L'avenir du protocole Internet : IPv6

Plan
Historique et motivations. Principales innovations avec IPV6 Adressage IPv6 Auto-configuration Mobilit Scurit La transition IPv4-IPv6 Conclusion

Historique et motivations

Rappels historiques

Lors du lancement d IPv4 au dbut des annes 80, internet tait minuscule et relativement priv. Aujourdhui, internet est victime de son succs (croissance inattendue de besion dadresses). Cest cette pnurie dadresses que doivent faire face aujourdhui les fournisseurs daccs internet.

solutions court terme

Bien sr des solutions court terme ont existes : DHCP : Dynamic Host Configuration Protocol, permet dallouer dynamiquement les adresses seulement quand les machines sont connectes. NAT : Network Address Translation, permet de rduire le nombre dadresses publiques utilises VLSM: Variable Length Subnetwork Mask. Masques de sous-rseau longueur variable.

IPv6 une solution

IPv6 est une solution la pnurie dadresse, un espace dadressage immense sur 128 bits
3,4.1038 adresses Environ 6.1014 adresses/personne

IPv6 a t conu pour saffranchir des limites de IPv4 et ajouter des amliorations :
lautoconfiguration la scurit la mobilit Qualit de service

Les principales innovations avec IPv6

Les principales innovations

Les principales innovations sont au niveau des lments suivants: Adressage IPv6 Auto-configuration La mobilit IPv6 La scurit IPv6

Adressage IPv6

Nouveau format dadresses Nouveau datagramme Types dadresses IPV6

Nouveau format dadresses

Les 128 bits de ladresse IPv6 sont diviss en huit groupes de 16 bits reprsents en notation hexadcimale et spars par le caractre : .
Par exemple :

2001:0660:7401:0200:0000:0000:0EDF:BDD7

Les zros gauche dun ensemble de 16 bits peuvent tre omis.

Par exemple :

2001:660:7401:200:0:0:edf:bdd7

un ou plusieurs groupes conscutifs entirement zro se notent ::

Par exemple :

2001:660:7401:200::edf:bdd7

NB :Cette simplification ne peut apparatre quune seule fois dans une adresse IPv6.

Nouveau format dadresse(suite)

Pour viter toute ambigut avec IPv6, il faut mettre ladresse entre crochets : exemple: http://[2001:660:7401:251::35]. La notation du prfixe IPv6

<prfixe-ipv6> / <longueur du prfixe>

Par exemple :

2001:660:7401::/48 reprsente un rseau 2001:660:7401:202::66/64 reprsente une machine

Adresses rservs IPv6

Adresse IPv6
:: ::1 ::00:xx:xx:xx:xx ::ff:xx:xx:xx:xx fe80:: - feb:: fec0:: - fef:: ff:: 001 (base 2)

Longue ur du prfixe (bits)

128 bits 128 bits 96 bits 96 bits 10 bits 10 bits 8 bits 3 bits

Description
non-spcifie adresse de boucle IPv4 encapsul adresse IPv6 mappe IPv4 lien-local site-local Multicast unicast globale

Notes
similaire 0.0.0.0 sous IPv4 similaire 127.0.0.1 sous IPv4 Les 32 bits de poids faible sont l'adresse IPv4. Egalement appele "adresse IPv6 compatible IPv4''. Les 32 bits de poids faible sont l'adresse IPv4. Destines aux machines ne supportant pas l'IPv6. similaire l'interface de boucle sous IPv4

Toutes les adresses unicast globales sont assignes partir de ce pool. Les trois premiers bits de l'adresse sont ``001''.

Adressage IPv6

Nouveau format dadresses Nouveau datagramme Types dadresses

Nouveau datagramme: Forme gnrale

Le datagramme IPv6 contient un en-tte de base, de taille fixe, suivi d'un certain nombre N d'en-ttes optionnels et du champ de donnes 'DATA'.

