Académique Documents
Professionnel Documents
Culture Documents
Anthony Busson
Plan
Prsentation Motivation
de la zone Asie pacifique La tlphonie mobile avec GPRS et les services de 3me gnration (un tlphone = au moins une adresse) Les rseaux domotiques/ambiants
Internet aujourdhui
IP space (used) 2,209,843,553 (58.8%)
1,444,178,539 229,814,136 166,019,984 165,783,557 104,515,438 81,147,698 74,825,026 65,963,569 41,461,633 40,117,845 36,415,439 4,407,099
UNITED STATES UNITED KINGDOM CHINA JAPAN GERMANY FRANCE CANADA KOREA, REPUBLIC OF NETHERLANDS ITALY AUSTRALIA VIET NAM
10 11 38
Motivations
1981 naissance de IPv4 1985 1/16 espace dadressage allou 1990 1/8 espace dadressage allou 1995 1/4 espace dadressage allou 2000 1/2 espace dadressage allou
Autres inconvnients
Partage dadresse (DHCP) CIDR (complexifie ladressage/ladministration) NAT (network Address Translation)
Ladressage IPv6 est dcrit dans le RFC 3513 (rend le RFC 2373 obsolte). Ladresse est cod sur 16 octets (128 bits) (340.282.266.920.938.463.463.374.607.431.768.211.465 adresses). Elle est reprsente sous forme hexadcimal (insensible la casse)
2001:0001:4F34:0000:0000:0000:2006:AE14
8 mots de 2 octets
2001:1:4F34:0:0:0:2006:AE14
Les champs nuls conscutifs peuvent tre abrgs (ne peut apparatre quune fois).
2001:1:4F34::2006:AE14
: adresse de loopback
0000:0000:0000:0000:0000:0000:0000:000 1
Une
Global
Site local
Link local
Adresse configur automatiquement par la station pour une interface. Permet de communiquer sur un LAN en labsence de routeurs. Structure : FE80::/10
1111111010
10 bits
0
54 bits
64 bits
16 bits
24 bits constructeur
0xFFFE
24 bits constructeur
Note: Le septime bit partir du poids fort de lidentifiant dinterface est mis 1 pour indiquer que ladresse est unique mondialement.
Permet dadresser les machines dun site sans tre connect lInternet ni davoir de prfixe. Equivalent des adresses prives dans IPv4. Structure : FE80::/10
1111111011
10 bits
0
54 bits
64 bits
RFC 3587 IANA a allou le prfixe 2001::/16 pour les RIR (Regional Internet Registries : APNIC, ARIN, RIPE NCC) Chaque RIR se voit allou un prfixe /23 Les RIR allouent des prfixes /35 aux ISP Les ISP allouent des prfixes /48 aux sites
/16 /23 /35 /48 /64
Adresse de linterface
ISP Site Prfixe du LAN
2001
Rservation IANA pour les RIR Registry
ISP ISP
2001:0654::/35 2001:0654::/35
Client 22 Client 2001:0654:111a::/48
2001:0654:111a::/48
2001:0654:10b3::/48
On rsume
Allocation Prefix (binary) Fraction of Address Space ------------------------------------------------------------------------------------------Unassigned 0000 0000 1/256 Unassigned 0000 0001 1/256 Reserved for NSAP Allocation 0000 001 1/128 [RFC1888] Unassigned 0000 01 1/64 Unassigned 0000 1 1/32 Unassigned 0001 1/16 Global Unicast 001 1/8 [RFC2374] Unassigned 010 1/8 Unassigned 011 1/8 Unassigned 100 1/8 Unassigned 101 1/8 Unassigned 110 1/8 Unassigned 1110 1/16 Unassigned 1111 0 1/32 Unassigned 1111 10 1/64 Unassigned 1111 110 1/128 Unassigned 1111 1110 0 1/512 Link-Local Unicast Addresses 1111 1110 10 1/1024 IANA-Reserved (Formerly Site-Local)1111 1110 11 1/1024 [RFC3879] Multicast Addresses 1111 1111 1/256
Source Address
Destination Address
4 octets
Version (4 bits) : gale 6. Traffic class (8 bits) : classe de trafic diff-serv. Flow label (20 bits) : identificateur de flux. Payload length (16 bits): taille des donnes utiles en octets. Next Header (8 bits) : identifie soit le protocole de niveau suprieur soit la prochaine option IPv6 (Extension Header). Hop limit (8 bits) : TTL IPv4. Source adress et Destination adress (2x8 octets)
Le checksum?
