Cours

Support de cours
TECHNOLOGIES INTERNET
AVANCEES: IPv6
Dr Lambert KADJO 1
www.kadjo-lambert.c4.fr
AVANCEES: IPv6
6DISS (http://www.6diss.org)
Bibliographie 6Bone(http://www.6bone.net)
IPv6 Forum (http://www.ipv6forum.com) 6NET (http://www.6net.org)
IPv6 Task Force (http://www.ipv6tf.org) Euro6IX (http://www.euro6ix.org)
Moonv6 (http://moonv6.sr.unh.edu)
Caida (http://www.caida.org)
Network exchange points for IPv6 (http://www.napv6.net)
IPv6.org (http://www.ipv6.org)
IPv6 Style (http://www.ipv6style.jp/en/index.shtml) IANA http://www.iana.org/assignments/ipv6-address-space
Sixxs (http://www.sixxs.net) AFRINIC http://www.afrinic.net
G6 (http://www.point6.net) APNIC http://www.apnic.net/docs/drafts/ipv6/ipv6-policy-280599.html
ARIN http://www.arin.net/registration/ipv6/
Apple Mac OS http://developer.apple.com/macosx/
LACNIC http://www.lacnic.net
BSD http://www.kame.net
RIPE http://www.ripe.net/ripe/docs/ipv6-policy.html
IBM http://www-306.ibm.com/software/os/zseries/ipv6/
Linux http://www.bieringer.de/linux/IPv6/status/IPv6+Linux-status-distributions.html
Microsoft http://www.microsoft.com/ipv6 Cours de Réseaux, Bernard COUSIN, Université de Rennes 1
Novell http://www.sun.com/software/solaris
Gaël Beauquin, IPv6 : sécurité - La sécurité dans une transition vers IPv6, CNRS UREC ,
Symbian http://www.symbian.com http://www.urec.cnrs.fr/IMG/pdf/secu.articles.Archi.Securite.IPv6.pdf
BORTZMAYER, http://www.bortzmeyer.org/3971.html
AFRINIC Stats http://www.afrinic.net/statistics/index.htm
IANA Stat http://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml
ICANN Stats and docs http://aso.icann.org/category/documents/
OUI Numbers http://standards.ieee.org/regauth/oui/oui.txt
SIXXS Stats http://www.sixxs.net/tools/grh/dfp/all/?sort=country
http://www.sixxs.net/misc/coolstuff/
V6FICATIONS http://www.deepspace6.net/docs/ipv6_status_page_apps.html
Dr Lambert KADJO 2
AVANCEES: IPv6
Chapitre I. Protocoles
Chapitre II. PLAN D’ADRESSAGE IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES ET
CONTROLE
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
Chapitre IV. SUPPORT DNS EN IPv6
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/
MIGRATION
3
AVANCEES: IPv6
Dr Lambert KADJO 4
Chapitre I. PROTOCOLES I.1 Problèmes d’IPv4 et tentatives
de résolution (7/8)
Quelques problèmes
Avec l’explosion de l’Internet, l’adressage IPv4 est confronté à plusieurs problèmes :
 épuisement des adresses IP publiques dû à la planification de l’adressage en classes a

insufflé des problèmes à IPv4
 Plus de la moitié des adresses non attribuables à des machines (adresses de diffusion
généralisée, adresses de diffusion restreinte, adresses particulières, adresses privées, blocs
réservés inutilisables, etc.)
 Gaspillage d’adresses dans les classes A et B dans des réseaux peu volumineux
- une adresse réseau de la classe A  224-2= 16 777 216 -2 adresses d’hôte
- une adresse réseau de la classe B  216-2= 65 536 -2 adresses d’hôte
 pas de sécurisation native des données pour IPv4

 faible disposition pour la gestion de la QoS
 8% seulement des en-têtes réservés (1 seul champ sur au moins 12)
 mauvaise gestion de la mobilité IP
- routage triangulaire entre HA (Home Agent) et le MN (Mobile Node)
5
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Tentatives de résolution
 Notion de sous-réseau
- utilisation du CIDR (Classless Inter-Domain Routing) : Allocation sur la base du besoin réel!
Adressage privé (RFC 1918) & NAT (Network Address Translation)

- Une seule adresse publique suffit pour plusieurs machines connectées à l’Internet
10.0.0.0 à 10.255.255.255 ou (10.0.0.0/8),
172.16.0.0 à 172.31.255.255 ou (172.16.0.0/12)
192.168.0.0 à 192.168.255.255 ou (192.168.0.0/16)
 Appel à la restitution de blocs d’adresses inutilisés à l’IANA (RFC 1917)

- bloc 36.0.0.0/8 (Université Stanford) en 2000
- bloc 45.0.0.0/8 (Interop) en 2010
 DHCP et ses différentes variantes
 IPsec (IP Security) (RFC 1825)
6
Problèmes persistants
 explosion des tables de routage (plus de 150 000 routes dans l’Internet IPv4)
 lourdeur dans la gestion des adresses : pas d’auto configuration, tenir à jour
une base d’adresses IP attribuées
 Gestion toujours inefficace et difficile de la mobilité IP
 Impossibilité de réutilisation du bloc réservé

240.0.0.0/4 (classe E)
 Derniers blocs distribués le 3 Février 2011 aux RIR
7
8
9
RIR Espace disponible Date d'épuisement

(/8) estimée
APNIC 0.46623 19-Avr-2011
RIPENCC 0.8545 14-Sept-2012
LACNIC 0.0557 10-Juin-2014
ARIN 24-Sept-2015
AFRINIC 1.5645 18-Juin-2018
10
Comment nous consommons le reste http://www.potaroo.net/tools/ipv4/index.html

11
Conséquences
la demande en adresse IPv4 peut faire augmenter son prix
Les adresses IPv4 deviennent plus chères
Un marché noir d’adresse IPv4 voit le jour
12
Ultime solution de l’IETF
IPv6
L'IETF a proposé cette nouvelle version du protocole IP en 1995 (RFC
1883) puis le standard IPv6 en 1998 (ou IPng - ng pour "Next Generation",
RFC 2460) en prenant en compte de nouveaux besoins tels que :
 la voiture, le frigo, la cafetière, etc.
 la sécurité,
 le multicast,
 les classes de service
13
Ultime solution de l’IETF

RFCs de 2014 (13 RFCs)
7225 7222 7217 7161 7157
RFCs de 2013 (24 RFCs)
7156 7148 7136 7123 7113
7083 7077 7066 7059 7050
7112 7109 7098
7045 7040 7028 7010 6992
6980 6964 6948 6946 6936
6935 6930 6911 6909 6883
RFCs de 2012 (32 RFCs) 6879 6874 6866 6829
6782 6775 6757 6751 6744
6743 6724 6705 6666 6654
6629 6620 6618 6612 6611
6610 6606 6602 6589 6586
6572 6568 6564 6554 6550
6543 6540 6516 6515 6475 RFCs de 2011 (37 RFCs)
6463 6459 6438 6437 6436 6434 6384
6342 6334 6324 6312 6296
RFCs de 2010 (24 RFCs) 6294 6282 6279 6275 6264
6058 6052 6036 6018 5969 6224 6219 6214 6204 6180
5963 5954 5952 5949 5942 6177 6164 6157 6156 6147
5902 5881 5871 5855 5847 6146 6144 6127 6119 6106
5846 5845 5844 5798 5779 6105 6104 6097 6092 6089
14
5778 5757
5739 5726 6085 6059 Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.2 Fonctionnalités d’IPv6
(1/3)
Principales modifications d’IP

 Espace d’adressage élargi
- on passe de 32 bits à 128 bits (32 chiffres hexadecimaux)
 beaucoup plus de nœuds adressables (plus de 3,4x1038 combinaisons possibles, soit 296
fois le total d’adresse IPv4)
- nouveau type d'adresse (cluster address)
 anycast (+ unicast + multicast)
- NAT plus nécessaire (retour du point-à-point)
 Infrastructure d'adressage et de routage efficace et hiérarchique

- adresses globales IPv6 utilisées sur la partie IPv6 d'Internet conçues pour créer une infrastructure
de routage efficace, hiérarchique et concise, basée sur l'occurrence commune de niveaux multiples
de fournisseurs de services Internet.
- Sur Internet IPv6, les routeurs de réseau principal possèdent des tables de routage beaucoup plus
petites correspondant à l'infrastructure de routage des assembleurs de niveau supérieur.
 Simplification de l'entête :
- transfert des champs non essentiels et facultatifs dans des en-têtes d'extension placés après l'en-
tête IPv6
 diminue le surcoût (“overhead”) : temps de traitement et quantité de données 15
(2/3)

 Configuration d'adresses avec et sans état
- Pour simplifier la configuration d'hôtes, IPv6 prend en charge la configuration d'adresses avec état,
telle que la configuration d'adresses en présence d'un serveur DHCP, et la configuration d'adresses
sans état (configuration d'adresses en l'absence d'un serveur DHCP).
- Avec la configuration d'adresses sans état, les hôtes sur une liaison se configurent automatiquement
avec des adresses IPv6 pour la liaison (adresses lien-local) et avec des adresses dérivées de préfixes
annoncés par des routeurs locaux.
 Meilleur support pour QoS

- Etiquetage des flots de données permettant aux routeurs d'identifier et de traiter spécifiquement les
paquets appartenant à un flux, série de paquets entre une source et une destination.
- Puisque le trafic est identifié dans l'en-tête IPv6, la prise en charge de QoS peut être assurée même
lorsque les données utiles du paquet sont cryptées au moyen d'IPSec.
16
(3/3)
 Sécurité intégrée : IPSec est une exigence

- Authentification + Confidentialité des données
 Nouveau protocole pour l'interaction de nœuds voisins