Format de lentte

La taille den-tte est ramene 40 octets (au lieu de 20 octets pour IPv4). Les en-ttes ont t simplifies par rapport au protocole IPv4, permettant ainsi un meilleur et plus rapide traitement par les routeurs.

Format de lentte :Les extensions

Elles doivent nanmoins toutes tre dune taille multiple de 8 et tre annonces dans un ordre particulier. Ipv6 header Hop by hop options header Destination options header Routing header Fragmentation header Authentification header Security payload header Destination options header Transport layer header Data

Format de lentte :Les extensions (suite)

On peut donc trouver des configurations semblables celles montres sur les schmas suivants:

Adressage IPv6

Nouveau format dadresses Nouveau datagramme Types dadresses Adresses unicast Adresses multicast Adresse anycast

Types dadresses:Adresses unicast

Il y en a deux types principaux dadresses unicast: Adresses globales Adresse de lien local

Adresses unicast:Adresses globales

10

Adresses unicast:Adresses de lien local

Les adresses multicast

11

Les adresses multicast:Le scope

exemples : FF02 ::2 reprsente tous les routeurs sur le mme lien que lexpditeur FF05 ::2 reprsente tous les routeurs sur le mme site

Adresses anycast

Le message est trait par une seule interface et non pas par lensemble des interfaces du groupe. Une interface quivaut un service, DNS par exemple. On cherche utiliser un service ; dans le cadre du service DNS peu importe quel serveur DNS sera utilis.

12

Les principales innovations

Les principales innovations sont les suivantes: Adressage IPv6 Auto-configuration La mobilit IPv6 La scurisation des rseaux mobiles IPv6

Autoconfiguration

Il existe deux formes dautoconfiguration : Lautoconfiguration avec tat ( stateful ) Lautoconfiguration sans tat ( stateless )

13

Lautoconfiguration avec tat ( stateful )

Son mode de fonctionnement est trs proche de celui de DHCP en IPv4. Il sappuie dailleurs sur lutilisation de DHCPv6. DHCPv6 est un protocole d'application qui utilise le protocole de transport UDP au-dessus d'IPv6.

Lautoconfiguration sans tat ( stateless )

La configuration automatique sans tat se droule en quatre tapes :

1. 2. 3. 4.

Cration dune adresse de lien local Dtection de duplication dadresse Dcouverte des routeurs Configuration de ladresse de lhte

14

Gnration partir de ladresse MAC

Exemple: ladresse MAC suivante : 0000:0B0A:2D51 En binaire :

On insre FFFE :

Bit U/L positionn 1 (7me bit) :

Rsultat EUI-64 : 0200:0BFF:FE0A:2D51

Les principales innovations

Les principales innovations sont les suivantes: Adressage IPv6 Auto-configuration La mobilit IPv6 La scurisation des rseaux mobiles IPv6

15

Pourquoi IP mobile?
Correspondent Node

<IP-A> <-> <IP-B> <IP-A> <IP-B>

Mobile Node

<IP-C> <IP-B> <-> <IP-C>

Mobile Node

Principe de base du mobile IPv6

Notez les dfinitions suivantes: Mobile Node (MN) : il s'agit de l'lment mobile. Home Address (HA) : cest ladresse permanente ou principale du mobile lintrieur de son rseau dorigine. Care-of-Address : cest ladresse temporaire du mobile qui lui sera attribue lors de son passage dans un rseau visit. Home Agent : il sagit du routeur maison . Il connat chaque instant la position du mobile. Correspondent Node (CN) : terme utilis pour dsigner un quipement cherchant communiquer avec le mobile. Binding Update (BU) : il sagit dun nouveau type de paquet ICMP permettant dapprendre la position du mobile.

16

Principe de base du mobile IPv6

Correspondent Node <correspondent address> <-> <home address> <Home Address> <Correspondent Address> Home Agent

Mobile Node
n tu l ne

IP

Tunneling bidirectionnel

<Care-Of Address>

Mobile Node

Les principales innovations

Les principales innovations sont les suivantes: Adressage IPv6 Auto-configuration La mobilit IPv6 La scurit IPv6

17

Securit IPv6:Le protocole IPsec

IPSec (Internet Protocol Security, RFC 2401) est un protocole de la couche 3 du modle OSI IPSec est un protocole destin fournir diffrents services de scurit.