En IPv4:
Les trames de niveau liaison offre gnralement un contrle du contenu de la trame par un CRC (PPP, ethernet). Idem au niveau UDP (optionnel) et TCP (obligatoire). Vrification et recalcul systmatique du Checksum par les routeurs. Plus de checksum au niveau IP Devient obligatoire au niveau suprieure.
En IPv6:
Les options
Valeur Next Header (dcimale) Extension Header Taille en octets Description RFC 0 Hop-By-Hop Options Variable Indique que les options doivent tre traites par tous les routeurs acheminant le paquet. Cette extension doit se situer juste aprs len-tte IPv6. Mthode permettant de faire du source routing. Lensemble des routeurs traverser est indiqu dans lextension (routage lche). 2460
43
Routing
Variable
2460
44
Fragment
Extension permettant de fragmenter un paquet IPv6. Le principe est identique IPv4. Mais la fragmentation nest faite que de bout en bout, les routeurs ne fragmente pas.
2460
50
Variable
Carries encrypted data for secure communications. 2406 This header is described in detail in the section on IPSec. Contains information used to verify the authenticity of encrypted data. 2402 This header is described in detail in the section on IPSec. Defines an arbitrary set of options that are intended to be examined only by the destination(s) of the datagram. This is one of two extension headers used to define variable-format options.
51
Variable
60
Destination Options
Variable
2460
Hop-by-Hop extension
En-tte suivant Longueur extension Options
0 1 5 194
1 octet de bourrage
Longueur bourrage 000000000000000
lg=2 lg =4
Lextension est compose doption (4 actuellement) 2 de bourrages Jumbogramme : indique la taille du paquet (suprieure 65 535). Router Alert : oblige le routeur examiner les donnnes (utilis dans MLD par exemple).
Le champ option commence toujours par 1 octet indiquant le type et un deuxime octet indiquant la taille de loption.
Routing Extension
En-tte suivant Longueur extension Options
type
Segt restant
rserv
@ routeur 1
@ routeur n
La source indique les adresses des routeurs relais. Ladresse destination du paquet est initialise avec ladresse du premier routeur relai. Chaque routeur relai recevant le paquet:
met ladresse du prochain relai dans le champ destination du paquet IPv6, dcremente le champ Segment restant, met le paquet au noeud suivant.
Fragment extension
En-tte suivant Longueur extension Options
Place du fragment
00M
Identification
Fonctionnement identique la fragmentation dans IPv4. La fragmentation ne se fait que de bout en bout : les routeurs ne fragmente pas (disparition du drapeau DF). Place du fragment (13 bits): nombre de mots de 8 bits qui spare le dbut du paquet du premier octet du fragment. M: indique si il sagit du dernier fragment ou non (vaut 1 si il reste des fragments). Identification : identifiant du paquet (commun tous les fragments).
ICMPv6
16
32
type
code
checksum
Donnes ICMP
Type : nature du message ICMP Code : cause du message ICMP Checksum : permet de vrifier lintgrit du message ICMP.
Type
Description
Code 0 - no route to destination 1 - communication with destination administratively prohibite 2 - (not assigned) 3 - address unreachable 4 - port unreachable 0 0 - hop limit exceeded in transit 1 - fragment reassembly time exceeded 0 - erroneous header field encountered 1 - unrecognized Next Header type encountered 2 - unrecognized IPv6 option encountered 0 0 0 0 0 0 0 0 0 0 0 - Router Renumbering Command 1 - Router Renumbering Result 255 - Sequence Number Reset
References
Destination unreachable.
RFC 2463
2 3
4 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142
Parameter problem. Echo request. Echo reply. Group Membership Query. Group Membership Report. Group Membership Reduction. Router Solicitation. Router Advertisement. Neighbor Solicitation. Neighbor Advertisement. Redirect. Router Renumbering. ICMP Node Information Query. ICMP Node Information Response. Inverse Neighbor Discovery Solicitation Message. Inverse Neighbor Discovery Advertisement Message.
