-configuration avec état (stateful autoconfiguration), retenue lorsqu’un site demande un contrôle strict de l’attribution des adresses.

— En l’absence de routeur sur le lien, la machine doit essayer d’acquérir l’adresse unicast

globale par la méthode d’auto-configuration avec état. Si la tentative échoue, c’est terminé. Les communications se feront uniquement sur le lien avec l’adresse lien-local. La machine n’a pas une adresse avec une portée qui l’autorise à communiquer avec des machines autres que celles du lien.

1. Détection d’adresse double

Pour vérifier l’unicité des adresses unicast, les machines doivent exécuter un algorithme de Détection d’Adresse Double (DAD) avant de les utiliser. L’algorithme utilise les messages ICMPv6 « sollicitation d’un voisin » et « annonce d’un voisin ». Si une adresse double est découverte, elle ne pourra être attribuée à l’interface. L’auto-configuration s’arrête et une intervention humaine devient obligatoire. Une adresse est qualifiée de « provisoire » pendant l’exécution de l’algorithme DAD et ce jusqu’à la confirmation de son unicité. Une adresse provisoire est assignée à une interface uniquement pour recevoir les messages de sollicitation et d’annonce d’un voisin. Les autres messages reçus sont ignorés. L’algorithme DAD consiste à envoyer un message sollicitation d’un voisin avec comme adresse cible l’adresse provisoire.

L. George

IPv6

Page 27 sur 60

Trois cas se présentent :

— Un message annonce d’un voisin est reçu ; l’adresse provisoire est utilisée comme adresse

valide par une autre machine. L’adresse provisoire n’est pas unique et ne peut être retenue.

— Un message sollicitation d’un voisin est reçu ; l’adresse provisoire est également une

adresse provisoire pour une autre machine qui est en train d’exécuter l’algorithme DAD. L’adresse provisoire ne peut être utilisée par aucune des machines.

— Rien n’est reçu au bout d’une seconde (valeur par défaut) ; l’adresse provisoire est unique, elle passe de l’état de provisoire à celle de valide et elle est assignée à l’interface.

2. Création de l’adresse lien-local

À l’initialisation de son interface, la machine construit un identifiant pour l’interface qui doit être unique au lien. Cet identifiant a été dans sa première version l’adresse MAC de la machine ; actuellement il est sous le format de l’identifiant EUI-64. Le principe de base de la création d’adresse IPv6 est de marier un préfixe avec l’identifiant. L’adresse lien-local est créée en prenant le préfixe lien-local ( ) qui est fixé. L’adresse ainsi constituée est encore interdite d’usage. Elle possède un état provisoire car la machine doit encore vérifier l’unicité de cette adresse sur le lien au moyen de la procédure de détection d’adresse double. Si la machine détermine que sa création d’adresse lien-local a échoué (c’est-à-dire qu’elle n’est pas unique), l’auto-configuration s’arrête et une intervention manuelle est nécessaire. Une fois que l’ambiguïté sur l’unicité de l’adresse lien-local a été levée, l’adresse provisoire devient une adresse valide pour l’interface. La première phase de l’auto-configuration consistant à créer une adresse lien-local est achevée.

3. Auto-Configuration sans état

L’auto-configuration sans état ne demande aucune configuration manuelle des machines, une configuration minimum pour les routeurs et aucun serveur supplémentaire. Elle se sert du protocole ICMPv6 et peut fonctionner sans la présence de routeurs. Elle nécessite cependant un sous-réseau à diffusion. Cette méthode ne s’applique que pour les machines et ne peut être retenue pour la configuration des routeurs. Le principe de base de l’auto-configuration sans état est qu’une machine génère son adresse IPv6 à partir d’informations locales et d’informations fournies par un routeur. En fait le routeur fournit à la machine les informations sur le sous-réseau associé au lien, il donne le préfixe ou le localisateur de l’adresse. Comme pour la création de l’adresse lien-local, l’adresse unicast globale est obtenue en concaténant le préfixe avec l’identifiant de l’interface. Le préfixe provient du message d’annonce de routeurs et plus précisément de l’option « information sur le préfixe ». Bien qu’il faille vérifier l’unicité de toutes les adresses unicast, dans le cas d’une adresse unicast obtenue par auto- configuration sans état cela n’est pas nécessaire. En effet, l’identifiant de l’interface a déjà été contrôlé dans l’étape de création de l’adresse lien-local. L’identifiant étant le même, il n’y a plus aucune ambiguïté sur son unicité. L’adresse unicast globale constituée est aussi unique que celle lien-local. La re-numérotation des machines d’un lien s’effectue au moyen des routeurs qui passent les adresses utilisées dans un état déprécié et annoncent par la suite le nouveau préfixe. Les machines pourront recréer une adresse préférée.

L. George

IPv6

Page 28 sur 60

4. Auto-Configuration avec état : DHCPv6

Avec l’auto-configuration avec état, une machine IPv6 obtient les adresses et/ou d’autres informations de configuration par l’intermédiaire d’un serveur. Tout le mécanisme d’auto- configuration avec état est bâti sur le modèle du client-serveur et repose sur l’utilisation du protocole DHCPv6 (Dynamic Host Configuration Protocol for IPv6). Le protocole DHCPv6 sert à remettre des paramètres de configuration d’un serveur DHCP à un client IPv6. Un paramètre de configuration est une information utile à la machine pour configurer son interface réseau de manière qu’elle puisse communiquer sur son lien ou sur l’Internet. Ceci comprend notamment les adresses pour le client, le serveur de nom, le nom de domaine etc. Pour les adresses, par exemple, le serveur maintient une table pour lui permettre de savoir quelles sont les adresses allouées et celles qui ne le sont pas. L’ensemble des adresses gérées par le serveur est créé par l’administrateur du site. Le serveur DHCP ne se trouve pas forcément sur le même lien que le client et dans ce cas, les échanges DHCPv6 passent par un relais. Grâce à ces relais, le serveur peut maintenir la configuration des machines situées sur plusieurs liens différents. Conformément au modèle client-serveur, les échanges se composent de requêtes et de réponses. Une transaction est pratiquement toujours entamée sur l’initiative d’un client par une requête DHCP. La fiabilité de la transaction est assurée par le client, qui répète sa requête DHCP jusqu’à recevoir une réponse ou obtenir la certitude que le serveur DHCP est indisponible. DHCPv6 est un protocole d’application qui se sert du protocole de transport UDP au-dessus de IPv6. Un client envoie les requêtes sur le port 547 du serveur et recevra les réponses par le port 546.

Le protocole DHCPv6 se compose de 6 types de messages :

— Sollicitation DHCP, message émis vers un serveur ou un relais DHCP. Un client émet un tel message pour obtenir l’adresse d’un serveur DHCP.

— Annonce DHCP, message émis en réponse à un message Sollicitation DHCP. Il donne l’adresse IPv6 d’un serveur DHCP.

— Requête DHCP, message émis d’un client vers un serveur pour demander des paramètres de configuration.

— Réponse DHCP, message émis par le serveur suite à une demande du client.

— Libération DHCP, demande du client de libérer des ressources allouées par le serveur.

— Reconfiguration DHCP, message émis par le serveur pour informer le client qu’il a de nouvelles informations de configuration. Le client doit alors commencer une nouvelle transaction pour acquérir ces informations.

C. Renumérotation automatique des routeurs

Le protocole de découverte de voisin permet la configuration initiale et la reconfiguration des équipements terminaux de manière automatique. Il ne s’applique pas aux routeurs, pour des raisons de sécurité et parce que la configuration d’un routeur est plus complexe. C’est une des critiques sur IPv6 en l’état actuel : un site qui change de fournisseur d’accès doit reconfigurer

L. George

IPv6

Page 29 sur 60

tous ses routeurs à la main. Un des buts du plan d’adressage GSE était de supprimer ce problème. Une autre approche est de concevoir un protocole spécifique pour la reconfiguration automatique des routeurs. Un tel protocole est en cours de discussion.

Ce protocole est basé sur un message ICMPv6 spécial, dont le type n’a pas encore été précisé. Ce message contient un préfixe de test, une opération, et des nouveaux préfixes. Lorsqu’un

routeur reçoit un tel message, il regarde si le message concerne un des préfixes associés à une de ses interfaces : pour cela il regarde si le préfixe de test est un préfixe de ce préfixe d’interface. Si c’est le cas, on applique l’opération contenue dans le message à l’interface ; l’opération peut être :

- ajouter : on ajoute à l’interface les nouveaux préfixes contenus dans le message,

- remplacer : on remplace le préfixe sélectionné de l’interface par les nouveaux préfixes contenus dans le message,

- affecter : on remplace tous les préfixes associés à l’interface par les nouveaux préfixes contenus dans le message.

En fait, chaque préfixe ajouté (ou de remplacement) est formé en concaténant un nouveau préfixe et un champ de bits pris dans l’ancien préfixe d’interface (champ longueur à conserver du message). Ceci permet de changer la partie haute de plusieurs préfixes en un seul message.

Le protocole comprend aussi des mécanismes de détection de messages perdus ou dupliqués, et un mécanisme de signature pour sécuriser la reconfiguration. Avec un tel protocole il est possible, lors d’un changement de fournisseur d’accès, de reconfigurer tous les routeurs du site en quelques messages. Une fois les routeurs reconfigurés, les protocoles de configuration automatique (avec ou sans état) permettent de reconfigurer tous les équipements du site.

D. Mécanisme de découverte du PMTU (RFC 1981)

Pour des considérations d’efficacité, il est généralement préférable que les informations échangées entre équipements soient contenues dans des datagrammes de taille maximale. Cette taille dépend du chemin suivi par les datagrammes et est égale à la plus grande taille autorisée par l’ensemble des liens traversés.

Elle est de ce fait appelée PMTU, ou Path Maximum Transmission Unit (unité de transfert de taille maximale sur le chemin).

Initialement, l’équipement émetteur fait l’hypothèse que le PMTU d’un certain chemin est égal au MTU du lien auquel il est directement attaché. S’il s’avère que les paquets transmis sur ce chemin excédent la taille maximale autorisée par un lien intermédiaire, alors le routeur associé détruit ces paquets et retourne un message d’erreur ICMPv6 de type « paquet trop grand », en y indiquant le MTU accepté. Fort de ces informations, l’équipement émetteur réduit le PMTU supposé pour ce chemin.