- protocole Neighbor Discovery de IPv6 pour la gestion de l'interaction entre nœuds voisins (nœuds
figurant sur la même liaison).
- remplace les messages ARP, ICMPv4 Router Discovery par des messages multicast et unicast
Neighbor Discovery.
 Gestion aisée et efficace de la mobilité IP

- extensions dédiées à la mobilité
 Capacités d’extension
17
Chapitre I. PROTOCOLES I.3 Paquets IPv6 sur support de
réseau local
 Fonctionne sur la même infrastructure physique
 Une trame de couche liaison contenant un paquet IPv6 présente :

-en-tête et fin de couche liaison : encapsulation placée sur le paquet IPv6 sur la
couche liaison.
- En-tête IPv6: nouvel en-tête IPv6.
- Données utiles: données utiles du paquet IPv6
18
réseau local
Encapsulation Ethernet II
- les paquets IPv6 sont indiqués en attribuant au champ EtherType de l'en-tête Ethernet II, la valeur
0x86DD (IPv4 est indiqué en attribuant au champ EtherType la valeur 0x800).
- les paquets IPv6 peuvent avoir une taille minimale de 46 octets et une taille maximale de 1 500
octets.
19
réseau local
I.4.2 Encapsulation IEEE 802.3, IEEE 802.5 et FDDI
- Sur les réseaux IEEE 802.3
(Ethernet), IEEE 802.5 (Token
Ring) et FDDI, l'en-tête SNAP
(Sub-Network Access
Protocol) est utilisé et le
champ EtherType prend la
valeur 0x86DD pour indiquer
IPv6.
- Pour l'encapsulation IEEE

802.3 utilisant l'en-tête SNAP,
les paquets IPv6 peuvent avoir
une taille minimale de 38
octets et une taille maximale
de 1 492 octets.
- Pour l'encapsulation FDDI
utilisant l'en-tête SNAP, les
paquets IPv6 peuvent avoir
une taille maximale de 4 352
octets.
20
réseau local
I.4.3 Encapsulation IEEE 802.11 utilisant SNAP
FC (Frame Control) : Version de protocole (2), Type
(2 ), Sous-type (4 ), To DS (1), From DS (1), More
Fragments (1), Retry (1), Power Management (1),
More Data (1), WEP (1), Order (1)
 Duration/ID indique la durée d'utilisation du canal

 Address 1 , Address 2 et Address 3 dependent des
valeurs de ToDS/ FromDS
21
Chapitre I. PROTOCOLES I.4 Etat de l’implémentation
I.5.1 Au niveau des applications et des systèmes d’exploitation

Constructeurs Systèmes d’exploitations
Free BSD 4.0 et supérieures
Open BSD 2.7 et supérieures
BSD
Net BSD 1.5 et supérieures
BSD/OS 4.2 et supérieures
HP-UX 11i et supérieures
HP Tru64 UNIX V5.1 et supérieures
Open VMS V5.1 et supérieures
AIX 4.3 et supérieures
IBM OS/390 V2R6 Encs et supérieures
z/OS Rel 1.4 et supérieures
Rel 6.2 et supérieures
Mandrake 8.0 et supérieures
LINUX
SuSE 7.1 et supérieures
22
www.kadjo-lambert.c4.fr Debian 2.2 et supérieures Dr Lambert KADJO ****** 2010-2011

Constructeurs Systèmes d’exploitations
Windows 8 (Pile unifiée, Activé par défaut+mode graphique)
Windows 7 (Pile unifiée, Activé par défaut+mode graphique)
Windows Server 2008 R2, (Pile unifiée, Activé par défaut+graphique)
Windows Vista (Pile unifiée, Activé par défaut+mode graphique)
Windows Server 2008 (double pile, non activé par défaut)
WINDOWS
Windows Server 2003 (double pile, non activé par défaut)
Windows XP (double pile, non activé par défaut)
Windows XP Embedded SP1 (double pile, non activé par défaut)
Windows CE .NET (double pile, non activé par défaut)
Windows 2000 (mettre à jour la pile)
Novell Netware 6.1 et supérieures
SUN Solaris 8 et supérieures
Symbian Symbian 7.0 et supérieures
23
 De nombreuses applications supportent IPv6:

- Apache, serveur Web,
- Wireshark,
-postfix
etc.
24
I.5.2 Au niveau des routeurs
 CISCO
 JUNIPER
 OmnisSwitch ALCATEL
25
Quelques stats
http://ipv6-test.com/stats/
26
Quelques stats
27
Quelques stats
28
Quelques stats
29
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Principales modifications au niveau de l’en-tête IP
30
IPv6
Principales modifications au niveau de l’en-tête IP
31
IPv6
Description des champs de l’en-tête IPv6
Le champ VERSION
- Représenté sur 4 bits

- Compatible avec IPv4 assure la transition :
 Les stations ou routeurs recevant un datagramme d'une version qu'ils ne décodent pas,
doivent l'écarter;
 Une même station ou routeur peut être capable de traiter plusieurs versions : (“dual
stack station”).
- Code:
 4 : “Internet Protocol” - IPv4 (rfc 781) : septembre 1981.
 5 : “Stream Protocol” ST-II, ST2+ (RFC 1190, RFC 1819)
 6 : “Internet Protocol new Generation”(RFC 1883) - IPv6 (RFC2460) : décembre 1995.
32
IPv6
Le champ TRAFFIC CLASS
Champ représenté sur 8 bits
 identifie les différents types de trafics.

 Les six bits de poids forts portent les valeurs dites DSCP (Differentiated Services Code Point). En
configurant des files d'attente et des valeurs DSCP, le trafic marqué DSCP peut présenter des niveaux de
service différenciés.
 On nomme Per Hop Behavior (PHB), le comportement d'un nœud relatif à un Code Point donné.
 Un « Domaine DS » est un ensemble de nœuds contigus ayant le même ensemble de PHB définis.
 Une « Région DS » est un ensemble de domaines DS contigus, chaque domaine établissant des
Spécifications de Niveau de Service avec ses voisins.
 Le champ Currently Unused (CU) devient ECN (Explicit Congestion Notification) dans le RFC 3168
 permet à un routeur de signaler explicitement un début de congestion avant de commencer à perdre
des paquets.
 négocié pour chaque connexion et utilisé que lorsque les deux hôtes échangeant des données
signalent leur intention de l'utiliser. 33
IPv6
– La valeur DSCP 0 est associée au PHB Best Effort (BE) ou Default. Le PHB BE correspond au
comportement par défaut réservé à la grande majorité des paquets. Il s'agit d'un acheminement sans
garantie en termes de variation de délai ou de pertes.
– Les Class Selector Code Point (CS) sont les valeurs numériques du champ DSCP ayant une représentation
binaire de la forme xxx000. Il y a donc 8 CS différents. La RFC 3662 [5] suggère que le Class Selector 1
(001000) soit utilisé pour marquer des paquets devant recevoir une priorité plus basse que la normale
(LE : Lower Effort). Le PHB associé à cette valeur DSCP est le suivant : un paquet LE ne devrait être
transmis sur un lien que s'il est inutilisé.
Niveau de Description Niveau de
priorité priorité
7 trafic de contrôle du réseau Internet 3 Class 3 ou CS3 (compatibilité
(par ex. protocoles de routage, SNMP) avec IPv4)
6 trafic interactif (par ex. Telnet, X) 2 Class 2 ou CS2 (compatibilité
avec IPv4)
5 Express Forwarding (EF): faible latence, 1 Class 1 ou CS1 (compatibilité
faible taux de pertes (pour trafics avec IPv4)
temps réel)
4 Class 4 ou CS4 (compatibilité avec IPv4) 0 Best effort
34
IPv6
– La RFC 2597 [7] standardise les PHB Assured Forwarding (AF). Ces PHB correspondent à la définition de 4
classes AFi où 1 ≤ i ≤ 4, classées par ordre de priorité croissante. Chaque classe dispose de 3 niveaux de
drop precedence ou probabilité de suppression. On note un PHB AF sous la forme AFij où 1 ≤ j ≤ 3. Pour
une classe i donnée, plus la valeur de j est grande, plus la probabilité que le paquet soit détruit, en cas
de congestion, est élevée. Les nœuds qui supportent les classes AF doivent limiter la congestion sur le
long terme en détruisant des paquets mais autorisent des congestions de courte durée provenant de
bursts en retardant des paquets.
– Le code DSCP EF (pour Expedited Forwarding), défini dans la RFC 3246 [8], correspond au PHB attendu
pour le traitement de paquets nécessitant un service de bout en bout avec peu de pertes, de latence et
de gigue. Un paquet marqué avec la valeur EF doit être expédié le plus rapidement possible. Il ne doit
être retardé que par l'acheminement d'autres paquets EF qui le précédent.
35
IPv6
-Les classes sont utilisées en premier pour déterminer la priorité
- Le RFC 2597 définie la valeur Assured forwarding (AF) et le mécanisme de gestion des classes
 les bits DS5, DS4 et DS3 définissent la Classe de trafic : les 3 bits codent le 1er chiffre du n° AF
 les bites DS2 et DS1 définissent la probabilité de suppression: les 2 bits codent le 2ème chiffre du n° AF
 le bit DS0 est mis à 0
Probabilité de Suppression Class 1 Class 2 Class 3 Class 4
Low 001 010 010 010 011 010 100 010
AF11 AF21 AF31 AF41
DSCP 10 DSCP 18 DSCP 26 DSCP 34
Medium 001 100 010 100 011 100 100 100
AF12 AF 22 AF32 AF42
High 001 110 010 110 011 110 100 110
AF13 AF23 AF33 AF43
Le RFC 2474 ne spécifie pas le message d’erreurs envoyé par les routeurs pour les trois derniers bits de
DSCP 36
IPv6
 iptables -t mangle -A FORWARD -p tcp --dport 80 -j DSCP --set-dscp 1
 iptables -t mangle -A FORWARD -p tcp --dport 80 -j DSCP --set-dscp-class EF
Classe de Service DSCP
RFC 4594 définit Network Control CS6
Telephony EF
Signaling CS5
Multimedia Conferencing AF41, AF42, AF43
Real-Time Interactive CS4
Multimedia Streaming AF31, AF32, AF33
Broadcast Video CS3
Low-Latency Data AF21, AF22, AF23
OAM (Operation Administration and Maintenance) CS2
High-Throughput Data AF11, AF12, AF13
Standard DF (CS0)
Low-Priority Data CS1 37
IPv6
Le champ FLOW LABEL
champ de 20 bits :
Un flot  l'ensemble des paquets équi-étiquetés en provenance d'un même nœud.
 L'utilisation du champ “Flow label” peut être d'utilisation plus souple que le
champ “Class of service”
Mais :
 Dépendant de l'implémentation dans les routeurs.
 Dépendant de l'utilisation de protocoles supplémentaires (RSVP) ou d'options
d‘IPv6 pour établir les flots.
 L'interprétation du champ Flow label est optionnelle.
 Flow label + @IP source + @IP Destination = 1 flot
38
IPv6
Le champ FLOW LABEL
- Tous les paquets d'un même flot doivent subir les mêmes traitements au sein des routeurs :
 les paramètres des paquets d'un même flot doivent être identiques (adresses, Class, options
de l'entête Hop-by-hop, champs de l'entête Routing)
- Ces traitements peuvent être optimisés en utilisant le Flow Label et l'adresse source comme une
clef d'accès à un descripteur :
 accès rapide, pré-traitement, etc.
- La nature du traitement spécifique doit être transmise aux routeurs à l'aide :