Les services proposs par IPSec

Les services de scurit offerts par IPsec sont les suivants: Authentification des extrmits. Confidentialit des donnes changes. Authenticit des donnes Intgrit des donnes changes Protection contre les coutes et analyses de traffic Protection contre le rejeu

18

Description des sous-protocoles du IPsec

Le procotole IKE (Internet Key Exchange, RFC 2409): Permet d'tablir un premier tunnel entre les 2 machines (le tunnel IKE), que l'on pourra qualifier de "tunnel administratif". le protocole AH (Authentication Header) : Vise tablir l'identit des extrmits de faon certaine. Il ne garantit aucune confidentialit (chiffrement) des donnes. Le protocole ESP (Encapsulating Security Payload): Il a pour but de chiffrer les donnes, avec ou sans les headers des paquets si l'on souhaite le mode tunneling. Il garantit galement l'authenticit des donnes .

Le protocole d'authentification AH

Le protocole AH (Authentication Header) fournit les services de scurit suivants : Authentification des donnes Intgrit en mode non-connect Anti-rejeu (optionnel)

19

Le protocole de confidentialit ESP

Le protocole ESP (Encapsulating Security Payload) fournit les services de scurit suivants : Confidentialit Protection contre de l'analyse de traffic Intgrit en mode non-connect (comme AH) Authentification des donnes (comme AH) Anti-rejeu (comme AH)

Transition IPv4-IPv6

20

Transition IPv4 - IPv6

La transition de IPv4 vers IPv6 peut se dcouper en trois phases :

1.

phase o seuls des quipements IPv4 existent. On arrive aujourd'hui la fin de cette phase phase de coexistence d'quipements IPv4 et IPv6. Cette phase sera probablement trs longue enfin, phase o seuls subsisteront des quipements IPv6.

2.

3.

Les principaux Mcanismes de transition

Trois principaux mcanismes de transition existent: Double pile IP ou Dual stack Tunnels Translation

21

Double pile IP ou Dual stack

un ordinateur ou un routeur dispose des deux protocoles. Lquipement est configur avec deux adresses, une adresse IPv6 et une adresse IPv4 et peut envoyer et recevoir des datagrammes appartenant indiffremment lun ou lautre des protocoles IP.

Double pile IP ou Dual stack (suite)

Avantages:
simplicit et sa rapidit de mise en uvre. Permet de tester rapidement le nouveau protocole sans remettre en cause larchitecture existante du rseau.

Inconvnients:
Ne rsout pas le problme de la pnurie dadresse et ne peut alors tre quune solution court terme. Dployer deux rseaux en parallle impose de grer et de maintenir deux rseaux logiques sur la mme infrastructure physique et impose en consquence galement deux politiques de scurit (une pour IPv4 et une pour IPv6).

22

Tunnels

Les techniques de tunneling permettent deux sites IPv6 de communiquer au travers de rseaux IPv4.

Translation (NAT-PT)

Network Address Translation with Protocol Translation est spcifi par lIETF dans la RFC 2766. Tout comme le NAT IPv4 traduisait une adresse prive IPv4 en une adresse publique, globalement routable sur Internet, NATPT va faire la correspondance entre une adresse IPv6 globale et une adresse IPv4 publique. Le routeur du site qui implmente le mcanisme NAT-PT doit forcment tre double pile et se trouve lintersection entre un rseau IPv6 et un rseau IPv4 (par exemple entre le site IPv6 et lInternet IPv4).

23

Conclusion

La normalisation du successeur de l'Internet Protocol que nous utilisons tous aujourd'hui est dj bien avance, mme s'il reste encore du " pain sur la planche ". Les premires exprimentations ont dja commenc Les spcialistes prvoient un dploiement complet de IPv6 vers 2010 !!

24