Plusieurs itérations peuvent être nécessaires avant d’obtenir un PMTU permettant à tout paquet d’arriver à l’équipement destinataire sans jamais excéder le MTU de chaque lien traversé. Le protocole IPv6 garantit que le MTU de tout lien ne peut descendre en dessous de 576 octets, valeur qui constitue ainsi une borne inférieure pour le PMTU. Ce protocole

L. George

IPv6

Page 30 sur 60

reposant sur la perte de paquets, il est laissé le soin aux couches supérieures de gérer la fiabilité de la communication en retransmettant si nécessaire.

Si la détermination du PMTU se fait essentiellement lors des premiers échanges entre les équipements concernés, elle peut également être revue en cours de transfert si, suite à un changement de route, un lien plus contraignant est traversé.

L’émetteur vérifie aussi que le PMTU n’a pas augmenté en envoyant de temps en temps un paquet plus grand. Si celui-ci traverse le réseau sans problème, la valeur du PMTU est augmentée.

Signalons enfin que l’algorithme de découverte du PMTU fonctionne indifféremment avec des échanges point-à-point ou multipoints. Dans ce dernier cas, le PMTU sera le PMTU minimal permis par l’ensemble des chemins vers chaque site destinataire du groupe de diffusion.

Mise en œuvre :

L’exploitation de l’information de PMTU se fait de plusieurs façons suivant l’endroit où les données à transmettre sont segmentées :

- si un protocole de type TCP est utilisé, celui-ci assurera la segmentation de façon transparente pour les applications, en fonction des informations de PMTU que pourra lui communiquer la couche IPv6.

- si un protocole de type UDP est utilisé, alors cette segmentation devra être assurée par une couche supérieure, éventuellement l’application. Il faut donc que celle ci (1) puisse être informée du PMTU autorisé, même dans le cas où celui-ci change par la suite, et (2) puisse segmenter ses données en conséquence.

Parce que ces deux conditions ne sont pas toujours réunies, IPv6 a conservé un mécanisme de fragmentation.

Un deuxième aspect concerne l’identification des chemins afin de pouvoir y associer les informations de PMTU. Plusieurs possibilités, laissées à l’implémenteur, sont possibles. Un chemin peut être identifié par l’adresse destination, ou par l’identificateur de flux si celui-ci est utilisé, ou par la route suivie dans le cas où elle est imposée.

Enfin, s’il est fortement recommandé que chaque équipement supporte le mécanisme de recherche du PMTU, ce n’est pas obligatoire. Ainsi, un équipement qui n’en dispose pas (par exemple une ROM de boot) devra restreindre la taille de tout paquet transmis au MTU minimal que doit supporter tout lien soit 576 octets.

L. George

IPv6

Page 1 sur 60

IV. Supports de transmission

Le principe du transport d’un datagramme IPv6 entre deux machines directement reliées entre elles est le même que pour IPv4. Il est tout d’abord routé vers une interface d’émission qui l’encapsule dans une trame (PDU de niveau 2 dans le modèle de référence de l’OSI), elle- même transmise sur un lien physique. La machine destination reçoit la trame sur son interface, la décapsule et la traite. Une adresse sur un lien sera appelée Adresse MAC.

A. Réseau à diffusion

Le protocole de transport de datagrammes IPv6, reposant sur des supports permettant le multicast, autorise l’utilisation du protocole de découverte de voisins pour faire la correspondance entre adresse IPv6 et adresse MAC.

1. Ethernet (RFC 1972)

Les datagrammes IPv6 utilisent l’encapsulation standard dans des trames Ethernet, chaque trame contenant un seul datagramme. L’en-tête de la trame Ethernet contient les adresses Ethernet source et destination, et le champ type vaut (pour IPv4 le champ type valait ).

La structure d’une trame est :

trame Ethernet

paquet IPv6

adresse de

la source

adresse de

destination

6

octets

6

octets

2

octets

En-tête IPv6

+ extensions

0x86DD

1500 octets

données

données utiles

4 octets

CRC

La taille maximale d’un datagramme pouvant être transmis directement par une interface Ethernet (MTU) est normalement de 1500 octets. Une valeur plus faible peut être forcée par configuration manuelle ou en utilisant l’option MTU des annonces de routeurs.

L. George

IPv6

Page 32 sur 60

Si un datagramme est plus grand que le MTU prévu, l’interface le rejette. La couche supérieure de transport doit soit changer la taille des paquets, soit utiliser l’extension de fragmentation.

Pour les adresses de multicast, le protocole de découverte des voisins n’est pas utilisable. L’adresse Ethernet est calculée en concaténant le préfixe et les 4 octets de poids faible de l’adresse IPv6.

Pour la construction des adresses lien-local et des adresses auto-configurées, l’identifiant d’interface est celui dérivé de l’adresse MAC IEEE 802 constructeur de l’interface Ethernet.

Pour les messages ICMPv6 de découverte de voisins, le format des options « adresse physique Source/Destination » est :

Type : type de l’option « Neighbor Discovery » Long : 1 (i.e. 8 octets)

8 bits

8 bits

48 bits

Type

Long = 1

Adresse MAC

2. FDDI (RFC 2019)

La taille maximum d’une trame FDDI est de 4500 octets, ce qui autoriserait un MTU

maximum de 4470 octets. Pour permettre des extensions, le MTU IPv6 par défaut pour FDDI

a été fixé à 4352 octets. Toutefois, à cause de la présence possible de ponts IEEE 802.1d

le MTU effectif peut être plus faible (par exemple en présence de ponts

(Spanning Tree,

Ethernet/FDDI, le MTU doit être de 1 500 octets). La valeur par défaut du MTU peut donc

être modifiée, soit par configuration manuelle, soit en utilisant l’option MTU des paquets

« Annonce du routeur ».

),

Les datagrammes IPv6 sont transmis dans des trames FDDI asynchrones avec jeton simple, chaque trame contenant un datagramme. L’encapsulation utilisée est l’encapsulation LLC/SNAP avec adresses 48 bits et un champ type protocole valant 0x86DD.

La structure d’une trame est :

avec :

FC

DSAP, SSAP Valeur , indiquant une encapsulation SNAP.

« Frame Code». Doit être dans l’intervalle - .

CTL

Valeur , indiquant une information non numérotée.

OUI

Valeur (« Qrganizationally Unique Identifier »).

Code

Valeur .

L. George

IPv6

Page 1 sur 60

trame FDDI 1 octet FC Encapsulation NSAP trame LLC+SNAP adresse de 6 octets 1 DSAP
trame FDDI
1 octet
FC
Encapsulation NSAP
trame LLC+SNAP
adresse de
6
octets
1
DSAP
paquet IPv6
la source
1
SSAP
1
CTRL
en-tête +
adresse de
6
octets
extensions
destination
3
OUI
2
code
< 4500 octets
données
données
données
4 octets
CRC

Le principe régissant le calcul de l’identifiant d’interface et celui de l’adresse MAC à partir d’une adresse IPv6 de multicast est le même que pour Ethernet. L’option « adresse physique Source/Destination » est aussi décrite dans le chapitre consacré à Ethernet.

3. IEEE 802.3

A priori, un des obstacles à l’utilisation directe du protocole IEEE 802.3 semble levé avec IPv6. Avec IPv4, comme il n’existe pas de numéro de SAP attribué au protocole ARP, l’encapsulation SNAP est obligatoirement utilisée.

Avec IPv6, le protocole ARP est remplacé par le protocole de découverte des voisins qui utilise les messages ICMPv6. Techniquement, IPv6 peut être utilisé au-dessus du protocole IEEE 802.3. Reste le problème de l’alignement des champs. Un soin tout particulier a été apporté dans la conception des en-têtes pour les aligner sur des mots de 64 bits. Or l’en-tête IEEE 802.2, obligatoire, fait 3 octets. L’encapsulation SNAP est toujours nécessaire, car avec ses 5 octets, elle aligne le début du paquet IPv6 au début d’un mot de 64 bits.

L’encapsulation est la même que pour FDDI.

4. Anneau à jeton — Token-Ring

L. George

IPv6

Page 34 sur 60

Il n’y a pas actuellement de RFC pour le transport de IPv6 sur les autres supports de type IEEE 802, comme l’anneau à jeton. En s’inspirant du STD 43 (RFC 1042) qui définit l’encapsulation pour IPv4, ainsi que des sections précédentes, il serait aisé de définir un protocole de transport adéquat. Une proposition encore à l’état de draft [NCT-id] a été faite pour l’anneau à jeton (IEEE 802.5) :

— La taille maximale possible pour un paquet est très variable à cause de la possibilité du

« source routing » qui ajoute des informations pour indiquer le chemin à travers les ponts. La valeur du MTU est donc configurable, avec une valeur défaut de 1500, mais les valeurs de longueur de trame indiquées dans les trames de « source routing » peuvent être prise en compte.

— Le format des trames est celui d’une encapsulation LLC/SNAP avec un champ type

. Le format est analogue à celui de FDDI. Le format de l’identifiant d’interface et de l’option « adresse physique Source/Cible » suit les même règles que pour Ethernet ou FDDI.

— La correspondance entre adresse multicast et adresse physique n’est pas aussi simple

qu’avec Ethernet ou FDDI. En effet les composants pour l’anneau à jeton ne permettent de positionner qu’un seul bit dans l’adresse. Il en résulte 10 classes d’adresses MAC pour le multicast dans lesquelles sont rangées plusieurs adresses IPv6 de multicast.

B. NBMA

Les réseaux à destinataires multiples (donc pas point à point) mais sans diffusion, les NBMA (Non Broadcast Multiple Access) posent des problèmes particuliers car la découverte des voisins s’appuie fortement sur les services de multicast.

Le principal exemple aujourd’hui de réseau NBMA est l’ATM (le mode de transfert asynchrone) qui adresse les problèmes de qualités de services dont il serait intéressant de disposer aussi au niveau IPv6.