 d'un protocole spécifique de réservation de ressources (par ex. RSVP).
 des paquets eux-mêmes (par ex. à l'aide des options de l'entête Hop-by-hop)
- Un paquet ayant un champ Flow Label=0 n'est associé à aucun flot.

- L'optimisation des traitements donc l'utilisation du Flow Label est laissé libre (le paquet est alors
considéré comme n'appartenant à aucun flot).
- Pour maintenir un flot en vie, un paquet de ce flot doit être périodiquement envoyé (Toutes les 6
secondes au moins). 39
IPv6
Le champ PAYLOAD LENGTH
Sur 2 octets :
- longueur en octets de la charge utile du paquet (ce qui suit l'entête IPv6).
- 0 : indique que la longueur doit être trouvée dans l'option Jumbo Payload
de l'entête Hop-by-hop.
 similaire à l'option “Total length” d'IPv4.
Le champ HOP LIMIT

Le champ sur 1 octet :
- durée limite de vie du paquet :
 les paquets fantômes qui errent sans fin : erreur de routage
 limitation (grossière) du domaine atteignable par un paquet
- décrémenté à chaque routeur.
- si la valeur atteint 0, le paquet est détruit.
 similaire au champ “Time To Live” d'IPv4 (dont l'unité était la seconde). 40
IPv6
Le champ NEXT HEADER
Le champ sur 1 octet :
 Identifie le type de la prochaine entête.
 Chaînage des entêtes optionnelles.
 Le champ de données est considéré comme une entête optionnelle !
 Optimisation de la taille de l'entête et du temps de traitement :
 les options non utilisées ne sont pas présentes.
Valeurs Headers Valeurs Headers
0 Hop-by-Hop Options header 50 Encapsulting Security Payload
1 ICMPv4 51 Authentication Header
4 IPv4 58 ICMPv6
6 TCP 59 No Next Header
17 UDP 60 Destination Options Header
41 Encapsulated IPv6 Header 88 IGRP
43 Routing header 89 OSPF
44 Fragment Header 135 Mobilité 41

IPv6
Les champs ADDRESS
Les champs Source and Destination Address (16 octets)

-la longueur du champ d'adresse passe de 32 bits à 128
- Les 128 bits (32 chiffres hexadécimaux) de l'adresse sont divisés en 8 groupes de 16 bits (4
chiffres hexadécimaux ). Les groupes sont séparés par le caractère ":"
42
IPv6
Les champs ADDRESS
Exp :
0010 0000 0000 0001 0001 0000 1100 0011 1110 0011 1100 0011 1111 0001 1010 1010
2001:10c3:e3c3:f1aa:48e3:d923:d494:aaff
0100 1000 1110 0011 1101 1001 0010 0011 1101 0100 1001 0100 1010 1010 1111 1111
 Plusieurs façons de représenter les adresses IPv6

- forme préférée
- forme abrégée
- forme mixte
43
IPv6
Les champs ADDRESS
 Représentation des adresses IPv6 : forme préférée
- Cette forme exige les 32 chiffres hexadécimaux dans l’écriture de l’adresse
- Les lettres peuvent être écrites aussi bien en majuscules qu'en minuscules. Cependant
l’écriture en minuscule est conventionnellement utilisée.
Exemples:
a) 2001:4318:0002:0000:0000:0000:0ef0:bdd7
b) 3ffe:0104:0103:00a0:0a00:20ff:fe0a:3ff7
 Représentation des adresses IPv6 : forme abrégée

- les zéros de poids fort (zéros à gauche, juste après le caractère « : ») de chaque groupe peuvent
être omis,
- deux ou plusieurs groupes de zéros consécutifs sont substitués par "::". Cependant, ceci ne devrait
être fait qu’une seule fois dans l’écriture d’une adresse IPv6 pour éviter toute ambiguïté;
- Si plus d’une substitution est possible, faire celle qui remplace le plus de groupes
- Pour un cas de deux substitutions égales possibles, faire celle qui est le plus à gauche.
Exemple: L'adresse donnée en exemple-a) peut donc s'écrire :
44
2001:4318:2::ef0:bdd7
IPv6
Les champs ADDRESS
 Représentation des adresses IPv6 : forme mixte
- L'adresse IPv6 compatible IPv4

Elle est utilisée dans un contexte particulier : les tunnels 6to4 permettant de relier des réseaux IPv4 à
des réseaux IPv6. Soit une adresse IPv4 notée a.b.c.d , son équivalent IPv6 se notera :
0000:0000:0000:0000:0000:0000:a.b.c.d/96 ou ::a.b.c.d/96
Exemple : ::132.64.16.25/96
- L'adresse IPv4 mappée

Un hôte IPv6 étant capable de communiquer aussi bien avec un hôte IPv4 qu'avec un hôte IPv6, il
utilise des adresses IPv4 mappées pour communiquer avec les autres machines IPv4 et utilise des
adresses IPv6 normale pour communiquer avec les autres machines IPv6. Ces adresses sont de la forme
0000:0000:0000:0000:0000:ffff:a.b.c.d où a.b.c.d est une adresse IPv4
Exemple : :: ffff : 132.64.16.25
NB: Jamais utilisé comme adresse IPv6 de source ou de destination
45
IPv6
En-tête d’extension
Définition
 La partie fixe de l'en-tête peut être suivie par un nombre quelconque d'en-têtes
optionnels.
 Chaque en-tête (optionnel ou fixe) contient un champ “Next header”.
 Un chaînage entre les en-têtes est établi à travers le champ “Next header”.
 Le dernier en-tête décrit le type de protocole chargé du champ de données qui le
suit. Dans ce cas, le champ “Next Header” correspond exactement au champ
“Protocol Type” de IPv4.
46
IPv6
Définition
 L’en-tête d’extension de proche en proche (Hop-by-Hop)‫‏‬, code 0

 L’en-tête d’extension de routage par la source, code 43
 L’en-tête d’extension de fragmentation, code 44
 L’en-tête d’extension d’option de destination, code 60
 Les en-têtes d’extension de sécurité
 ESP: Encapsulation Security Payload, code 50
 AH: Authentication header, code 51
 L’en-tete d’extension No Next Header header, code 59
47
IPv6
Ordonnancement des en-tetes
 Les options peuvent être traitées :

- (a) soit par tous les nœuds intermédiaires et le(s) destinataire(s) final,
- (a') soit par tous les destinataires intermédiaires et le(s) destinataire(s) final,
- (b) soit uniquement par le(s) destinataire(s) final.
 L'exploitation d'un en-tête dépend du traitement de l'en-tête qui le précède :
- le résultats des traitements peuvent dépendre de leur ordre.
 Ordre :
. IPv6 header (a)
. Hop-by-hop options header (a)
. Destination options header (a')
. Routing header (a')
. Fragmentation header (b)
. Authentication header (b)
. Encapsulated security payload header (b)
. Destination options header (b)
. Upper layer header and data (b)
ou No next header (b)
48
IPv6
Ordonnancement des en-tetes
49
IPv6
Traitement des en-tetes
 La taille des en-têtes optionnels est exprimée en unités de 8 octets.

 parallélisation des accès aux données
 Lorsqu'un nœud doit traiter l'en-tête suivant et que la valeur de son Next Header est non
reconnue
 le nœud émet un paquet ICMP vers la source.
- ICMP code = 2 (“unrecognized Next header type encountered”)
- ICMP pointer = la valeur non-reconnue.
50
IPv6
Description des en-tetes d’extension
L'en-tête “Hop-by-hop options”
 Next Header = 0.
Informations examinées par chaque nœud situé sur le chemin du paquet.
 Next Header (1 octet) : identifie le prochain en-tête.