RFC 2461 RFC 2461 RFC 2461 RFC 2461 RFC 2461 RFC 2894 RFC 4620 RFC 4620
0 0
Sollicitation du routeur type=133 Annonce du routeur type=134 Sollicitation dun voisin type=135 Annonce dun voisin type=136 Redirection type=137
Permet une machine de dcouvrir les voisins et les paramtre du rseau local, plus spcifiquement:
Dcouvrir la prsence des autres machines/interfaces Dcouvrir leurs adresses de niveau 2 (ex ARP pour IPv4) Dtecter les collisions dadresses Dcouvrir les routeurs et le prochain saut Sauto configurer (dcouverte du prfixe) Rediriger Dcouvrir les paramtres locaux (MTU du lien, nombre de saut maximum, etc.).
Aucune configuration manuelle des machines Ncessite un rseau diffusion Uniquement pour les machines, ne permet pas aux routeurs de sautoconfigurer.
Chaque quipement configure son adresse link-local. Pour les adresses globales, cela requiert :
un identifiant pour les 64 bits identifiant linterface, le prfixe du sous-rseau sur lequel se trouve linterface.
Le prfixe est obtenue par des annonces faites par les routeurs Lidentifiant est obtenue soit :
16 bits
24 bits constructeur
0xFFFE
24 bits constructeur
Il ny a plus dadresse de diffusion comme dans IPv4 Seules des adresses multicast sont utilises:
FF01:0:0:0:0:0:0:1 FF02:0:0:0:0:0:0:1 FF01:0:0:0:0:0:0:2 FF02:0:0:0:0:0:0:2 FF05:0:0:0:0:0:0:2 FF02:0:0:0:0:1:FFxx:xxxx xx:xxxx correspondent aux 3 octets de poids faibles de ladresse unicast de destination.
Solicited-Node Adress
Ladresse indtermine ( Unspecified adress ) peut tre utilise comme adresse source
0:0:0:0:0:0:0:0 ou ::
Messages mis priodiquement ou en rponse une sollicitation. Il donne les informations aux machines pour quelles puissent sautoconfigurer
Type=134 Code=0 checksum Saut max MOH----- Dure de vie du routeur dure daccessibilit temporisation de retransmission Options (adresse physique de la source, information sur le prfixe, MTU)
Saut max : indique le TTL qui doit tre utilis sur le rseau Drapeau
M : indique que ladresse de lquipement doit tre obtenue via un serveur DHCP O : service de configuration autre que ladresse H : le routeur peut tre utilis comme agent mre pour la mobilit
Dure de vie du routeur (en secondes) : dure durant laquelle le routeur fait office de routeur par dfaut. Dure daccessibilit (en millisecondes): dure de validit des caches des quipements du rseau (par exemple la correspondance entre adresses MAC et IPv6). Temporisation de retransmission (en millisecondes): priode dmission des annonces manant du routeur
Sollicitation du routeur
RS RA
La sollicitation du routeur (Router solicitation) est un paquet ICMPv6 mis par un quipement au dmarrage pour recevoir plus rapidement les informations du routeur.
Au dmarrage, un equipement vrifie que son adresse IPv6 nexiste pas dj sur le rseau.
Redirect
A
R1
R2
Si on a plusieurs routeurs sur le mme lien, il peut tre prfrable pour certaines destinations de ne pas passer par le routeur par dfaut. Dans ce cas, le routeur renvoie la station mettrice un message ICMPv6 redirect lui indiquant une meilleur route
Dcouverte du PMTU
1 8 16 32
Type=2
Transmission de paquets de la taille du MTU local Si on reoit un message ICMP on rduit la taille du paquet
MTU=1500 MTU=1400 MTU=1300
MTU=1500
Paquet de MTU=1500 ICMP packet too big MTU = 1400 Paquet de MTU=1400 ICMP packet too big MTU = 1300 Paquet de MTU=1300
PMTU= 1300
Type=135 Code=0 checksum rserv Adresse (IPv6) de la cible Option (adresse physique de la source)
checksum rserv
Sollicitation
Annonce
Message ICMPv6 code 135. Permet dobtenir des informations sur un quipement voisin (sur le mme lien physique). Permet dobtenir la correspondance adresse IPv6 adresse physique. Permet de dtecter les collisions dadresses. Pour lannonce,
R : indique si lmetteur est un routeur S : rponse une sollicitation O : remplace les informations prcdentes dans les caches des quipements.