Le problème qui se pose aujourd’hui est de savoir comment traduire les qualités de service qu’offre ATM en des qualités de services Internet. La notion de qualité de service n’étant toujours pas claire dans le monde IP, le groupe « IntServ » de l’IETF s’est chargé de définir les différents services à intégrer dans l’Internet.

Parallèlement, le groupe ISSLL (Integrated Services on Specific Link Layers) de l’IETF étudie actuellement la manière de réaliser la mise en correspondance des deux types de qualités de service.

Soulignons que le problème des qualités de service n’est pas propre à IPv6. Cependant, IPv6 a plus de chance de s’adapter aux solutions qui seront proposées, grâce à la structure de l’en- tête IPv6. En effet, les chercheurs sont en train d’explorer les possibilités d’exploiter les champs « priorité » et « identificateur de flux » pour parvenir à la mise en correspondance des deux types de qualités de service (IP/ATM).

Par ailleurs, la mise en oeuvre du protocole IPv6 au-dessus d’une infrastructure ATM est toujours un domaine de recherches très actif. Une solution semble se dessiner au tour des propositions de Grenville Armitage qui s’appuie sur MARS (Multicast Address Resolution

L. George

IPv6

Page 35 sur 60

Servers, RFC 2022), la redirection externe de la découverte des voisins (voir plus loin) et NHRP (NBMA Next Hop Resolution Protocol).

Le système MARS permet d’obtenir un service multicast pour IPv4 au-dessus d’ATM au sein d’un petit réseau (typiquement de la taille d’un LIS de classical IP ou d’un réseau virtuel :

VLAN de LANE (LAN Emulation). Il est facilement extensible à IPv6 et peut être défini pour d’autres architectures NBMA (surtout pour un trafic restreint) et permet donc de récupérer les fonctionnalités multicast nécessaires pour la découverte des voisins sur un petit réseau nommé « lien logique ».

La redirection externe permet de déterminer si un nœud dans un même préfixe non entièrement sur le lien physique est directement accessible en donnant au passage son adresse physique. De tels voisins sont qualifiés de « temporaires » et peuvent appartenir dans ce cadre à d’autres liens logiques (ce mécanisme est donc une optimisation du routage inter-liens logiques).

Le protocole NHRP (NBMA Next Hop Resolution Protocol) permet de détecter et de construire des raccourcis dans une infrastructure NBMA découpée en petites entités. Pour IPv6 sur ATM il est utilisé entre routeurs inter-liens logiques pour détecter les raccourcis, la redirection externe construisant les raccourcis quand l’une des extrémités au moins n’est pas un routeur.

Les datagrammes IPv6 sont transportés dans des trames AAL5 (ATM Adaptation Layer 5) et conformément au RFC 1483 (Multiprotocol Encapsulation over ATM Adaptation Layer 5). Deux méthodes sont possibles pour transporter les trames AAL5 dans les VC (circuits virtuels) suivant les possibilités offertes par l’environnement :

- Circuits dédiés

- Encapsulation LLC/SNAP

La taille maximale d’un datagramme pouvant être transmis directement par une interface ATM (IP-MTU) est normalement de 9180 octets, la MTU de l’interface étant 9188 octets (8 octets pour l’en-tête LLC/SNAP).

C. Lien point à point, PPP (RFC 2023)

L’encapsulation est faite dans une trame « PPP Data Link Layer ». Chaque datagramme IPv6 forme une trame séparée. Le champ protocole de la trame doit être .

Le protocole de contrôle de PPP pour IPv6 s’appelle IPV6CP. Il permet la configuration, la validation et l’invalidation des modules IPv6 de PPP. Chaque datagramme IPV6CP est transmis dans une trame « PPP Data Link Layer » de champ protocole . Le protocole IPV6CP permet de négocier deux options, la valeur de l’identifiant d’interface et la compression.

Comme il n’existe pas d’adresse MAC IEEE 802 ou EUI-64 pour les interfaces PPP, il n’y a pas de valeur par défaut standard. Si la machine (ou une autre interface) possède un EUI-64 ou une adresse MAC IEEE 802, on utilise l’identifiant associé. Sinon il faut fournir une valeur (non universelle) à partir d’un numéro de série, ou même d’un générateur aléatoire.

L. George

IPv6

Page 36 sur 60

Dans tous les cas, la négociation d’identifiant d’interface de IPV6CP doit être utilisée pour forcer l’unicité de l’identifiant.

Le MTU est variable car déterminé par la connexion PPP sous-jacente. Il doit être au moins égal à 576.

Il faut remarquer que PPP n’a pas de notion d’adresse physique, donc l’option « adresse physique Source/Cible » du protocole de découverte de voisin n’est pas utilisée. De même, il n’est pas nécessaire de définir un traitement particulier pour les paquets multicast : comme sur tout lien point à point, le multicast IPv6 est supporté sans action particulière.

Une méthode de compression des en-têtes IPv6 du même type que celle utilisée par IPv4 a été proposée. Elle est optionnelle et son utilisation est négociée par IPV6CP.

D. Tunnels

Un tunnel est un moyen de transporter des paquets IP directement entre deux points connectés par IP. L’extrémité émettrice du tunnel encapsule le datagramme IP dans un autre datagramme IP et l’envoie vers l’autre extrémité du tunnel. L’extrémité réceptrice reçoit le message, décapsule le datagramme IP et le traite. On peut voir ce mécanisme comme un lien point à point ou un lien NBMA, selon qu’on considère des relations 2 à 2 ou un émetteur en face du réseau Internet.

Il existe de nombreux formats de tunnels en IPv4 : celui utilisé en mobilité, celui utilisé par le Mbone pour le multicast, le format GRE [RFC 1701]

En IPv6, l’utilisation des en-têtes d’extension et le support du multicast en natif font que la plupart des utilisations de tunnels par IPv4 n’ont plus de raison d’être.

Il existe cependant un usage important des tunnels dans la phase de déploiement de IPv6, tant que la connectivité mondiale n’est pas assurée : c’est l’utilisation des tunnels IPv6 dans IPv4, permettant de relier des réseaux IPv6 isolés à travers l’Internet IPv4. Cette approche est utilisée de manière intensive pour réaliser le réseau 6bone.

Transport de IPv6 sur IPv4 :

Le transport des paquets IPv6 à l’intérieur de paquets IPv4 est décrit dans [RFC 1933]. Il existe deux modes de tunnel, point à point (ou configuré) qui établit une liaison fixe entre deux machines (en général des routeurs), et NBMA (ou automatique), qui permet à une machine isolée d’accéder à toutes les autres machines à l’aide des adresses IPv4 compatibles. Le MTU est variable. Une valeur possible pour un tunnel point à point est PTMU —20 où PTMU est le « Path MTU » IPv4 entre les deux extrémités du tunnel. Il doit être au moins égal à 576. L’encapsulation est faite dans un paquet IPv4 de type protocole 41 (0x29). Chaque datagramme IPv6 forme un paquet séparé. Ce paquet peut être fragmenté par IPv4.

0

 

8

 

16

 

24

31

4

5

0x00

 

longueur

 

L. George

IPv6

Page 37 sur 60

identificateur

drap.

TTL

proto = 0x29

place fragment

Checksum

adr. de la source tunnel IPv4

adr de destination tunnel IPv4

En-tête et données IPv6

Le choix de l’identifiant d’interface n’est pas défini dans le RFC 1933. On peut par exemple le dériver de l’adresse IPv4 de l’extrémité du tunnel.

Il n’y a pas d’autre paramètre à définir pour un tunnel point à point. Pour un tunnel NBMA, le RFC 1933 ne définit pas l’option « adresse physique Source/Cible » ni le support du multicast.

L. George

IPv6

Page 38 sur 60

V. Routage

A. Protocoles de routage

Les principes des protocoles de routage n’ont pas changé avec IPv6. Les travaux en cours consistent uniquement à les adapter aux nouveaux formats d’adresse. Ces protocoles de routage profitent des propriétés maintenant incluses dans la nouvelle version du protocole IPv6 comme l’authentification ou le multicast. Comme dans IPv4, il faut faire la distinction entre deux grandes familles de protocoles de routage : le routage interne et externe.

B. Routage interne

Les protocoles dits de routage interne permettent une configuration automatique des tables de routage. Les routeurs découvrent automatiquement la topologie du réseau et déterminent le plus cours chemin pour atteindre un réseau distant. Les protocoles de routage interne nécessitent une configuration minimale du routeur. Celui-ci doit connaître les réseaux auxquels il est attaché. Pour IPv4, en plus de protocoles développés par les constructeurs de routeurs, il existe deux grandes catégories de protocoles de routage conçus par l’IETF.

1. RIPng

Les algorithmes appelés « distant vector », sont utilisés par les protocoles de routage RIP [RFC 1058] et RIPv2 [RFC 1723].

Ils sont basés sur l’algorithme de Bellman-Ford et figurent parmi les premiers algorithmes de routage interne utilisés dans l’Internet.

Les routeurs diffusent leurs tables de routage sur les liens auxquels ils sont connectés. Les autres routeurs modifient une route dans leur table si la métrique reçue (dans ce cas le nombre de routeurs à traverser pour atteindre une destination) est plus petite que celle déjà stockée dans la table. Si une annonce de route n’est pas présente dans la table, le routeur la rajoute. Ces modifications sont à leur tour diffusées sur les autres réseaux auxquels sont connectés les routeurs. Elles se propagent donc sur l’ensemble du réseau. On montre que cet algorithme converge et qu’en condition stable, aucune boucle n’est créée sur le réseau (c’est-à-dire qu’un paquet ne sera pas transmis indéfiniment de routeur en routeur sans jamais pouvoir atteindre sa destination).

Les tables sont émises périodiquement. Si un routeur tombe en panne ou si le lien est coupé, les autres routeurs ne recevant plus l’information suppriment l’entrée correspondante de leur table de routage.

RIPng est le premier protocole de routage dynamique proposé pour IPv6 [RFC 2080]. RIPng est une simple extension à IPv6 du protocole RIPv2 d’IPv4. Il en hérite les mêmes limitations d’utilisation. De plus, l’agrégation des routes en IPv6 pose de nouveaux problèmes qui nécessitent de configurer précisément les routeurs.