 Hdr Ext Len (1 octet) : longueur totale de l'en-tête optionnel Hop-by-hop (moins les 8 premiers
octets) en multiples de 8 octets.
 nécessite un bourrage (padding option)
 Options list (variable) : champ contenant une ou plusieurs options.
51
IPv6
Les options de l'en-tête “Hop-by-hop options”

 Chaque option est codée suivant le format TLV (type, longueur, valeur)
- Option Type (1 octet) : identifie le type de l'option

- Opt Data Len (1 octet) : longueur en octets du champ Option Data.
- Option Data (variable) : les informations spécifiques de l'option.
 Les options se succèdent toutes dans le champ Options de l'en-tête optionnel Hop-by-hop.
52
IPv6

 Le sous-champ “Option Type”
- Si l'option n'est pas reconnue (2 bits) :
. Option type == 00xxxxxx : passer à l'option suivante.
. Option type == 01xxxxxx : détruire le paquet.
. Option type == 10xxxxxx : détruire le paquet, envoyer un message ICMP type 4 code 2.
. Option type == 11xxxxxx : détruire le paquet, envoyer un message ICMP type 4 code 2.
si l'adresse de destination n'est pas une adresse multicast.
- Modification du champ Option Data au cours de la transmission du paquet :
. Option type == xx0xxxxx : pas de modification.
. Option type == xx1xxxxx : modification possible.
utilisé lorsque l'en-tête d’extension d'authentification est présent: les en-têtes
susceptibles d'être modifiés sont considérés comme ayant des octets nuls.
53
IPv6

 Les options d’alignements
- les options d'alignements : Pad1 et Padn.
- communes aux en-têtes ayant des options (en-tête Hop-by-hop, en-tête Destination)
 Pad1 : option type =0

- alignement d'1 octet.
- cas spécial sans champ de longueur ni de valeur. N-2 octets
 Padn : option type =1

- alignement de 2 octets ou plus .
- Opt Data Len (1 octet) :
. bourrage de N octets  Opt Data len = N-2
- Null Option Data (variable) : N-2 octets nuls. 54
IPv6

 L'option “Jumbo payload”
 Option type =194
- Pour des paquets de données dont la taille dépasse 65535 octets (et < 4 Go !).
- Requiert un alignement en frontière de 4n+2.
- Jumbo Payload Length = longueur du paquet en octets à l'exclusion de l'entête IPv6
mais en incluant les entêtes optionnelles y compris l'entête Hop-by-hop.
- Le champ Payload Length de l'entête IPv6 est mise à zéro.
- La présence de l'option Jumbo Payload de l'en-tête Hop-by-hop exclut celle d'un
en-tête Fragmentation.
 Option invalide (longueur) ou incompatible (en-tête Fragment) :
 message ICMP code 0 (Parameter problem) 55
IPv6
L'entête Routing
 Next header = 43.
 informations examinées par chaque destinataires intermédiaires.
. Next Header (1 octet) : identifie la prochaine entête.

. Hdr Ext Len (1 octet) : longueur totale de l'entête optionnelles Routing (moins les 8 premiers octets)
en multiples de 8 octets.
. Routing Type (1 octet) : identifie un format spécifique pour les données.
. Segment Left : nombre de destinataires intermédiaires restant à atteindre pour parvenir au
destinataire final.
. type-specific data (variable) : champ contenant la liste des destinataires intermédiaires, c-à-d la
route à suivre par le paquet. 56
IPv6
L'entête Routing
 L'entête Routing de type 0
. Le champ Routing Type = 0
. Similaire à l'option Source Routing de IPv4.
. Hdr Ext Len (1 octet) : 2 fois le nombre de champs Address ( 46)

. Segments left (1 octet) : nombre de noeuds intermédiaires restant à visiter (≤ 23 : ceci est
controversé).
. Strict/loose bit map (3 octets) :
- à chaque bit correspond l'adresse de même numéro.
- précise si l'adresse est celle d'une station qui doit être adjacente à la station précédente
(1 : strict routing) ou non (0 : loose routing). 57
IPv6
L'en-tête Routing

. Pas d'adresse multicast.
. Le bit de poids faible du champ Bit Map précise le routage vers le nœud correspondant au champ
Destination Address de l'entête IPv6.
. Plusieurs entêtes Routing peuvent se suivre :
 spécification de chemins aussi longs que voulu.
58
IPv6
L'en-tête Routing
Ex,
59
IPv6
L'en-tête Routing
L’option de routage de type 2 (Routing Header Type 2) de l’extension de routage permet de

spécifier l’adresse IPv6 du vrai destinataire du paquet IP. Le nœud ayant son adresse
spécifiée dans le champ destinataire de l’en-tête IPv6 initial devra remplacer son adresse
par l’adresse IPv6 contenue dans cet en-tête d’extension.
Par exemple, dans la mobilité IPv6, le nœud correspondant peut spécifier dans cet en-tête
d’extension, la HoA du nœud mobile et insérer dans le champ Destination Address de l’en-
tête IPv6, la CoA de ce même nœud mobile. A la réception, ce dernier substitue son
adresse CoA par sa HoA contenue dans l’extension. Cela permet d’éviter les conséquences
de l’encapsulation.
60
IPv6
L'entête Fragment
 Next header = 44.
 Transmettre des paquets plus grands que le MTU du chemin.
 La segmentation n'a lieu qu'à l’émetteur et le réassemblage n'a lieu qu'au récepteur.

. Reserved (1 octet) : initialisé à 0, ignoré au récepteur.
. Fragment Offset (13 bits) : le déplacement (en unités de 8 octets) des données suivant cette entête
relativement au début de la partie fragmentable du paquet initial.
. Res (2 bits) : 00.
. M (1 bit) :
- 0 = dernier fragment,
- 1 = il existe des fragments du même paquet qui suivent.
. Identification (4 octets) : identifie tous les fragments appartenant au même paquet initial. Similaire au
même champ (de 16 bits) d'IPv4. 61
IPv6
L'entête Fragment
 Constitution des fragments
 Au sein du paquet initial, on distingue 2 parties :
- celle non-fragmentable, contient tous les en-têtes précédant l'en-tête Routing (y compris ce
dernier, si il existe), à savoir les extensions Hop-By-Hop, de destination pour les nœuds
intermédiaires, de routage de type 0.
- celle fragmentable, le reste du
paquet initial (les autres en-têtes
et les données).
 Procédé assez proche d'IPv4. 62

IPv6
L'entête Fragment
 Constitution des fragments

- Tous les fragments d'un même paquet initial ont les mêmes entêtes issues de la partie non-
fragmentable de ce paquet,
- Sauf pour l'entête IPv6 :
. elle conserve tous ses champs,
. sauf le champ Payload length qui contient la longueur utile de son fragment.
- Un entête Fragment est ajoutée à tous les fragments :
. en assurant le chaînage des champs Next Header avec les entêtes précédentes et suivantes.
. en mettant à jour les champs Fragments Offset, M.
. leur champ Identification contiennent tous la même valeur.
. placé entre la partie non-fragmentable et la portion fragmentée.
63
IPv6
L'entête Fragment
 Réassemblage des fragments

 Le réassemblage n'a lieu qu'au destinataire final.
. Le premier fragment :
- contient un champ Fragment Offset =0.
- permet la restitution de la suite d'entêtes du paquet initial
. Le dernier fragment :
- contient un bit M = 0.
- permet de recalculer la taille utile du paquet initial.
. Calcul de la longueur utile du paquet initial.
. Calcul et vérification que tous les fragments sont présents.
. Reconstitution du paquet initial.
 la longueur utile du paquet initial < 65535 octets.
64
IPv6
L'entête Fragment
Taille des paquets

- Le MTU des liaisons IPv6 576 octets :
 la couche inférieure doit posséder une fonction de fragmentation /réassemblage
spécifique pour assurer ce service, si nécessaire.
- Si un nœud veut utiliser une longueur supérieure à 1500 octets, il doit auparavant
s'être assurer que le destinataire le tolère.
- Les nœuds IPv6 doivent utiliser la technique de recherche du MTU de chemin :

 rfc 1191 : technique par essai/erreur
 utilisée par IPv4.
 le Do Not Fragment bit est implicite dans IPv6.
 Pour IPv6 le message ICMP "Datagram too big" indique la valeur exacte du MTU.
65
IPv6
L'entête Fragment
 Exemple : Envoi de 3400 octets de données ICMPv6 + 8 octets d’en-tête ICMPv6 Echo
Request (soit 3408 octets après l’en-tête IPv6)
66
IPv6
L'entête Fragment
Exemple 1456 = 8 octets (en-tête de fragmentation + 1448 octets de fragment des 3408 octets)
1er fragment  offset = 0
Car ce n’est pas le dernier

fragment
67
IPv6
L'entête Fragment Description des en-tetes d’extension
Exemple 1456 = 8 octets (en-tête de fragmentation + 1448 octets de fragment des 3408 octets)
2ème fragment  offset = 181

181 = 1448/8
Car ce n’est pas le dernier

fragment
68
IPv6
L'entête Fragment
Exemple
3ème fragment  offset =

362 = 0 + 181 + 181
c’est le dernier fragment
520 = 3408 – 2 x 1448 +8 = 8 octets (en-tête de fragmentation + 512 octets de fragment restant 69
IPv6
L'entête Destination Options
 Next header = 60.

 contient les informations qui doivent être analysées par le (ou les) destinataires final(aux).
. l'inverse de l'entête Hop-by-hop Options, mais le format est similaire.
. Permet de minimiser le nombre d'en-têtes optionnels.