La Scurit
Scurit (1)
Utilisation
de IPsec (IP SECurity). Dfinition de mcanismes commun IPv4 et IPv6. Implmentation obligatoire au niveau IPv6 (optionnel dans lIPv4). Dfinitions dextensions de scurit dans IPv6 (options).
Scurit (2)
Deux
Extension dauthentification permettant de sassurer de lidentit de lmetteur du message et de lintgrit des donnes.
Extension de confidentialit (ESP) permettant le chiffrement des donnes et de garantir lauthentification et lintgrit des paquets
En-tte IPv6 Next Header =ESP
Queue EPS
Auth. EPS
authentifi chiffr
Authentification Header
Permet lauthentification de lmetteur Permet la vrification des donnes : les donnes mises nont pas t modifies. Bas sur lenvoi des donnes+ un ICV (Integrity Check Value) qui authentifie lmetteur. Exemple : MAC (Message Authentication Code) , appliquer une fonction de hachage aux donnes concatn une cl symtrique.
H(donnes+cl)
Site IP Site IP
Passerelle de scurit Passerelle de scurit
Site IP Site IP
Site IP Site IP
En-tte AH
Site IP Site IP
En-tte AH
La mobilit IPv6
Besoin de mobilit
Un utilisateur veut avoir accs o quil soit aux services de son rseau dattachement (mail, etc.) Ce mme utilisateur souhaiterai tre toujours joignables (au sens IP du terme) Il veut galement pouvoir rester en communication mme si il est en mouvement. Lors de ces dplacements il change dadresse IP rgulirement via DHCP ou par lauto configuration (sur les rseaux daccueil) Il faut pour que les communications en cours reste valide inform les correspondants des changements dadresses. Il faut que des correspondants puisse se connecter lutilisateur quelque soit lendroit o lutilisateur se trouve.
Mobile IPv6
Le mobile (lutilisateur) obtient des adresses temporaires via DHCP ou via lauto configuration sur les rseaux daccueil
Cest une condition ncessaire pour quil soit atteignable Le routage des paquets dans le rseau se fait uniquement partir des prfixes!
Le mobile senregistre sur un des routeurs de son rseau original appel agent mre. A chaque changement dadresse le mobile en informe son agent mre. Lorsque un correspondant souhaite se connecter au mobile, lagent mre intercepte les paquets et les transmets au mobile au travers dun tunnel IPv6. Lorsque le mobile reoit les paquets dun correspondant par le tunnel, il informe le correspondant de son adresse IPv6 temporaire.
Mobile IPv6
Rseau mre du mobile
Internet Internet
Mobile IPv6
Rseau mre du mobile
Adresse temporaire du mobile sur le rseau daccueil @AT RA : prfixe
Rseau daccueil
mobile
Internet Internet
Mobile IPv6
Rseau mre du mobile
Adresse temporaire du mobile sur le rseau daccueil @AT
Rseau daccueil
mobile
@RM @AT
n io pt t o v6 en ion I P em t et uitt ocia qu q ss Pa ac la de
Internet Internet
Mobile IPv6
Rseau mre du mobile
Adresse temporaire du mobile sur le rseau daccueil @AT
Rseau daccueil
mobile
@RM @AT
Internet Internet
P @ a qu I P et B IPv @ 6 RM
Correspondant (B)
IPv6 @IPB
Mobile IPv6
Rseau mre du mobile
Adresse temporaire du mobile sur le rseau daccueil @AT
t mre @agen T @A
Rseau daccueil
mobile
@RM @AT
Internet Internet
Correspondant (B)
IPv6 @IPB
Mobile IPv6
Rseau mre du mobile
Adresse temporaire du mobile sur le rseau daccueil @AT
Rseau daccueil
mobile
@RM @AT
Internet Internet
Correspondant (B)
IPv6 @IPB
Mobile IPv6
Rseau mre du mobile
Adresse temporaire du mobile sur le rseau daccueil @AT
Rseau daccueil
mobile
@RM @AT
Internet Internet
Pa qu @I et IP PB v 6 opt @A ion T
Correspondant (B)
IPv6 @IPB
A la rception dune mise jour de lassociation Lorsque le correspondant reoit une mise jour de lassociation : 1. 2. Il vrifie le numro de squence, la dure de validit et loption dauthentification. Met jour son cache des associations cest-dire la table de correspondances entre les adresses des nuds et les adresses temporaires (@RM @AT)
A lmission dun paquet vers le nud mobile A lmission dun paquet vers le mobile ( ladresse destination est toujours @RM) : Il vrifie si il a dans son cache des associations une entre valide pour @RM : 1. 2. Si il nen a pas, il met le paquet @RM Sinon, il envoi le paquet @AT avec une extension routage o le noeud suivant est @RM
A la rception dun paquet provenant du nud mobile Lorsque le correspondant reoit un paquet venant du nud mobile, celui-ci doit contenir une option adresse principale contenant ladresse @RM. 1. Le correspondant change ladresse temporaire du paquet reu par ladresse principale (@RM). Donne le paquet IPv6 la couche transport. Cela permet aux couches suprieures de ne connatre que ladresse principale du correspondant. La mobilit est transparente pour la couche transport.