L. George

IPv6

Page 39 sur 60

Utiliser RIPng peut sembler être un retour en arrière puisque l’IETF déconseille l’utilisation de RIP au profit d’OSPF dans les réseaux IPv4. Pour l’instant les réseaux IPv6 ont encore une topologie relativement simple, sur laquelle RIP est relativement bien adaptée. De plus la très grande simplicité du protocole a permis une mise en œuvre et un déploiement rapide de RIPng. Il permet d’attendre la définition et les mises en œuvre de protocoles de routage intérieur plus élaborés tels OSPFng ou IS-IS. Il s’applique donc à de petits réseaux expérimentaux. Il est fortement déconseillé de trop généraliser son utilisation.

Fonctionnement :

Le format générique des paquets RIPng est très proche de celui des paquets du protocole RIPv2. Seule la fonction d’authentification a disparu. Elle est en effet inutile car RIPng peut s’appuyer sur les mécanismes de sécurité IPSec disponibles en IPv6.

0

7

 

15

     

31

Commande

Version

 

Mis à zéro

 
 

Entrée 1

 
 

Entrée n

 

Commande :

Ce champ contient :

1 pour une requête de table de routages

2 pour une réponse à une requête ou une émission périodique.

Version : ce champ est aujourd’hui défini à la valeur 1.

Entrée : ce champ contient l’information de routage. Le nombre d’informations de routage contenues dans un paquet RIPng dépend directement du MTU des liens utilisés. Si RIPng doit annoncer un grand nombre de réseaux, plusieurs paquets RIPng seront nécessaires. La structure de ce champ est la suivante :

Préfixe IPv6 marque de routage lg préfixe métrique
Préfixe IPv6
marque de routage
lg préfixe
métrique

Les champs préfixe et longueur de préfixe décrivent les réseaux annoncés.

L. George

IPv6

Page 40 sur 60

Le champ métrique comptabilise le nombre de routeurs traversés. Pour résoudre les problèmes de convergence (« comptage jusqu’à l’infini »), la valeur maximale de métrique (« infini ») est 16. Cette valeur est largement suffisante pour le domaine d’application du protocole. Le champ métrique peut donc prendre toutes les valeurs comprises entre 0 et 16.

Si le champ métrique vaut , le champ préfixe donne l’adresse d’un routeur (prochain saut). Une telle entrée indique que les destinations des entrées suivantes sont accessibles par le routeur explicitement indiqué, et non par celui envoyant le paquet RIPng (utilisation en mode « proxy »). Dans ce cas, les champs « marque de routage » et « longueur du préfixe » sont mis à 0.

Dans RIPv2, cette possibilité était indiquée dans chaque information de routage. Vu la longueur des adresses IPv6, dans RIPng l’indication du prochain saut est valable pour toutes les routes qui suivent jusqu’à la fin du paquet ou jusqu’à la prochaine entrée de ce type. Ainsi, bien que les adresses soient quatre fois plus grandes qu’en IPv4, la taille des informations de routage est la même que dans RIPv2.

Les paquets RIPng sont émis vers l’adresse de multicast all-rip-router et encapsulés dans un paquet UDP avec le numéro de port 521.

2. OSPFng

Le deuxième protocole de routage internet, basé sur l’algorithme du plus court chemin, s’appelle OSPF (Open Shortest Path First).

Relativement plus difficile à mettre en œuvre, il est beaucoup plus efficace dans les détections et la suppression des boucles dans les phases transitoires. Ce protocole est basé sur plusieurs sous-protocoles. Le premier permet une inondation fiable du réseau. Chacun des routeurs possède alors une copie des configurations de tous les autres routeurs présents sur le réseau. Ils peuvent simultanément calculer le plus court chemin pour aller vers l’ensemble de destinations.

Pour réduire la durée des calculs et surtout pour éviter un recalcul complet des routes à chaque changement de configuration, OSPF offre la possibilité de découper le réseau en aires. Une aire principale appelée backbone doit pouvoir relier toutes les autres aires. Les réseaux trouvés dans les aires données sont envoyés aux autres routeurs en frontière d’aires.

OSPFng a été adapté à IPv6 en remplaçant la notion de sous-réseau par celle de liens. Les informations d’adressages ont été retirées des formats de paquets et de LSA (Link State Advertisements) afin de rendre le cœur d’OSPF indépendant du protocole réseau et de le

restreindre au transport d’informations sur la topologie. Dans le reste d’OSPF le format des

)

adresses a été changé pour accepter des adresses IPv6. La notion de portée (lien, aire, utilise le mécanisme de portée d’IPv6.

Un lien supporte plusieurs instances du protocole OSPFng ce qui permet de l’utiliser plus facilement sur des liens partagés entre plusieurs domaines de routage. OSPFng utilise des adresses lien-locales pour l’échange de paquets OSPFng sur les liens. Le mécanisme de sécurité a été remplacé par les facilités d’authentification et de confidentialité d’IPv6.

L. George

IPv6

Page 41 sur 60

C. Routage externe

La seconde famille de routage concerne le routage externe. Le terme externe vient du fait qu’il s’agit d’un échange de tables de routage entre deux domaines d’administration distincts, généralement entre un client et son fournisseur, un fournisseur et son transporteur international ou entre fournisseurs ou transporteurs internationaux.

En IPv4 cette notion de domaine d’administration est représenté par un numéro de système autonome (AS : Autonomous System)

Il n’est pas clair que cette notion soit encore utile en IPv6 puisque dans un plan d’adressage hiérarchique, le préfixe peut jouer une notion équivalente au numéro d’AS.

Avec un protocole de routage externe, il ne s’agit plus de trouver la topologie du réseau, mais d’échanger des informations d’accessibilité explicite entre routeurs configurés pour le faire. Ceux-ci traitent les informations reçues pour éliminer celles qui ne sont pas pertinentes ou contraires à la politique de routage définie pour le site. En effet, toute annonce de réseau par un domaine implique qu’il accepte de router les paquets vers cette destination.

BGP-4 est le protocole de routage externe actuellement utilisé pour IPv4 (la version 4, identique pour BGP et IP, est pure coïncidence). Dans le cas d’IPv6, deux extensions de BGP4 ont été proposées : BGP4+ qui est un clone de BGP4 utilisant un transport TCP sur IPv6 et des nouveaux attributs pour coder les préfixes, et BGP5 qui, de plus, permet d’avoir des numéros de système autonome (AS) de taille variable.

Dans l’immédiat, BGP4+ s’est imposé. Peu de nouvelles possibilités ont été introduites. Les numéros d’AS utilisés pour IPv4 servent aussi à IPv6.

Il semble que BGP4+ soit plutôt une solution à court terme pour résoudre les problèmes pratiques de routage sur le 6bone et qu’une solution à long terme, peut-être basée sur IDRP, reste à développer.

BGP4+ introduit deux nouveaux attributs pour transporter des informations de routages autres que les routes unicasts IPv4, en particulier des routes multicasts (BGP4+ peut ainsi servir de base à un routage multicast inter-domaines) et des routes pour d’autres protocoles, dont IPv6 qui est le seul réellement envisagé dans les premières propositions.

Ces nouveaux attributs permettent d’annoncer l’accessibilité ou la non-accessibilité de préfixes (NLRI Network Layer Reachability Informations dans la terminologie des protocoles inter-domaines). À un ensemble de NLRI est associé des attributs standard de BGP (comme le chemin d’AS Autonomous Systems), la famille d’adresses, une sous-famille (unicast et/ou multicast), une information sur le routeur à utiliser (next-hop) avec son adresse, éventuellement son adresse locale au lien et une ou plusieurs adresses physiques.

D. Réseau IPv6 expérimental

1. Le réseau 6bone

L. George

IPv6

Page 42 sur 60

Le 6bone est un réseau expérimental destiné à tester les protocoles IPv6 et leur mise en œuvre. Il a démarré officiellement le 15 juillet 1996 entre les groupes suivants : UNI-C au Danemark, WIDE au Japon et le G6 en France. Les premières connexions se sont faites à travers des tunnels IPv6 sur IPv4 utilisant les liaisons Internet classiques. Depuis, certains liens IPv6 natifs ont vu le jour, mais la majorité du trafic emprunte encore ces tunnels. Le modèle d’architecture de site choisi le plus souvent est bâti sur un réseau local IPv6 natif relié au 6bone par un routeur/tunnelier. Aujourd’hui, près de 200 sites sont interconnectés dans les 30 pays suivants :

AT-Austria

FI-Finland

NO-Norway

AU-Australia

FR-France

PL-Poland

BE-Belgium

GB-Great Britain

PT-Portugal

BG-Bulgaria

HU-Hungary

RO-Romania

CA-Canada

IE-Ireland

RU-Russian Federation

CH-Switzerland

IT-Italy

SE- Sweden

CN-China

JP-Japan

SG-Singapore

DE-Germany

KR-Korea

SK-Slovakia

DK-Denmark

KZ-Kazakhstan

TW-Taiwan

ES-Spain

NL-Netherlands

US-United States

TW-Taiwan ES-Spain NL-Netherlands US-United States En tant que réseau de test, le 6bone n’offre aucune

En tant que réseau de test, le 6bone n’offre aucune garantie de service. Ce n’est en aucun cas un réseau de production. Il est, par contre, d’une grande souplesse et peut être reconfiguré assez facilement.

L. George

IPv6

Page 43 sur 60

Un certain nombre de leçons ont déjà été tirées de ces expériences. Au début, les différents sites s’interconnectaient de façon anarchique. Très rapidement, un besoin d’organisation s’est fait sentir pour essayer de maintenir l’accessibilité et le routage entre sites. Tant que le 6bone n’excédait pas une dizaine de sites, un routage statique était suffisant. Les choses sont vite devenues ingérables et la nécessité d’un protocole de routage dynamique s’est fait sentir. En décembre 1996 on a déployé les premières versions de RIPng. Cela a permis d’étendre le 6bone jusqu’à une centaine de sites. Cependant, RIPng est un protocole de routage intérieur et souffre des mêmes problèmes de convergence que RIP pour IPv4. Dès avril 1997, le 6bone s’est rendu à la nécessité d’avoir un protocole de routage externe. BGP4+ s’est vite imposé et plusieurs implémentations ont rapidement été disponibles. En août 1997, la décision a été prise d’imposer BGP4+ pour les nœuds principaux du 6bone chargés d’assurer le routage global.