. Hdr Ext Len (1 octet) : longueur totale de l'entête optionnelles Routing (moins les 8 premiers
octets) en multiples de 8 octets.
. Options (variable) : contient une ou plusieurs options.
- les seules options actuellement normalisées sont Pad1 et Padn.
- celles qui sont utilisées par l'en-tête Hop-by-hop Options. 70
IPv6
L'entête Destination Options
L’option Home Address

Cette option permet de spécifier au destinataire d’un paquet IPv6, l’adresse du véritable
émetteur de ce paquet reçu.
Par exemple, dans la mobilité IPv6, cette option peut contenir la HoA du mobile lorsque le
mobile s’adresse directement à un correspondant. Ce dernier devra substituer la CoA
contenue dans le champ Source Address de l’en-tête du paquet IPv6 par l’adresse HoA du
mobile afin de maintenir les sessions précédentes.
Next Header Hdr Ext. Len Option Type Option Length

0x3C 0xC9 0x10
Home Address (HoA)
71
IPv6
 En-têtes de sécurité
IPv6 introduit deux services de sécurité :
- L'authentification (rfc 1826)
- La confidentialité (rfc 1827)
 L'authentification permet de certifier :

- l'émetteur du message, et autres infos générales,
- le contenu du message (son intégrité).
La confidentialité assure que les infos protégées ne seront pas lus par des tiers.
Ces deux services sont basés sur des techniques cryptographiques.

L'émetteur et le(s) récepteur(s) partagent une association de sécurité :
- contexte de sécurité (l'algorithme, les paramètres, la clef)
- un identificateur de ce contexte (Security Association identifier)
Ces services ne sont mis en œuvre que par les nœuds d'extrémité (surcoût).
72
IPv6
 L'en-tête Authentification
 Next Header = 61
 Principe :
- une signature est calculée à partir des infos
grâce à un procédé secret.
- l'émetteur place cette signature dans le
paquet avec les infos.
- le récepteur vérifie que la signature reçue
correspond à la signature re-calculée.
 Le mode de hachage est basé sur la
cryptographie à clé symétrique (la clé est
partagée aux deux interlocuteurs). Il permet de
rendre possible l'intégrité et l'authentification des datagrammes IPv6
 Attention aux champs qui sont modifiées par les routeurs.
 Next header (1 octet): le code du prochain header
(normalement TCP).
 Hdr length : la longueur du champ Authentification
data en mots de 32 bits. L'entête s'adapte à toutes
les longueurs de signature.
 Security parameters index : identifie le contexte.
 Authentification data : la signature (clef d'authentification). 73
IPv6
 L'en-tête Authentification
L’utilisation de l’en-tête d’extension de sécurité AH se fait selon deux modes :
le mode Transport
le mode tunnel
AH en mode Transport
AH en mode Tunnel
NB: L’ancien et le nouvel en-tête peuvent contenir des en-têtes d’extension

74
IPv6
L’en-tête de chiffrement ESP
ESP (ou Encapsulating Security Payload) pour IPv6 permet d'apporter l'intégrité, l'authentification et la
confidentialité dans les datagrammes IPv6. Les données sont chiffrées et le chiffrement est basé sur la
cryptographie à clé symétrique .
Next Header = 62
 Le procédé d'encodage peut être :

- un procédé de chiffrement (RC2, MD5, PGP, DES, RSA, ITU X.509, etc.),
- une compression (LZ77, LZS, etc.).
 Security Association Identifier : identifie le contexte de sécurité (idem SPI)

 Opaque transform data : ce sont les données encodées. Le format dépend de l'encodeur choisi.
75
IPv6
Exemple l’entête ESP et le chiffrement DES
Exemple : DES-CBC (Data Encryption Standard) par défaut.
. Synchronization data :
- données initiales pour le procédé de calcul
- par un générateur aléatoire
- rendre + difficile le décodage
. Payload data : les données chiffrées
. Padding : le bourrage
. Payload type : précise le type des données (par ex. TCP)
76
IPv6
L’en-tête de chiffrement ESP
ESP en mode transport
ESP en mode tunnel
77
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
ICMPv6
• Couvertures de dispositifs ICMP (v4):
Contrôle d’erreurs, Administration, …
• messages de transports ND:

NS, NA, RS, RA Nouvelles
• messages de transports MLD:
caractéristiques
Requêtes, Rapports, …
Deux classes de messages (suivant le champs « type »):

• de 0 à 127 Messages d'erreur
• de 128 à 255 Messages d'information
Messages d'erreur les plus courants:
• Destination inaccessible (1)
• Paquet trop grand (2)
• Temps dépassé (3)
• Paramètre non reconnu (4)
78
ICMPv6, NDP, MLD
ICMPv6
- Message type : type de message code sur 8 bits

- Code : code pour les messages d'erreur
- Donnees ICMP : Selon le type de message
79
ICMPv6, NDP, MLD
ICMPv6
80
ICMPv6, NDP, MLD
ICMPv6
81
ICMPv6, NDP, MLD
ICMPv6
Exemple d’utilisation ICMP : Problèmes avec le MTU
• Le MTU de lien minimum pour IPv6 est de 1280 octets

(contre 68 octets pour IPv4)‫‏‬
 Sur les liens de MTU < 1280, la fragmentation sur ces liens spécifiques doit être
effectuée
• On s’attend à effectuer la découverte du MTU de chemin (pMTU) pour envoyer des paquets de
taille supérieure à 1280
• L’exécution minimale peut omettre la découverte de pMTU tant que tous les paquets ont
gardés une taille ≤ 1280 octets
82
ICMPv6
Avec IPv6 les routeurs ne doivent plus fragmenter les
Découverte du Path MTU paquets qui sont transmis. Le MTU minimum doit être
de 1280 pour un lien souhaitant supporter IPv6
La nécessité d’adapter la taille des paquets à transmettre pour un flot important de
données existe quand même. Si elle n’est pas réalisée par les routeurs, la fragmentation
doit donc se faire à la source.
Un algorithme de découverte permet de connaître la taille optimale des paquets à
transmettre est appelé Path MTU Discovery et est décrit dans le [RFC1981]:
1. Le nœud source considère que le MTU du chemin considéré est égal au MTU du
premier saut de ce chemin.
2. Envoi d’un paquet à la destination.
3. Si réception d’un message ICMPv6 de type Packet To Big, la source réduit le MTU
courant. Retour à l’étape 2.
4. Si pas de réponse de la destination, retourne à l’étape 2.
5. Si réponse de la destination, le MTU du chemin est le MTU courant.
Sur certains liens, le MTU peut varier au cours de la communication. S’il diminue, la
détection de la variation sera détectée par la réception d’un message ICMPv6 de type
Packet To Big. Afin de tirer partie d’une augmentation de MTU, la source réeffectuera
l’algorithme à intervalles réguliers. 83

ICMPv6, NDP, MLD
ICMPv6
Découverte du Path MTU
D:\>ping -l 1500 pc-ipv6
Pinging pc-ipv6 [3ffe:c15:c003:1114:210:a4ff:fec7:5fcf] 1

Request timed out. 2
Reply from 3ffe:c15:c003:1114:210:a4ff:fec7:5fcf : time=3ms
Reply from 3ffe:c15:c003:1114:210:a4ff:fec7:5fcf : time=3ms 3
Reply from 3ffe:c15:c003:1114:210:a4ff:fec7:5fcf : time=3ms
Too 2 1500
netsh interface ipv6>show destinationcache
Interface 6: LAN Big 3
PMTU Destination Address Next Hop Address 1480 1 1480
---- --------------------------------------------- --------------------------
1480 3ffe:c15:c003:1112::1 3ffe:c15:c003:1112::1
84

ICMPv6, NDP, MLD
Neighbor Discovery (RFC 4861)
• Remplace ARP IPv4
• Ajoute en plus une fonctionnalité (ex. recherche de routeur, adressage Stateless,
etc.)‫‏‬
• Nœud IPv6 qui partage le même médium physique(lien) utilisant la recherche du
voisin (ND) pour:
- découvrir leur présence mutuelle
- déterminer les adresses de la couche liaison de leur voisin
- rechercher des routeurs
-Maintenir la portabilité de l’information des voisins (NUD)‫‏‬
• => pas applicable aux réseaux NBMA (ATM, Frame Relay, ..) car ND utilise le
multicast
85
ICMPv6, NDP, MLD
ND définit 5 types de paquets ICMP:
● Router Advertisement (RA): annonce périodique qui contient:
- Liste des préfixes utilisés sur le lien
- Valeur possible du « nombre de sauts »
- Valeur du MTU
● Router Solicitation (RS)
- l'hôte veut un RA immédiatement
● Neighbor Solicitation (NS)

- pour déterminer l'adresse MAC d’un voisin ou vérifier sa présence
- utiliser pour tester duplication d'adresse (DAD)
● Neighbor Advertisement (NA)
- réponse à un paquet NS
- avertir le changement d'une adresse MAC
● Redirect: utilisé par un routeur
- pour informer un hôte d'une meilleure route
- équivalent de l’ICMP redirect
86
Router Solicitation (RS)‫‏‬
Type=133 Code=0 Checksum

Réservé ou
Option
(Adresse physique de la source)
• Au moment du démarrage, les nœuds envoient des sollicitations de routeur pour recevoir
promptement des annonces de routeur
RS
1
87
ICMPv6, NDP, MLD
• Les routeurs envoient périodiquement des RA à l'addresse
Router Advertisement (RA)‫‏‬ multicast ''tous les noeuds‘’
RA
RS
1 2

Saut max. MOH ----- Durée de vie du routeur
- Src = Link-local du routeur
Durée d’accessibilité
- Dst = Multicast: “tous les nœuds”
Temporisation de retransmission
ou Adresse IPv6 unicast de l’émetteur du RS
Option
(Adresse physique de la source, Information
-champ saut max. non nul
sur le préfixe (un ou plusieurs), MTU) - M indique qu'une adresse de l'équipement doit être obtenue
avec un protocole de configuration
- O indique aussi la présence d'un service de configuration mais
pour la récupération d'informations autres que l'adresse.
- H indique que le routeur peut être utilisé comme «agent mère»
pour un nœud mobile
88
Router Advertisement (RA)‫‏‬

Saut max. MOH ----- Durée de vie du routeur
Durée d’accessibilité
Temporisation de retransmission
Option
(Adresse physique de la source, Information
sur le préfixe (un ou plusieurs), MTU)
89
ICMPv6, NDP, MLD
Neighbor Solicitation (NS)‫‏‬
 Repose sur un cache associant une adresse IPv6 et une adresse MAC
- rafraichissement automatique des informations en sollicitant les voisins
(s'il y a des données a envoyer)
- type : routeur ou machine
- temps écoulé depuis le dernier NA ou RA
- état : incomplète (pas de réponse), reachable (joignable), stale (perime), probe (sonde),...
Comment solliciter un voisin ?