2.
Pour lmission dun paquet Lorsque le mobile souhaite mettre un paquet : 1. Pour certains types de connexion qui peuvent facilement tre rinitialiser, il utilisera son adresse temporaire (requte DNS, etc.). Pour des communications dj en cours, o pour lesquels ladresse IP dorigine une importance, il utilise ladresse temporaire comme adresse destination mais rajoute une option adresse principale len-tte IPv6 permettant de sidentifier.
2.
A la rception dun paquet provenant du tunnel de lagent mre. Lorsque le mobile reoit un paquet provenant du tunnel de lagent mre : 1. Il dcapsule le paquet, analyse le paquet IPv6 encapsul et le donne la couche transport. Envoi au correspondant une mise jour de lassociation afin que celui-ci lui mette les paquets ladresse temporaire.
2.
A la rception dun paquet provenant directement du correspondant. Lorsque le mobile reoit un paquet provenant du correspondant : 1. Il analyse lextension routing de lentte IPv6. Elle contient ladresse du nud suivant qui est @RM (le neoud mobile luimme). Il remplace ladresse destination par ladresse du nud suivant (@RM) et route le paquet vers lui-mme. Donne le paquet la couche transport.
2.
3.
Problmatique
Site
IPv6 sans accs IPv6 (FAI ne fournissant pas daccs IPv6) Site o lon exprimente IPv6, les quipements utilisent la fois IPv4 et IPv6 Les rseaux IPv6 ne sont pas directement connects en IPv6 (nuage IPv6)
Routeur
@IPv6 A @IPv6 B
Paquet IPv6
Paquet IPv4
IPv6 2001:c20:ffff:2a::1
Routeur
@IPv6 B @IPv6 A
Paquet IPv6
Paquet IPv4
IPv6 2001:c20:ffff:2a::1
IPv6 2001:c20:ffff:2a::1
Tunnel manuel
A
IPv6 2002:81af:5701:2b::102b
Routeur 6to4
B
@ IPv4 @ IPv4
6to4 (1)
Technique permettant la mise en uvre automatique de tunnels Permet de connecter un site au rseau IPv6 Ladresse IPv4 dun routeur en bordure du rseau permet de passer et didentifier le site sur le rseau IPv4. Le prfixe 2002::/16 a t allou par lIANA pour mettre en uvre cette technique.
129.175.87.1 81af:5701
32 bits
hexa
81af:5701 @interface
64 bits
2002:
16 bits
@rseau
16 bits
6to4 (2)
A
IPv6 2002:81af:5701:2b::102b
Routeur 6to4
B
129.175.87.1 135.180.10.10
IPv6 2002:87B4:a0a:2e3a::1
6to4 (3)
A
IPv6 2002:81af:5701:2b::102b
Routeur 6to4 N2
B
IPv6 2002:87B4:a0a:2e3a::1
1. 2. 3. 4. 5. 6.