La notion d’adressage s’est révélée très importante. Les adresses de type IPv4-compatible se sont vite montrées d’un intérêt très limité et leur utilisation a été restreinte aux seuls tunnels. Le plan d’adressage prestataire décrit dans le RFC 1897 a été testé dès le début et a vite montré ses limites. Depuis le 1er octobre 1997, le plan d’adressage agrégé est progressivement mis en place. Une tâche importante est désormais de le tester et d’essayer d’en découvrir les cas limites pour le valider. À cette fin, un seul préfixe TLA, , est attribué pour l’ensemble du 6bone de façon à ne pas gaspiller trop d’espace d’adressage. Ce TLA est découpé une première fois en NLA1, préfixes de longueur 24 ( ) pour simuler l’attribution de TLA. Ces préfixes sont appelés pTLA (pour « pseudo-TLA »). Ils sont attribués aux sites qui en font la demande et qui s’engagent à agréger ensuite derrière eux d’autres sites en leur délégant à leur tour des pNLA1s (en fait, des NLA2s) à l’intérieur de leur pTLA.

2. Le G6bone

en leur délégant à leur tour des pNLA1s (en fait, des NLA2s) à l’intérieur de leur

L. George

IPv6

Page 44 sur 60

Le G6bone, réseau IPv6 du G6, est un exemple de mise en œuvre de la politique d’adressage du 6bone. Il s’est vu attribué le pTLA . Le G6 a proposé un plan d’adressage national basé sur un certain nombre de points d’interconnexion appelés hubs. On distingue trois types de hubs : les hubs régionaux, les hubs d’organisation et le hub national.

Les hubs régionaux interconnectent les sites expérimentaux « proches » d’eux. Cette notion de proximité peut être variable d’un hub à l’autre, elle est définie dans la charte de chacun d’entre eux. Les hubs d’organisation sont prévus pour permettre à des organismes multi-sites tels l’INRIA ou le CNET de partager un préfixe commun entre leurs différents sites. Le hub national abrite les liaisons internationales et connecte les sites distants n’ayant pu s’interconnecter directement ailleurs. L’ensemble des hubs régionaux et d’organisation sont connectés au hub national.

Chaque hub a reçu une délégation de pNLA1 de 32 bits, c’est-à-dire qu’il gère un préfixe de type ; par exemple, le hub Grenoblois gère le préfixe et le hub Ile de France . Chaque hub a ensuite la charge de définir un redécoupage de son pNLA1 comme il l’estime nécessaire, par exemple en allouant un pNLA2 avec un préfixe de longueur 40 à un sous-hub ou en allouant un préfixe de longueur 48 à un site. Il faut noter que ces délégations successives ne sont pas nécessairement faites sur des frontières d’octets : on peut très bien décider d’allouer des préfixes de longueur 37, 38 ou 39.

Les sites feuilles se connectent au hub de leur choix et obtiennent un préfixe de longueur 48 de celui-ci.

Les interconnexions sont en 1997 réalisées par des tunnels IPv6 sur IPv4 qui utilisent dans la majorité des cas les infrastructures du réseau de la recherche Rénater. L’un des projets du G6 pour 1998 est de faire évoluer ce réseau G6bone en utilisant des liens IPv6 natifs.

L. George

IPv6

Page 45 sur 60

VI. La sécurité [RFC 1752]

Dans le domaine de la sécurité, IPv6 doit arriver à rendre deux services :

- Intégrer un système d'authentification de l'utilisateur et garantir l'intégrité des données.

- Offrir un système de cryptage applicable soit à la totalité du datagramme IP, soit à l'unité des données du niveau 4 transport.

Ces systèmes, nous le verrons, doivent être suffisamment décorrélés des algorithmes employés, afin que l'armée ou l'industrie puisse les mettre en œuvre facilement.

Il semble que les groupes de travail se soient accordés sur un certain nombre de points tels que la séparation du moyen d'authentification de celui du cryptage des informations. Clairement, une infrastructure de gestion des clés est requise afin de rendre possible l'utilisation d'en-têtes d'authentification et de cryptage. Cependant, cet aspect n'est pas encore réellement au point d'autant plus que l'effet pervers de ces techniques de sécurité est l'ajout de coûts supplémentaires et la baisse des performances du système.

Avant d'étudier les différents mécanismes de sécurité mis en œuvre, il convient de définir un certain nombre de concepts.

A. Quelques définitions

L’authentification : Elle permet de savoir si la donnée reçue est la même que celle envoyée et, de la même façon, si le demandeur désiré est bien identifié.

L'intégrité : Elle assure la bonne transmission de la donnée, de sa source à sa destination sans aucune altération intermédiaire.

La

confidentialité

:

Elle

garde

les

communications

confidentielles

afin

que

seuls

les

participants puissent identifier ce qui a bien été envoyé.

Le cryptage : Il s'agit d'un mécanisme communément utilisé pour permettre la confidentialité des informations.

SAID : ou encore « Security Association Identifier »

Security Association : L'ensemble des informations de sécurité relatives à la connexion d'un réseau donné ou à un ensemble de connexions ; ce qui inclue des clés de cryptage, des clés de durée de vie, des algorithmes, des degrés de sensibilité (non-classé, secret, propriétaire), mais aussi des services de sécurité (authentication-only, Transport-Mode Encryption, IP-Mode Encryption) ou toutes les autres possibilités envisageables.

L'analyse du trafic : Elle correspond à une sorte d'attaque du réseau où l'adversaire est capable de faire des déductions sur le réseau lui-même grâce à l'analyse des données repérées sur le trafic (telles que la fréquence de transmission, qui parle à qui, la taille des paquets, le Flow IDentifier utilisé, etc.).

L. George

IPv6

Page 46 sur 60

B. Les mécanismes de sécurité dans IPv6

Le premier objectif est d'obtenir des mécanismes de sécurité sûrs et disponibles pour tous les utilisateurs qui le désirent. Les algorithmes développés pour ces fonctionnalités ne doivent, bien entendu, pas affecter les autres aspects de l'implémentation IP. Il existe deux mécanismes de sécurité dans IPv6. Le premier est le mécanisme de l'en-tête d'authentification (Authentication Header) ; le second, une technique d'encapsulation affectée à la sécurité appelée ESP (Encapsulating Security Payload) permettant l'intégrité, l'authentification et la confidentialité. Cependant, les mécanismes de sécurité IPv6 ne sont pas efficaces face à des attaques de type analyse du trafic, pour le moment.

1. Le mécanisme de l'en-tête d'authentification (Authentication Header)

L’en-tête d'authentification IPv6 cherche à rendre possibles l'intégrité et l'authentification des datagrammes IPv6. Ceci est obtenu par la mise en place d'une fonction d'authentification du cryptage sur le datagramme IPv6 ainsi que l'utilisation d'une clé secrète d'authentification. L'utilisateur qui émet inclut des données d'authentification dans les paquets IPv6 à traiter ; quant à l'usager qui les reçoit, il vérifie la justesse des données d'authentification. Certains champs de l'en-tête, qui évoluent lors de la transition (cas du champ Hop Limit), sont omis lors de l'authentification. Cependant, cette omission n'a pas de véritables conséquences sur la sécurité elle-même. La non-répudiation peut devenir nécessaire pour certains algorithmes d'authentification utilisant l'en-tête d'authentification (par exemple, les algorithmes asymétriques lorsque les clés de l'émetteur et du récepteur sont utilisées lors de la procédure de calcul de l'authentification). La confidentialité et la protection de l'analyse du trafic ne sont pas traitées par le mécanisme de l'en-tête d'authentification. Ainsi, les informations d'authentification sont analysées à partir des champs du datagramme IPv6 qui n'évoluent pas durant son transfert de la source à la destination. Tous les éléments (en-têtes, données, etc.) sont intégrés à l'analyse. La seule exception concerne certains champs comme le « nombre de saut » (en-tête IPv6) ou l’« adresse suivante » (en-tête de routage IPv6) qui sont omis. En outre, il est fort probable que le mécanisme de l'en-tête d'authentification risque d'accroître les coûts du processus IPv6 ainsi que l'attente de la communication. Enfin, le mécanisme de l'en-tête d'authentification apporte une véritable sécurité dans l'Internet sans affecter l'exportabilité des données ni augmenter trop significativement les coûts d'implémentation. Il est, bien entendu, fortement recommandé d'utiliser ce mécanisme de sécurité de l'origine à la destination finale. Toutes les stations de travail IPv6-only doivent implémenter la technique de l'en-tête d'authentification avec au minimum l'algorithme MD5 utilisant une clé de 128 bits sachant que d'autres algorithmes pourront être implémentés. Nous ne développerons pas davantage cette technique du fait de l'absence actuelle d'une documentation publique et détaillée sur ce problème. En outre, nous avons présenté l'en-tête d'authentification précédemment (cf. V.F). Un autre mécanisme de sécurité est proposé avec le système ESP.

2. La technique ESP (Encapsulating Security Payload)

L. George

IPv6

Page 47 sur 60

ESP (ou l’en-tête de confidentialité) pour IPv6 permet d'apporter l'intégrité, l'authentification et la confidentialité dans les datagrammes IPv6. Ceci s'obtient soit par l'encapsulation d'un datagramme IPv6 dans son intégralité, soit par le cryptage de la majorité des composants ESP au niveau de l'en-tête IPv6 sachant que la partie non codée de l'en-tête est utilisée afin de transporter les données protégées à travers le réseau. Le destinataire du datagramme enlève, se débarrasse de l'en-tête et des options IPv6 non codées, décrypte les éléments ESP, traite puis retire les en-têtes ESP ; enfin, il obtient le datagramme IPv6 d'origine décodé ou la donnée de spécification normale du protocole IPv6.