 Objectif : joindre un nœud dont on connait l'adresse IPv6 mais pas l'adresse MAC
 Groupe multicast sollicite (node solicited multicast)
 Portée : locale
 Intérêt : évite l'envoi de « broadcast »
 Construction :
- Préfixe FF02::
- Séquence ::1:FF
- les 24 derniers bits de l'adresse IPv6
90
Neighbor Solicitation (NS)‫‏‬
Exemple: A veut envoyer un

paquet IPv6 à B

Réservé
Adresse IPv6 de la cible
Option
- L'adresse MAC de B est absente A B

de son cache
- A envoie un NS en multicast
@IPv6 = FE80::E860:6E48:DCBB:5218 @IPv6 = FE80::C800:8FF:FEEC:0
@MAC = 00:1F:E1:D8:05:1A @MAC = CA:00:08:EC:00:00

Neighbor Advertisement (NA)‫‏‬
Exemple: B répond au NS envoyé par A

RSO Réservé
Option
A B
- B reçoit la sollicitation
- B envoie un Neighbor Advertisement
en unicast
@IPv6 = FE80::E860:6E48:DCBB:5218 @IPv6 = FE80::C800:8FF:FEEC:0
- A met à jour son cache
@MAC = 00:1F:E1:D8:05:1A @MAC = CA:00:08:EC:00:00
C
92
ICMPv6, NDP, MLD
Redirection A B
• La Redirection est utilisée par un R2 2001:4318:2:1::1

routeur pour signaler le
2001:4318:2:1::/64
reroutage d’un paquet à un R1
meilleur routeur
Src. Ether= 08:00:20:0a:aa:6d (@MAC de A)
Dst Ether = @MAC de R2 (routeur par défaut) 2001:4318:2:2::/64
Code=0
Src. IP = 2001:4318:2:1::1
Type=137 Checksum
Dest. IP = 2001:4318:2:2::1 C
Réservé
2001:4318:2:2::1
Redirect:
Src = @LL de R2
Dst = @A
Data = meilleur routeur = @R1
Adresse IPv6 de destination Destination IP: 2001:4318:2:2::1 (pc-C)
Option (Type 2): Cible =@MAC de R1
Option
(Adresse physique de la cible, En-tête rédirigé)
93
ICMPv6, NDP, MLD
MLD
 Protocole d’interaction entre le(s) routeur(s)
multicast du LAN et les hôtes multicast du
LAN
 Equivalent à IGMPv2 …. APPLICATION ..….
Permet à un hôte de s'abonner (désabonner)

TCP UDP
à un groupe et dire au routeur:
«Je veux m’abonner au groupe multicast ….. TRANSPORT ……
d’adresse ff0e::xxxx et recevoir les flux

correspondants» IGMP ICMP ICMPv6
• Deux versions : MLDv1 et MLDv2 ND MLD
• Sous-ensemble de ICMPv6 IPv4 ……. RESEAU ……….

IPv6
• MLDv2
- recensement des récepteurs multicast (130) ARP
- rapport d’abonnement multicast (143)

Ethernet ….. LIAISON DE ……
Ethernet
• autorise l’écoute d’un ensemble défini de DONNEES
participants au groupe multicast (sélection de la

source) Pile IPv4 Pile IPv6
94
Exemple: Message MLDv2
TCP UDP
95
AVANCEES: IPv6
CONTROLE
MIGRATION
96
Chapitre II. PLAN D’ADRESSAGE II.1 Adressage IPv6
IPv6
Représentation des masques de réseau
Leur notation classique comme en IPv4 est impossible avec 128 bits, c'est donc la notation CIDR
(Classless Inter-Domain Routing), plus simplement appelée notation "slash" qui est utilisée.
Le préfixe d’une adresse IPv6 est donc représenté par la notation suivante :
adresse-ipv6/longueur-de-préfixe.
Exemple : l'adresse fe80::20d:61ff:fe22:3476/64 a un masque de 64 bits , masque par défaut pour une
adresse de type lien-local.
97
Chapitre II. PLAN D’ADRESSAGE IPv6 II.2 Différents types d’Adresse
IPv6
Généralités
Il existe 3 types d’adresses IPv6: adresses unicast, adresses anycast et adresses multicast
 Adresses unicast
 Identifie une et une seule interface d’un nœud IPv6
 Peut être utilisé comme source et destination d'un paquet
 Une interface peut avoir plusieurs adresses IPv6 valides
-Les types d'adresses IPv6 unicast (RFC 4291) :
 Adresses unicast globales agrégées

 Adresses lien-local
 Adresses site-local
 Adresses spéciales
98
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
 Adresses unicast globales agrégées
Les adresses unicast globales agrégées équivalent à des adresses IPv4 publiques. Elles sont
globalement routables et accessibles sur la partie IPv6 d'Internet.
 Le préfixe de routage global est une valeur assignée à un site (cluster de sous-réseaux et de liens)
 L'adressage IPv6 est structurée en plusieurs niveaux selon un modèle hiérarchique dit « agrégé ».
 permet une meilleure agrégation des routes et une diminution de la taille des tables de
routage.
 Le plan d'adressage hiérarchisé en trois niveaux a été défini pour les adresses IPv6:
99
IPv6 IPv6
Adresses Unicast
 Adresses unicast globales agrégées
 Le niveau "public" (Global Routing prefix) utilise 48 bits. Cette topologie publique est regroupe
l’IANA, le RIR, le LIR, l’ISP.
 Le niveau "site" (Subnet ID) utilise les 16 bits suivants.

- cette topologie de site est la collection des sous-réseaux dans le site d'une entreprise.
- elle permet de créer des sous-réseaux (donc 65536 sous-réseaux possibles par site).
 Le niveau "interface" (Interface ID) utilise 64 bits (toutes les adresses unicast global sauf celles
commençant par la valeur binaire 000 )
- c’est l'identifiant unique de l'interface sur le réseau.
- sur les réseaux Ethernet, il est généralement fabriqué à partir de l´adresse MAC, mais il peut
également être généré aléatoirement pour des raisons de confidentialité 100
IPv6 IPv6
Adresses Unicast
 Adresses unicast globales agrégées: allocation
101
IPv6 IPv6
Adresses Unicast
 Adresses unicast globales agrégées: allocation
Voir également pour les statistiques

http://www.sixxs.net/tools/grh/dfp/
http://www.ripe.net/rs/ipv6/stats/
102
IPv6 IPv6
Adresses Unicast
 Adresses unicast globales agrégées: modèle d’allocation d’adresse pour agrégation
Allocation
Global RIR Range ISP Range Enterprise Single Single
Addresses Range LAN Range IPv6 Address
/48
/3 /12 /32 /56 /64 128
2000::/3
/48
/20 /32 /64 128
/56
/48
/23 /32 /56 /64 128
/48
/12 /32 /56 /64 128
Reference: 103
RFC3177 (IAB/IESG Recommendations on IPv6 Address Allocations to Sites)‫‏‬
**http://aso.icann.org/docs/aso-global-ipv6.pdf
IPv6 IPv6
Adresses Unicast
Adresses Site local
- Les RFC successifs sur l'adressage IPv6 prévoyaient des identificateurs « site-local », spécifiques à un
site, dans le préfixe FEC0::/10 (RFC 3513, section 2.5.6, ce RFC a été remplacé par le RFC 4291). Toute
organisation pouvait piocher librement dans ces adresses, tout en faisant attention à ne pas les laisser
sortir de son site. Cela a permis à beaucoup d'organisations de commencer à expérimenter IPv6.
-Mais ces identificateurs posaient des problèmes, en général, communs avec tous les problèmes des
identificateurs locaux :
 Si des applications se passent des adresses IP, comme le font FTP ou SIP, elles
doivent connaitre les frontières de site pour savoir si elles peuvent passer des adresses privées.
 Comme les domaines privées, les adresses IP privées tendent à « fuir », à être transmises en dehors du site (par
exemple dans les en-têtes Received: du courrier électronique ou via des requêtes DNS). Comme elles perdent
toute signification en dehors du site d'origine, cela sème la confusion.
 Elles nécessitent un traitement spécial par les routeurs.
 Selon le RFC 3879, le concept de « site » lui-même n'est pas clairement défini. Est-ce une entité administrative
unique ? Un bâtiment? Un campus? une entreprise qui peut être géographiquement dispersée? Un AS ?
104
IPv6 IPv6
Adresses Unicast
Adresses Site local
 Désormais connu sous le nom “adresse local unique» ULA (RFC 4193)
- Format d’adresse IPv6 unicast globalement unique destiné à des communications locales
et entre un nombre limité de sites. L’on peut utiliser sans passer par un ISP ou un RIR
- Préfixe : fc00::/7
 Il est au format ci-dessous
 L=0, nous avons fc00::/8 pour ULAs réservées

 L=1, nous avons fd00::/8 pour ULAs que n'importe qui peut affecter.
 Global ID: 40 bits d’un identifiant global utilisé pour créer un préfixe globalement
unique, pseudo-aléatoire.
 Subnet ID: 16 bits identifiant d’un sous-réseau au niveau d’un site
 Interface ID: 64 bits identifiant l’interface
105
IPv6 IPv6
Adresses Unicast
Adresses Site local
- Limitation des conflits ou des opérations de réadressage lors de la fusion de sites où

l'interconnexion privée de sites,
- indépendance des préfixes vis à vis des fournisseurs d'accès ou des opérateurs,
- indépendance vis à vis des applications, elles s'utilisent de la même manière que les
adresses unicast globales,
- en cas de débordement géographique accidentel (mauvaise configuration de l'annonces

des routeurs ou des filtres, affichage accidentel dans un DNS public) l'unicité garantit
l'absence de conflit avec d'autres adresses.
- Ne doit pas être agrégé
106
IPv6 IPv6
Adresses Unicast
Adresses Site local
Algorithme de création du ULA