A met un paquet IPv6 sur son rseau destination de B Il est rout jusquau routeur de bordure Le routeur de bordure extrait de ladresse IPv6 de B ladresse IPv4 du routeur N2 Il encapsule le paquet IPv6 dans un paquet IPv4 destination du routeur N2 Le routeur N2 extrait le paquet IPv6 du paquet IPv4 et route le paquet sur le rseau de B. B reoit le paquet IPv6 mit par A.
Routeur IPv6 N2
B
IPv6 2001:82B1:a0a:2e3a::1
Si B se trouve sur un rseau IPv6 normal , cest--dire avec des adresses IPv6 globales Les paquets allant de B vers A sont routs via un tunnel 6to4 Les paquets allant de A vers B doivent tre envoy via un tunnel connect au rseau IPv6 (tunnel manuel par exemple).
ISATAP (1)
ISATAP : Intra-Site Automatic Tunnel Adressing Protocol ISATAP permet de connecter des quipements IPv6 isols sur un rseau IPv4. Lquipement doit tre quip de IPv4 et IPv6 (dual stack) ISATAP sur une construction particulire des identifiants.
2001:
prfixe
0:5efe:@IPv4 en hexadcimal
Lorsque un routeur (ISATAP) reoit un paquet IPv6 avec une partie identifiant 48 bits Identifiant = @ interface : 64 bits ISATAP, 16 bits
il en dduit que le paquet est destin un quipement isol, Il encapsule le paquet IPv6 dans un paquet IPv4 (ladresse IPv4 de lquipement contenu dans lidentifiant de ladresse IPv6) connatre ladresse IPv4 du routeur ISATAP, envoyer un RS (router solicitation) via un tunnel IPv4 au routeur.
ISATAP (2)
RS
IPv4 129.175.87.1
IPv6
Routeur ISATAP
IPv4
1. 2.
Apprend ladresse IPv4 du routeur ISATAP Envoi dans un tunnel IPv4 un RS adresse source = link local (fe80::5e:fe:IPv4), adresse destination = multicast des routeurs.
ISATAP (2)
IPv4 129.175.87.1
IPv4
RA
IPv6
Routeur ISATAP
IPv6 2001:prfixe:0:5efe:IPv4
1. 2.
Apprend ladresse IPv4 du routeur ISATAP Envoi dans un tunnel IPv4 un RS adresse source = link local (fe80::5e:fe:IPv4), adresse destination = multicast des routeurs.
1.
ISATAP (2)
IPv4 129.175.87.1
IPv6
Routeur ISATAP
IPv4
IPv6 2001:prfixe:0:5efe:IPv4
1. 2.
Apprend ladresse IPv4 du routeur ISATAP Envoi dans un tunnel IPv4 un RS adresse source = link local (fe80::5e:fe:IPv4), adresse destination = multicast des routeurs.
1. 2.
Rponse du routeur avec le prfixe IPv6 et construction de ladresse IPv6 correspondante. Emission de paquets IPv6 au travers du tunnel IPv4.
ISATAP (2)
IPv4 129.175.87.1
IPv6
Routeur ISATAP
IPv4
IPv6 2001:prfixe:0:5efe:IPv4
1. 2.
Apprend ladresse IPv4 du routeur ISATAP Envoi dans un tunnel IPv4 un RS adresse source = link local (fe80::5e:fe:IPv4), adresse destination = multicast des routeurs.
1. 2.
Rponse du routeur avec le prfixe IPv6 et construction de ladresse IPv6 correspondante. Emission de paquets IPv6 au travers du tunnel IPv4.
ISATAP (2)
IPv4 129.175.87.1
Routeur ISATAP
IPv4 IPv6
IPv6 2001:prfixe:0:5efe:IPv4
1. 2.
Apprend ladresse IPv4 du routeur ISATAP Envoi dans un tunnel IPv4 un RS adresse source = link local (fe80::5e:fe:IPv4), adresse destination = multicast des routeurs.
@IPv6 A @IPv6 B @IPv4 R @IPv4 A
1. 2. 3.
Rponse du routeur avec le prfixe IPv6 et construction de ladresse IPv6 correspondante. Emission de paquets IPv6 au travers du tunnel IPv4. Lorsque le routeur dtecte un paquet pour un quipement ISATAP, il envoi dans un tunnel IPv4.
Paquet IPv4