Description des modèles ESP :

Il existe deux modèles ESP. Le premier, connu comme un modèle IP (IP-mode), encapsule le datagramme IP au sein de l'en-tête ESP. Le second modèle ou Transport-mode, encapsule généralement une structure UDP ou TCP dans IP et non l'en-tête IPv6.

Utilisation d’ESP :

ESP évolue soit entre deux stations de travail, soit entre une station et un gateway (passerelle) de sécurité, soit encore entre deux gateways de sécurité. Les gateways de sécurité permettent à des réseaux correctement reliés à ces derniers de ne pas se préoccuper du cryptage et d'éviter ainsi l'accroissement des coûts monétaires et la baisse des performances dus au cryptage tout en bénéficiant de la fonction de confidentialité. Lorsque les stations de travail implémentent directement ESP sans l'intermédiaire des gateways de sécurité, il leur est alors possible d'utiliser le Transport-mode. Ce mode réduit à la fois la largeur de bande consommée et le coût du protocole pour l'utilisateur qui n'a pas besoin de garder confidentielle l'intégralité du datagramme IPv6.

Les impacts d’ESP sur la performance :

Le mécanisme ESP a des impacts notables sur les performances du réseau. En effet, la mise en œuvre du protocole s'avère plus complexe si la technique ESP est utilisée dans la mesure où elle requiert davantage de temps et de puissance de la part processus. L'accroissement du retard est dû au cryptage et au décryptage de chaque datagramme IPv6 contenant ESP. Les conséquences relatives au coût sont variables selon les spécificités de l'implémentation telles que l'algorithme de cryptage utilisé, la taille de la clé, etc. Pour ces deux raisons, il est probable que les utilisateurs préféreront utiliser le mécanisme de l'en-tête d'authentification (Header Authentication) à la place de la technique ESP. En outre, afin d'assurer l'interopérabilité au sein du monde Internet, toutes les implémentations ESP pour IPv6 doivent accepter l'utilisation de Data Encryption Standard (DES) dans le mode Clipher-Block Chaining (CBC) ; cependant, d'autres modes et algorithmes peuvent être rajoutés. Nous avons proposé une présentation de l'en-tête de confidentialité (technique ESP) précédemment (cf. V.G)

3. La combinaison des mécanismes de sécurité

Il est possible de combiner à la fois les mécanismes Authentication Header IPv6 et ESP pour IPv6 afin d'obtenir le niveau de sécurité désiré. La technique de l'en-tête d'authentification permet toujours l'intégrité et l'authentification ainsi que la non-répudiation en utilisant certains algorithmes (RSA). Le mécanisme ESP fournit toujours l'intégrité et la confidentialité mais aussi l'authentification via des algorithmes spécifiques de cryptage.

L. George

IPv6

Page 48 sur 60

Ainsi, le mélange des deux mécanismes permet de profiter véritablement de tous les éléments de sécurité : intégrité, authentification, non-répudiation et confidentialité. D'autres mécanismes de sécurité permettent aussi de se protéger contre l'analyse de trafic, il faut les implémenter au niveau de la couche IP.

C. La gestion des clés (Key Management)

Le protocole de gestion des clés couplé à d'autres mécanismes de sécurité via SAID peut être utilisé pour IPv6. IPv6 n'est pas destiné à fournir une gestion des clés de type « in-band », où les données de gestion des clés sont portées par un en-tête IPv6 spécifique. En revanche, IPv6 utilisera dans un premier temps une gestion des clés de type « out-of-band » où les données de gestion des clés sont portées par un protocole de couche supérieure tel que UDP ou TCP sur un numéro de port spécifique. De manière générale, ceci permet le découpage du mécanisme de gestion des clés pour d'autres systèmes de sécurité ainsi que la substitution de nouvelles méthodes de gestion des clés (à la place des anciennes) sans avoir à modifier tous les autres outils de sécurité. Nous allons brièvement explorer les techniques de gestion des clés.

1. La distribution d'une clé manuelle

La forme la plus simple de gestion des clés est la gestion manuelle des clés où un individu configure manuellement chaque système avec sa propre clé mais aussi les clés des autres systèmes de communication. Ceci s'avère relativement pratique dans un environnement statique et de petite taille. En prenant l'exemple d'un environnement réseau de type LAN, au sein d'un simple domaine administratif, il est pratique de configurer les clés de chaque routeur de telle sorte que les données routées puissent être protégées et qu'il soit possible de réduire le risque d'intrusions étrangères au sein d'un routeur. Cependant, ce n'est pas une approche viable à moyen ou long terme.

2. La distribution d'une clé automatique

Le déploiement et l'utilisation des fonctions de sécurité dans IPv6 nécessitent un protocole de gestion des clés au standard Internet. A l'origine, un tel protocole devait proposer une gamme de services dans le monde Internet et pas seulement se réserver à la sécurité dans IPv6. Il existe des travaux en cours afin d'ajouter des clés signées sur des stations de travail via DNS ; les clés DNS permettant d'authentifier les messages de gestion des clés par rapport aux autres éléments de la gestion des clés utilisant un algorithme asymétrique. Il existe deux approches de la technique de clé (keying) pour IPv6. La première approche appelée « host-to-host keying » autorise tous les utilisateurs de la station 1 puissent partager la même clé sur le trafic destiné à tous les utilisateurs de la station 2. La seconde, appelée « user- to-user keying », laisse la possibilité à l'utilisateur A sur la station 1 d'avoir une clé de session unique avec l'utilisateur B sur la station 2 qui ne soit pas partagée avec les autres utilisateurs de station 1. Lorsque l'approche « host-to-host keying » est utilisée et que des utilisateurs mutuellement suspicieux sont présents, alors il est possible pour l'utilisateur A de déterminer la clé « host- to-host » via des méthodes comme l'attaque Chosen Plaintext. Si un utilisateur A a obtenu une clé « impropre » alors il peut lire le trafic crypté de l'utilisateur B voire le falsifier. Dans le cas

L. George

IPv6

Page 49 sur 60

où l'approche « user-to-user keying » est appliquée, le type d'attaque précédent est impossible. C'est donc cette dernière technique qu'il convient d'implémenter sur IPv6. Enfin, il convient de signaler qu'une « Multicast Key Distribution » est en cours d'élaboration pour IPv6. A l'heure actuelle, de nombreux travaux sur IPv6 sont en cours d'élaboration, nous pouvons cependant déjà signaler la présence de trois notions présentes dans IPv6 et pour lesquelles leur normalisation et admission définitives ne font aucun doute, à savoir : Authentication Header, Encapsulating Security Payload, Key Management.

D. L'utilisation des mécanismes de sécurité dans IPv6

Cet aspect sur la sécurité a pour principal objectif de donner un aperçu des différents mécanismes assurant la réduction des risques dans IPv6.

1. Les « Firewalls »

Les Firewalls, absents dans la version actuelle d'Internet mais utilisés dans IPv6, vont permettre de corriger les suites d'en-têtes et de déterminer le protocole de transport (UDP ou TCP) ainsi que le numéro de port de ce protocole. La performance des Firewalls dans IPv6 ne devrait pas en être trop affectée dans la mesure où le format des en-têtes IPv6 facilite la procédure de correction. Les Firewalls utilisent le mécanisme de l'Authentication Header pour s'assurer l'authentification et la justesse des données utilisées pour les décisions de contrôle d'accès à savoir la source, la destination, le protocole de transport, le numéro de port. Cette authentification est impossible dans IPv4. Les organisations disposant de plusieurs sites interconnectés utilisant les services commerciaux proposés par IP peuvent sélectionner un Firewall crypté. Par exemple, si un Firewall crypté est placé entre la Société A et le fournisseur du service commercial IP, le Firewall fournit alors un tunnel crypté au sein de tous les sites de la Société A. Il lui est ainsi possible de crypter tout le trafic entre elle et ses fournisseurs, ses clients ou des tiers. Une telle pratique permet de protéger facilement le trafic d'un grand nombre d'organisations de type gouvernemental par exemple qui peuvent même mettre en œuvre un mécanisme de « fully encrypting Firewall » autorisant aussi bien un filtrage du trafic décrypté qu'un cryptage des paquets IP.

2. La protection de la Qualité de Service (QoS)

Le mécanisme de l'Authentication Header, utilisé avec la méthode de gestion des clés appropriée, permet d'authentifier les paquets, comme nous l'avons évoqué précédemment. Le champ Flow Identifier dans IPv6 peut agir comme un Low-Level Identifier (LLID) ; par conséquent, la classification du paquet au sein des routeurs devient simple si le routeur est fourni avec la clé appropriée. Pour des raisons de performance, les routeurs authentifient des groupes de paquets. Ainsi, la qualité de service fournie est obtenue par l'utilisation du champ Flow ID conjointe à celle d'un protocole de réservation de ressources (tel que RSVP). Ainsi, la classification des paquets authentifiés s'obtient en s'assurant que chaque paquet reçoive bien la manipulation appropriée et correcte au sein des routeurs concernés.

L. George

IPv6

Page 50 sur 60

3. Des réseaux compartimentés ou à niveau multiple (Multi-level)

Un réseau « multi-level secure » (MLS) est un réseau unique utilisé pour communiquer des données selon différents degrés (non-classifié ou secret). De nombreux gouvernements trouvent beaucoup d'intérêt dans l'architecture réseau MLS. IPv6 devrait supporter ce type de structure. MLS nécessite l'utilisation des Mandatory Access Controls (MAC) que des utilisateurs normaux sont incapables de contrôler ou de violer. Le mécanisme de l'Authentication Header peut être utilisé aussi bien pour authentifier plusieurs stations de travail dans un niveau unique du réseau que pour garantir les décisions MAC dans un réseau à niveau multiple. Si les étiquettes IP sont utilisées et la confidentialité considérée comme non obligatoire au sein d'un environnement opérationnel particulier, le mécanisme de l'Authentication Header permet l'authentification du paquet dans son intégralité, incluant un cryptage obligatoire du degré de sensibilité (non-classifié ou secret) de l'en-tête IPv6 et des données de l'utilisateur. La technique ESP peut être combinée avec des politiques de clé appropriées pour garantir un réseau « multi-level secure » complet ainsi qu'un ensemble d'algorithmes appropriés. Dans ce cas, chaque clé doit être utilisée pour un degré de sensibilité et un compartiment précis. Par exemple, la clé A peut être utilisée pour des paquets non-classifiés ; la clé B, pour des paquets secrets pour un trafic sans compartiment, etc. Le cryptage est une technique très pratique et souhaitable même dans un environnement bien protégé. L'algorithme de cryptage au standard Internet devrait être utilisable via une gestion des clés appropriée, afin de fournir de véritables Discretionary Access Controls (DAC) corrélés au degré de sensibilité des étiquettes, au-delà des seules possibilités MAC offertes pour le moment. Le développement d'un mécanisme de cryptage complet devrait être disponible pour toutes les communications futures. Cet exposé concernant la sécurité dans IPv6 est incomplet dans la mesure où cet aspect fait encore l'objet de travaux en cours.