1. Prendre l'heure courante dans le format 64 bits du protocole NTP,
2. Prendre un identifiant EUI-64, au besoin dérivé de l'adresse MAC de l'une des interfaces de l'équipement
générant le préfixe ou tout autre identifiant unique sur 64 bits
3. Concaténer l'heure et l'identifiant d'interface pour créer une clé
4. calculer l'empreinte SHA-1 (digest) de 160 bits de cette clé,
5. prendre les 40 bits de poids faible de l'empreinte comme identifiant global de 40 bits,
6. préfixé l'identifiant global avec le préfixe FD00::/ (le bit L (8ème bit de poids fort) à 1).
NB: Par défaut, l'étendue de ces adresses est globale. Ce qui signifie qu'elles ne souffrent pas de l'ambiguïté
levée par l'adresse site-local. La limite de « routabilité » est fixée au site et à toutes les routes
explicitement définies avec d'autres sites privés (soit dans la même aire d'IGP, soit au travers de tunnels).
Pour les protocoles de routage extérieur (EGP: Exterior Gateway Protocol, tel BGP) mis en œuvre par les
fournisseurs d'accès, la consigne est d'ignorer la réception et l'annonce de préfixes FC00::/7.
 Liens aidant à la génération de ULA: http://www.kame.net/~suz/gen-ula.html

http://www.sixxs.net/tools/grh/ula/
http://www.kame.net/~suz/gen-ula.html Generated ULA= fdc3:1c03:4af0::/48
MAC address=00:1B:38:CD:77:54 (COMPAL INFORMATION (KUNSHAN) CO., LTD.)

EUI64 address=021B38fffeCD7754
NTP date=cf27e1cc3abfac68
107
IPv6 IPv6
Adresses Unicast
Adresses lien local
 Les adresses lien-local équivalent à des adresses IPv4 configurées automatiquement
sur des systèmes Microsoft Windows à l'aide du préfixe 169.254.0.0/16
 Les routeurs ne doivent pas transférer des paquets avec adresses source ou destination
lien-local vers d’autres liens.
 Les adresses lien-local sont utilisées pour un lien unique avec le format ci-dessous
 Elles sont donc issues du préfixe FE80::/10
 Les adresses lien-local sont utilisées pour l’adressage sur un lien unique pour:
- les besoins de configuration d’adresse automatique,
- la découverte des voisins
- quand aucun routeur, ni dispositif d’attribution d’adresses n’est présent. 108
IPv6 IPv6
Adresses Unicast
Adresses spéciales
Adresse indéterminée
- L'adresse indéterminée (0:0:0:0:0:0:0:0 ou ::) est uniquement employée pour indiquer l'absence
d'adresse (équivaut à l'adresse indéterminée IPv4 0.0.0.0)
- L'adresse indéterminée est généralement employée comme adresse source pour les paquets
tentant de vérifier l'unicité d'une adresse tentative.
- L'adresse indéterminée n'est jamais affectée à une interface ou employée comme une adresse de
destination.
Adresse de boucle
- L'adresse de boucle (0:0:0:0:0:0:0:1 ou ::1) est employée pour identifier une interface de boucle,
permettant au nœud de s'envoyer des paquets à lui-même (équivaut à l'adresse de boucle IPv4
127.0.0.1).
- Les paquets adressés à l'adresse de boucle ne sont jamais envoyés sur une liaison ou transférés par
un routeur IPv6.
109
IPv6 IPv6
Adresses Unicast
Adresses spéciales
Adresses de Transition 6to4
- Les adresses IPv4 dérivées utilisées dans le mécanisme de transition 6to4
 WWXX:YYZZ est la forme hexadécimale d’une adresse public v4

 Chaque adresse public IPv4 permet la création d’un préfixe entier IPv6 /48
110
IPv6 IPv6
Adresses unicast
Adresses spéciales
Blocs d’adresses Nom RFC Date d’allocation Date de fin
::1/128 Loopback Address [RFC4291] 2006-02 N/A
::/128 Unspecified Address [RFC4291] 2006-02 N/A
::ffff:0:0/96 IPv4-mapped Address [RFC4291] 2006-02 N/A
64:ff9b::/96 IPv4-IPv6 Translat. [RFC6052] 2010-10 N/A
100::/64 Discard-Only Address Block [RFC6666] 2012-06 N/A
2001::/23 IETF Protocol Assignments [RFC2928] 2000-09 N/A
2001::/32 TEREDO [RFC4380] 2006-01 N/A
2001:2::/48 Benchmarking [RFC5180] 2008-04 N/A
2001:3::/32 AMT [RFC7450] 2014-12 N/A
2001:4:112::/48 AS112-v6 [RFC7535] 2014-12 N/A
2001:db8::/32 Documentation [RFC3849] 2004-07 N/A
2001:10::/28 Deprecated (previously ORCHID) [RFC4843] 2007-03 2014-03
2001:20::/28 ORCHIDv2 [RFC7343] 2014-07 N/A
2002::/16[2] 6to4 [RFC3056] 2001-02 N/A
2620:4f:8000::/48 Direct Delegation AS112 Service [RFC7534] 2011-05 N/A
fc00::/7 Unique-Local [RFC4193] 2005-10 N/A
fe80::/10 Linked-Scoped Unicast [RFC4291] 2006-02 N/A 111
IPv6 IPv6
Adresses Unicast
Génération de l’InterfaceID (ID de l’interface) (les derniers 64 bits)
Manuellement saisi par un administrateur sur une interface

 Automatique
 en utilisant l’algorithme EUI-64.
 en utilisant un nombre pseudo-aléatoire.
 en générant une clé publique (c.à.d. CGAs rfc3972)
 certains InterfaceIDs sont réservés (RFC 5433)

 0000:0000:0000:0000 pour les routeur de sous-réseau anycast:
 fdff:ffff:ffff:ff80 – ff représentant des sous-réseau anycast réservés
112
Adresses Unicast
Conception de l’identifiant EUI-64 (64 bits Extended Unique Identifier)
- 64 bits doivent être compatible avec l’IEEE 1394 (FireWire)
- IEEE définit les mécanismes pour la création d’un EUI-64 à partir de l’adresse MAC IEEE 802 (Ethernet,
FDDI)
1. Scinder l’adresse MAC en deux

2. Insérer « FFFE » entre les deux
segments précédents
3. Change le bit 7 de poids fort à 1
EUI-64 modifié et converti en

hexadécimal
Identifiant de l’interface de
l’adresse IPv6 auto-configurée
113
IPv6 IPv6
Adresses Anycast
Adresses Anycast (RFC 4786)
 Les adresses anycast sont syntaxiquement des adresses unicast :
- parmi l'espace d'adressage unicast.
- l'étendue d'une adresse anycast correspond à celle du type d'adresse unicast à partir de laquelle
l'adresse anycast est affectée.
 Une adresse anycast est affectée à plusieurs interfaces. Un paquet ayant une adresse anycast est
routé par l'infrastructure de routage vers l'interface la plus proche ayant cette adresse.
 Pour simplifier la livraison, l'infrastructure de routage doit connaître les adresses anycast
affectées par des interfaces et leur « distance » en terme de métrique de routage.
 Actuellement, les adresses anycast sont uniquement employées comme adresses de destination
et sont uniquement affectées à des routeurs (ne doivent pas être utilisées comme des adresses de
stations.);
 Le préfixe commun à un ensemble d'adresses unicast d’interfaces appartenant à la même adresse
anycast définit topologiquement une région:
- cela permet de faciliter la gestion de routage (par région).
- si le préfixe est nul, la région n'existe pas, l'optimisation n'est pas possible.
114
IPv6 IPv6
Adresses Anycast
 L'adresse anycast Sous-réseau-routeur est prédéfinie et obligatoire. Elle est créée à partir du
préfixe de sous-réseau pour une interface donnée. Pour construire l'adresse anycast Sous-réseau-
routeur, les bits du préfixe du sous-réseau sont fixés à leurs valeurs appropriées et les autres bits
prennent la valeur 0.
 Toutes les interfaces de routeur vers un sous-réseau reçoivent l'adresse anycast Sous-réseau-
routeur pour ce sous-réseau. L'adresse anycast Sous-réseau-routeur est utilisée pour la
communication avec l'un des routeurs multiples raccordés à un sous-réseau distant.
Identification de services
- pour atteindre un fournisseur (de services) spécifique,
- pour atteindre le routeur du sous-réseau local
- un service (serveur DNS, Home agent pour la mobilité, serveur web miroir, etc.)
- implémenté en utilisant BGP qui annonce simultanément la même tranche d’adresses IP depuis plusieurs
endroits du réseau. Ainsi, les paquets sont routés vers le point le "plus proche" du réseau annonçant la route
de destination.
- pour fournir de la haute disponibilité et de la répartition de charge pour des services en mode non connecté.
115
IPv6 IPv6
Adresses Anycast
Adresses Anycast :
Exemple
Un simple exemple d'une adresse anycast est celle d'un routeur de sous-réseau. Soit un noeud avec
l'adresse IPv6 suivante assignée:
3ffe:ffff:100:f101:210:a4ff:fee3:9566/64 <- L'adresse du nœud
L'adresse anycast de routeur de sous-réseau sera créée en laissant totalement blanc le suffixe (les 64
bits inférieurs):
3ffe:ffff:100:f101::/64 <- l'adresse anycast de routeur de sous-réseau
116
IPv6 IPv6
Adresses Multicast
 Flags (4 bits) : 0RPT
- T (Trensient)=0 : attribution permanente de l'adresse multicast
-P (Prefix-based)=1 : Dérive d’un préfixe Unicast (RFC3306)
- R (Embedded RP)=1 : embarque l’adresse du RP (Point de Rendezvous) (RFC 3956)
Adresse Multicast Temporaire Générale:
aucune recommandation pour leur utilisation 11111111 0001 Scope Group ID
(visioconférences ponctuelles , sessions pour
8 bits 4bits 4 bits 112 bits
des tests à travers l’Internet.
Adresse Multicast basée sur un préfixe unicast