E. La prise en compte des autres éléments relatifs à la sécurité

De manière générale, il faut retenir pour l'instant que la qualité de service fournie par les nouveaux mécanismes développés dans IPv6 dépend totalement de l'efficacité des algorithmes de cryptage implémentés, de la justesse de l'implémentation de ces algorithmes, des clés à utiliser, de la sécurité du protocole de gestion des clés, de l'implémentation d'IPv6 et particulièrement de ses mécanismes de sécurité.

En outre, certains aspects propres à la sécurité (comme la protection contre l'analyse du trafic) ne sont pas encore fournis par les mécaniques abordés précédemment. L'utilisateur doit donc faire preuve d'une extrême vigilance.

Enfin, quelques applications (comme le courrier électronique) nécessitent des applications de protection et de sécurité spécifiques qui ne sont pas du ressort des techniques de sécurité propres à IPv6 mais pour lesquels des RFC seront entièrement consacrées. Il nous semble désormais intéressant de nous préoccuper d'un aspect tout autant novateur dans IPv6 que la sécurité, à savoir la mobilité.

L. George

IPv6

Page 51 sur 60

VII. Mobilité dans IPv6

[RFC 1752]

Le concept de mobilité signifie, dans le cas présent, la séparation des identificateurs et des adresses, ces deux éléments possédant un format similaire. L'identificateur d'un nœud mobile ne change jamais quelque soit ses déplacements tandis que son adresse est spécifique à son point de rattachement à Internet. L'adresse est seulement utilisée pour le routage des paquets et non pour l'identification du nœud à l'inverse de l'identificateur qui peut même éventuellement servir d'adresse par défaut.

Deux options ont été rajoutées dans les options de l'en-tête de type Hop-by-Hop afin de rendre possible la mobilité. L'une est utilisée pour la communication de données et l'autre pour le contrôle.

TCP/UDP identifie un nœud par son identificateur et non son adresse. Afin d'optimiser le routage, chaque nœud dispose d'une partie cachée ou Address Mapping Table (AMT). IPv6 résout le problème de l'identificateur et de l'adresse en utilisant AMT, puis en renvoyant le paquet avec la prise en compte de son adresse complète.

Les entrées AMT sont créées puis mises à jour en fonction de la réception ou de l'envoi de paquets selon les options de mobilité choisies après, bien entendu, l'authentification du paquet.

Cependant, avant d'aborder les différentes techniques développées pour la mobilité, il convient de définir un certain nombre de concepts.

A. Quelques définitions

Un nœud : Il s'agit d'un terme général utilisé pour évoquer à la fois une station de travail et/ou un routeur.

Un nœud mobile : C'est un nœud qui a la possibilité de changer de point de rattachement sur l'Internet.

Une adresse : C'est un numéro qui spécifie le point de rattachement à l'Internet. Une adresse est attribuée à chaque interface réseau d'un nœud. Nous avons vu que, pour IPv6, la taille d'une adresse est de 128 bits. L'adresse d'une interface change lorsque le nœud se déplace sur un autre réseau.

Un identificateur : C'est un numéro attribué à un nœud unique. Chaque nœud dispose de son propre identificateur indépendamment du nombre d'interfaces réseaux dont il bénéficie. Non seulement un identificateur est unique et définitif quel que soit le nœud de rattachement à l'Internet, mais il bénéficie du même format qu'une adresse classique ce qui lui permet éventuellement de se substituer à une adresse.

Un réseau maison (home subnet) : Il s'agit du réseau indiqué par l'identificateur d'un nœud mobile.

L. George

IPv6

Page 52 sur 60

Une résolution d'adresse (address resolution) : C'est une fonction qui oriente l'identificateur vers l'adresse correspondante.

Un « résolveur » d'adresse (address resolver) : C'est nœud qui utilise une résolution d'adresse. Il existe deux types de résolveurs d'adresses pour un nœud mobile.

- le résolveur primaire : un résolveur d'adresse est connecté au réseau maison d'un nœud mobile. Un nœud mobile indique périodiquement le(s) résolveur(s) primaire(s) de son identificateur ainsi que son adresse courante.

- le résolveur temporaire : dans le cas d'un résolveur d'adresse non connecté au réseau maison d'un nœud mobile, un résolveur temporaire crée et met à jour ses paquets AMT reçus ou envoyés (avec l'option mobile dans l'en-tête).

Address Mapping Table (AMT) : Une table constituée d'entrées pour chacune desquelles il y a l'information de routage entre l'identificateur et l'adresse. Chaque nœud doit disposer d'une AMT pour la résolution d'adresse.

Après ce développement sur la terminologie spécifique à la mobilité, nous sommes en mesure d'aborder la description des formats spécifiques à la mobilité.

B. Les formats d’en-tête pour l'option de mobilité

Deux options pour la mobilité sont possibles via les propriétés de l'en-tête IPv6 Hop-by-Hop. La raison principale pour laquelle ces options sont inclues dans l'en-tête IPv6 Hop-by-Hop est la possibilité de créer et de mettre à jour des entrées AMT sur chaque nœud le long du chemin suivi par le paquet envoyé.

1. L'option de mobilité pour les données utilisateur

1. L'option de mobilité pour les données utilisateur Option Type : Ce champ prend pour valeur

Option Type : Ce champ prend pour valeur 0x2?, ce qui signifie que cette option ne relève pas de la propriété d'évaluation de l'intégrité obtenue via l'en-tête d'authentification dans la mesure où les données de l'option peuvent évoluer.

Option Data Length : La longueur est de 64 octets.

L. George

IPv6

Page 53 sur 60

Source Identifier : Ce champ dont la taille est de 128 bits identifie uniquement le nœud source sans considérer sa localisation (c'est-à-dire en-dehors de l'adresse source de l'en-tête

IPv6).

Source Address Version : Ce champ dont la taille est de 32 bits signale le numéro de version des identificateurs et adresses sources. Cette information doit être invariablement incrémentée à chaque nouvelle adresse attribuée.

Holding Time : Ce champ dont la taille est de 32 bits signale le temps nécessaire, en secondes, durant lequel un nœud conserve l'entrée AMT du nœud source du paquet considéré.

Timestamp : Ce champ dont la taille est de 32 bits signale le temps nécessaire
Timestamp : Ce champ dont la taille est de 32 bits signale le temps nécessaire au nœud, en
secondes, pour transmettre un paquet.
Authentication Data : Ce champ dont la taille est de 128 bits authentifie, en fournissant le
résultat de l'évaluation de l'algorithme MD5, le nœud source du paquet et garantie l'intégrité
de l'option de mobilité pour les données.
Destination Identifier : Ce champ dont la taille est de 128 bits identifie uniquement le nœud
de destination final sans se préoccuper de sa localisation (c'est-à-dire en-dehors de l'adresse
destination de l'en-tête IPv6).
Destination Address Version : Ce champ dont la taille est de 32 bits signale le numéro de
version des identificateurs et adresses destinations.
2. L'option de mobilité pour le contrôle
Option Type : Ce champ prend pour valeur 0x0?, ce qui signifie que cette option relève de
la propriété d'évaluation de l'intégrité obtenue via l'en-tête d'authentification.

Option Data Length : La longueur est de 108 octets.

L. George

IPv6

Page 54 sur 60

Identifier : Ce champ dont la taille est de 128 bits identifie uniquement le nœud pour lequel l'entrée AMT doit être créée ou mise à jour.

Address : Ce champ identifie le nœud pour lequel l'entrée AMT doit être créée ou mise à jour.

Address Version : Ce champ dont la taille est de 32 bits signale le numéro de version des identificateurs et adresses.

Holding Time : Ce champ dont la taille est de 32 bits signale le temps nécessaire, en secondes, durant lequel un nœud conserve l'entrée AMT du nœud désigné par le champ identificateur (Identifier).

Timestamp : Ce champ dont la taille est de 32 bits signale le temps nécessaire, en secondes, au nœud source pour transmettre un paquet. Ce champ permet aussi de prévenir les attaques récidivistes.

Authentication Data : Ce champ authentifie, en fournissant le résultat de l'évaluation de l'algorithme MD5 et/ou la signature digitale RSA, et garantie l'intégrité de l'option de mobilité pour les données.

Quelques explications s'avèrent utiles afin de mieux appréhender le mécanisme AMT.

C. Le format d'entrée AMT

le mécanisme AMT. C. Le format d'entrée AMT Status : Il s'agit des drapeaux que montre

Status : Il s'agit des drapeaux que montre le statut de l'entrée AMT. Les trois drapeaux sont les suivants :

- invalid : l'entrée AMT est invalide si le drapeau est activé « on », la raison pour laquelle cette entrée AMT est invalide est de détecter d'une entrée AMT sur un autre nœud ;

- home : le nœud qui permet l'entrée AMT est connecté au réseau maison du nœud désigné par cette entrée AMT.

- local : le nœud désigné par l'entrée AMT est connecté au même réseau si le drapeau est activé « on ».

L. George

IPv6

Page 55 sur 60

Identifier : Ce champ représente la clé de l'entrée.

Address : L'adresse courante du nœud désigné par le champ Identifier.

Address Version : Le numéro de version de l'identificateur et de l'adresse.

Holding Time : La valeur de ce champ est périodiquement décrémentée. L'entrée est détruite lorsque la valeur arrive à zéro.

Timestamp : Ce champ permet de mesurer le temps nécessaire à l'option de mobilité qui crée et met à jour l'entrée.

Authentification Data : Ce champ permet d'authentifier les données de l'option de mobilité qui crée et de met à jour l'entrée.

D. Les méthodes d'authentification

Les options de mobilité utilisent deux méthodes d'authentification, « keyed MD5 » et « RSA digital signature ».

Keyed MD5 est utilisée dans le cadre de l'authentification end-to-end d'un paquet via l'option de mobilité pour les données utilisateurs ce qui nécessite de partager une clé secrète commune entre le nœud authentifiant et le nœud authentifié. La taille de la clé est de 128 bits, les calculs couvrent les champs suivants : Source Address (dans l'en-tête IPv6), Source Identifier, Source Address Version, Holding Time et Timestamp.

La méthode RSA digital signature est utilisée pour l'authentification de nœuds intermédiaires utilisés pour l'envoi de paquets avec l'option de mobilité pour le contrôle. La taille de la clé est de 512 bits, les calculs couvrent les champs suivants : Identifier, Address, Address Version, Holding Time et Timestamp.

E. La connexion à un réseau

Lorsqu'un nœud est connecté à un réseau, il lui est attribué une adresse IPv6 temporaire dans le sous réseau par le mécanisme d'auto-configuration d'adresses. A l'inverse, l'identificateur du nœud mobile ne change pas. Le nœud mobile transfert un paquet IPv6 via l'option de mobilité pour le contrôle située dans son réseau maison. Lors de toute cette procédure, les entrées AMT pour le nœud mobile sont créées et mises à jour à la fois sur les nœuds intermédiaires et ceux du réseau maison.

1. Les procédures utilisées sur le nœud mobile

Lorsqu'un nœud mobile est connecté à un réseau, il transmet un paquet IPv6 via l'option de mobilité pour le contrôle à son réseau maison. Chaque champ de ce réseau est rempli de la manière suivante.

L. George

IPv6

Page 56 sur 60

Identifier : l'identificateur du nœud mobile. Address : l'adresse temporaire IPv6 de l'interface utilisée. Address Version : le numéro de version de l'adresse et de l'identificateur IPv6 temporaires. Holding Time : le temps, en secondes, pour lequel l'entrée AMT du nœud mobile doit être conservé. Timestamp : l'instant auquel le paquet est transmis. Authentication Data : la signature digitale RSA qui couvre les cinq champs précédents.

2. Les procédures utilisées sur un noeud intermédiaire

Lorsqu'un nœud intermédiaire reçoit un paquet via l'option de mobilité pour le contrôle, il peut exécuter les procédures suivantes après ou avant l'envoi des paquets.

Authentification : le nœud intermédiaire authentifie le paquet s'il connaît la clé publique du nœud mobile spécifié par le champ Identifier de l'option de mobilité. Si l'authentification réussit alors la modification AMT est exécutée.

Modification AMT : le nœud intermédiaire crée une entrée AMT pour le nœud mobile spécifié par le champ Identifier de l'option de mobilité s'il ne la connaît pas déjà ; ou bien, il met à jour l'entrée AMT existante à condition qu'elle ne soit pas obsolète (le numéro de l'option de mobilité ne doit jamais être plus grand que celui de l'entrée AMT).

Dans le cas où l'entrée AMT est obsolète, le nœud intermédiaire peut diffuser le paquet reçu à toutes ses interfaces.

3. Les procédures utilisées sur un nœud situé à la frontière (Boundary Node)

du réseau maison

Lorsqu'un paquet avec une option de mobilité pour le contrôle est reçu, un nœud situé à la frontière du réseau maison du nœud mobile désigné par le champ Identifier de l'option exécute les procédures d'authentification et de modification AMT, puis diffuse le paquet dans le réseau maison s'il s'agit d'un réseau de type diffusion. Si le nœud situé à la frontière dispose d'une entrée AMT obsolète, il transmet alors le paquet à l'adresse désignée par le champ Address de l'entrée AMT obsolète.

F. La communication des données

Dans les données de communication, l'option de mobilité pour les données des utilisateurs est intégrée dans chaque paquet IPv6. TCP/UDP désigne le nœud de destination avec l'identificateur. La résolution d'adresse pour le nœud de destination est exécutée soit au niveau du nœud source, soit au niveau du nœud intermédiaire, ou bien au niveau d'un nœud localisé au sein du réseau maison du nœud de destination, puis le paquet est routé vers le nœud de destination.

1. Les procédures appliquées au noeud source

L. George

IPv6

Page 57 sur 60

Le nœud source crée un paquet IPv6 via l'option de mobilité pour les données des utilisateurs. Dans l'option, les champs relatifs au nœud source (Source Identifier, Source Address Version, Holding Time et Timestamp) sont remplis avec les valeurs appropriées, puis les données d'authentification sont calculées et attribuées au champ Authentication Data.

Une requête de transmission de la couche supérieure précise le nœud de destination et son identificateur (champ Destination Identifier) mais pas l'adresse. Le nœud source essaie de résoudre la correspondance de l'identificateur et de l'adresse grâce à la technique AMT. Si l'entrée AMT pour le nœud de destination existe, l'adresse et son numéro de version sont attribués respectivement au champ de destination de l'en-tête IPv6 ainsi qu'au champ du numéro de version de l'adresse de destination de l'option.

2. Les procédures appliquées au nœud intermédiaire

Il existe deux procédures dans le cas d'un nœud intermédiaire avec l'option de mobilité des données des utilisateurs, à savoir la modification AMT et la résolution d'adresse.

Lors de la modification AMT, l'entrée AMT pour le nœud mobile désigné par le champ Source Identifier de l'option peut être créée ou modifiée. Dans un premier temps, le nœud intermédiaire authentifie le paquet si ce dernier connaît la clé commune du nœud source. Si l'authentification réussit, les procédures suivantes sont exécutées. Si une entrée AMT pour le nœud mobile désigné par le champ Source Identifier de l'option n'existe pas, elle est alors créée. S'il n'y a pas d'entrée AMT (information obsolète), alors des modifications sont réalisées en accord avec les valeurs de l'option.

Dans le cas de la résolution d'adresse, l'adresse de destination dans l'en-tête IPv6 et le numéro de version de l'adresse de destination de l'option peuvent être modifiés. Si l'entrée AMT pour le nœud de destination du paquet existe, alors il faut comparer le numéro de version de l'adresse de destination du paquet avec le numéro de version de l'adresse de l'entrée. Si l'entrée AMT dispose d'informations plus récentes, alors le champ Destination Address de l'en-tête IPv6 et le numéro de version de l'adresse de destination de l'option sont modifiés conformément à l'entrée.

3. Les procédures appliquées au nœud de destination

Le nœud de destination exécute la procédure de modification AMT décrite ci-dessus puis la signale à la couche supérieure de réception du paquet avec l'identificateur du nœud source mais pas son adresse.

L. George

IPv6

Page 58 sur 60

CONCLUSION

Lors de sa conception, IPv6 devait logiquement être considéré comme l'évolution normale de l'Internet facilitée par son entière compatibilité avec IPv4 et, par conséquent connaître un déploiement stratégique très rapide. Or, la transition vers IPv6 sera vraisemblablement longue.

En effet, si dans les organismes de recherche, les travaux sur IPv6 semblent très convaincants, il convient de bénéficier d'un autre soutien et non des moindres, à savoir celui des grands constructeurs, qui restent encore prudents.

Dès lors la question qui émerge est de savoir qui doit migrer vers IPv6 et quand. La réponse est naturellement liée aux priorités de chacun, mais aussi aux possibilités nouvelles offertes par IPv6 et qui pour certaines d'entre elles au moins vont probablement devenir essentielles aux applications courantes de demain : applications de vidéoconférences ou de temps réel, nécessitant une qualité de service garantie, la configuration automatique des équipements, la sécurité des données transportées…

L. George

IPv6

Page 59 sur 60

Quelques définitions :

GLOSSAIRE

Adresse (address) : un identifiant de la couche Ipv6 pour une interface ou un groupe d'interfaces.

ICMPv6 : (Internet Message Control Protocol, ICMP) le protocole de contrôle d’IP revu pour IPv6 (détection d’erreurs, test, configuration automatique des équipements).

IAB : (Internet Architecture Board) l’IAB fournit une supervision de l’architecture de l’Internet et de ses protocoles.

IETF : (Internet Engineering Task Force) l’organisme de standardisation de l’Internet.

Interface : un attachement d'un nœud à une liaison.

Liaison (link) : un moyen de communication ou médium sur lequel les nœuds peuvent communiquer avec la couche liaison (la couche immédiatement sous IPv6).

MTU de liaison (link MTU) : l'unité de transmission maximale (Maximum Transmission Unit - MTU), c'est à dire la taille maximale du paquet en octets, qui peut être acheminé en un seul "morceau" sur une liaison (un paquet étant composé d'un en-ête IPv6 et de son "payload").

MTU de chemin (path MTU) : le plus petit MTU de liaison de toutes les liaisons que compose un chemin entre un nœud source et un nœud de destination.

Nœud (node) : un module protocolaire qui implémente IPv6.

RFC : (Request For Comments) ce sont les documents officiels de l’Internet ; ils sont disponibles gratuitement sur le réseau. En France, ils sont notamment disponibles sur le site miroir officiel primaire ftp://www.imag.fr/pub/archive/IETF/rfc/.

Router (routeur) : un nœud qui transmet des paquets IPv6 non explicitement adressés à lui- même.

Station (host) : tout nœud qui n'est pas un routeur.

Voisins (neighbors) : nœuds rattachés à la même liaison.

L. George

IPv6

Page 60 sur 60

BIBLIOGRAPHIE

IPv6 (Théorie et pratique) par Gisèle CIZAULT (Ed. O’REILLY)

Internet :

IPv6 par Bernard TUY (cours de l'UREC) :

http://www.urec.fr/cours/Reseau/ipv6/index.htm

L. George