11111111 0011 Scope 00000000 PLen Prefix Group ID
IPv6
8 bits 4bits 4 bits 8 bits 8 bits 64 bits 32 bits
Adresse SSM : format des adresses dérivées

11111111 0011 Scope Zero Group ID
d’adresse unicast IPv6 mais avec pour préfixe
FF3X ::/96. 8 bits 4bits 4 bits 80 bits 32 bits
Adresse Multicast embarquant l’adresse du RP : 11111111 0111 Scope 0000 RPad PLen Prefix Group ID
Ces adresses permettent ainsi aux routeurs
d’identifier le Point de Rendez-vous 8 bits 4bits 4 bits 4bits 4bits 8 bits 64 bits 32 bits
117
IPv6 IPv6
Adresses Multicast
 Scope (4 bits) : limite la diffusion

- 0, F : réservé
- 3, 4, 6, 7, 9, A, B, C, D: non utilisé
- 1 : étendue restreinte au nœud
- 2 : étendue restreinte à la liaison
- 5 : étendue restreinte au site
- 8 : étendue restreinte à l'organisme
- E : étendue mondiale
le champ TTL était utilisé à cette fin par IPv4.
 Pour la gestion des groupe sur le lien, l’adresse MAC utilisée aura:
- ses 2 premiers octets positionnés à la valeur 33-33,
- et les 32 bits de poids faible seront ceux de l'adresse IPv6 multicast.
 Comme en IPv4, les hôtes dont les derniers 4 octets correspondent, prendront en compte la
trame, et un filtrage plus fin au niveau IP complètera si nécessaire.
118
IPv6 IPv6
Adresses Multicast
Adresses multicast prédéfinies
 Adresses multicast identifiant le groupe de toutes les interfaces du noeuds IPv6 avec scope
1 (interface-local) ou 2 (link-local)‫‏‬
 FF01::1
 FF02::1
 FF02::1:2
 Adresses multicast identifiant le groupe de tous les routeurs IPv6 avec scope 1(interface-
local), 2 (link-local), 5 (site-local).
 FF01::2
 FF02::2
 FF05::2
 Adresse multicast solicitation de nœud (Solicited Node multicast addre ss)
 FF02::1:FFXX:XXXX, xxxxxx represente les 24 derniers bits de l’adresse unicast ou
anycast
119
IPv6 IPv6
Adresses Multicast
Utilisations
- Permet une utilisation efficace du réseau

- traffic de groupe (visio-conférence, IPTV, Jeux interactif sur Internet)
120
AVANCEES: IPv6
CONTROLE
MIGRATION
121
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Configuration des adresses unicast IPv6

• Le champ 64-bit de bas niveau des adresses unicast peuvent être assigné de différentes façons
Configuré manuellement Assigné via DHCP

IPv4 & IPv6
3 DHCPv6 Request
4 DHCPv6 Reply
1 RS
2 RA
configuration Stateless Auto-génération d’un nombre pseudo

aléatoire (rfc4941)
Seul IPv6
Router
1 Solicitation
Router
1 Solicitation
Router
2 Announcement
Router
2 Announcement
(/64 prefix, timers, etc…)‫‏‬
Adresse IPv6 = /64 préfixe + EUI64 (e.g. MAC address)‫‏‬ Adresse IPv6 = /64 préfixe + Random 64 bits (rfc3041)‫ ‏‬122
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.2 Configuration statique
Serveurs, routeurs, passerelles

 Méthode équivalente à IPv4
- nécessaire pour les serveurs, les routeurs
 Dépend des systèmes
 WINDOWS
C:\>netsh interface ipv6 set address "4" 2001:4318:2:1::10
TCP UDP
C:\>netsh interface ipv6 delete address "4" 2001:4318:2:1::10
# ip -6 addr add 2001:4318:2:1::10 /64 dev eth0

 LINUX # ifconfig eth0 inet6 add 2001:4318:2:1::10 /64
# ip -6 addr del 2001:4318:2:1::10 /64 dev eth0

# ifconfig eth0 inet6 del 2001:4318:2:1::10 /64
R1#conf t
R1 (config)#ipv6 unicast-routing
 IOS CISCO R1 (config)# interface f0/0
R1 (config-if)# ipv6 address 2001:4318:2:1::10/64
R1 (config-if)# no ipv6 address 2001:4318:2:1::10/64

123
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.3 Configuration automatique
Auto-configuration sans état (stateless autoconfiguration)

• Le mode Stateless (auto-configuration sans état.) est utilisé pour une configuration
des nœuds simples uniquement. Un routeur ne peut donc pas utiliser ce mode de
configuration.
• Ce mode d’auto-configuration se base sur le protocole NDP, avec en particulier les
sollicitations (RS) et annonces (RA) de routeurs pour véhiculer les informations
concernant le préfixe, l’adresse de routeur par défaut
 La phase de configuration se déroule comme suit :

 1. Calcul de l’adresse de lien-local
 2. Vérification de l’unicité de l’adresse de lien-local
 3. Envoi de Router Solicitation
 4. Réception de Router Advertisement
 5. Création des adresses globales
 6. Vérification de l’unicité de ces adresses
124

Conception de l’adresse de lien
• L’adresse lien-local est créée en prenant le préfixe lien-local (fe80::/64), et en

l’utilisant avec un identificateur global de 64 bits (au format EUI-64 définit par
l’IEEE). L’unicité de cette adresse est vérifiée en utilisant le mécanisme DAD
(Détection d’adresse dupliquée). Une fois cette unicité vérifiée, la machine est en
mesure de communiquer avec les autres machines du lien.
• La machine se sert de cette adresse afin d’acquérir un message d’annonce de
routeur pour obtenir les informations concernant l’obtention d’une adresse unicast
globale. La machine doit se conformer à la méthode indiquée par le routeur, soit une
auto-configuration avec ou sans état.
• En l’absence de routeur sur le lien, l’équipement doit essayer la méthode d’auto-
configuration avec état. Si cela échoue, les communications se feront via l’adresse
lien-local.
125

 Méthode inexistant en IPv4 1.Définition de paquet RS:
- nécessaire pour les hôtes non serveurs,
non routeurs ICMP Type = 133
permet de faire du Plug & Play Src = (FE80::22C:4FF:FE00:FE56)
utilise certains messages ICMPv6 Dst = FF02::2 (tous les routeurs)
2. Définition de paquet RA:

Fonctionnement ICMP Type = 134
 Au démarrage, l’hôte émet des requêtes
pour obtenir des paramètres du réseau Src = FE80::22C:A4FF:FE00:EB01
- préfixe(s) d’adresses IPv6 Dst = FF02::1 (Multicast de tous les
- adresse (s) de routeur par défaut nœuds)
- le nombre de saut (hop limit) Data= options, prefix, lifetime,
- MTU (du lien local) autoconfig flag
adresse Mac:
adresse Mac: 00:2c:A4:00:EB:01
00:2c:04:00:FE:56
RS 2 RA
1
126
Auto-configuration sans état et rénumérotation

adresse Mac: adresse Mac:
00:2c:04:00:FE:56 00:2c:A4:00:EB:01
RA
Envoie NOUVELLE
L’adresse auto-configurée de l’hôte
information du réseau
est:
(préfixe, route par défaut , …)‫‏‬
NOUVEAU préfixe reçu + MEME
identifiant de l’adresse du link-layer
Un plus grand espace d’adressage offre:

Une renumérotation utilisant des adresses auto-configurées et multiples
127
Détection de Duplication d’adresse
A B
ICMP type = 135

Src = 0 (::)
Dst =Multicast:sollicitation de noeud de
A
Data = adresse physique de A
Query = quelle est ton adresse physique?
• La Détection de duplication d’adresse (DAD) sollicite le voisin pour vérifier l’existence d’une
adresse à configurer.
128
Auto-configuration avec état (stateful autoconfiguration):DHCPv6
DHCPv6 (RFC 3315) fonctionne selon le modèle Client /Serveur
– Serveur
• Répond aux requêtes des clients
• fournit aux clients, les informations suivantes:

- adresses IPv6
- autres paramètres de configuration ( serveurs DNS, …)
• est en écoute des adresses multicast :

- Tous les agents rélais et serveurs DHCP (FF02::1:2)
- Tous les serveurs DHCP (FF05::1:3)
• Mémorise l’état d’un client

• offre d’autres mécanismes de contrôle d’accès aux ressources du réseau
129
Auto-configuration avec état (stateful autoconfiguration)

– Client
• initie des requêtes sur le lien pour obtenir des paramètres de configuration
• utilise son adresse lien-local pour se connecter au serveur
• envoie des requêtes à l’adresse multicast FF02::1:2 (Tous les agents relais et
serveurs DHCP)
 Agent Relais
• noeud faisant office d’intermédiaire pour la livraison des messages DHCP entre
clients et serveurs DHCP
• se trouve sur le même lien que le client
• écoute en permanence l’adresse multicast FF02::1:2 ( Tous les Agents Relais et
serveurs DHCP)
130
Auto-configuration avec état (stateful autoconfiguration)
131
AVANCEES: IPv6
Chapitre I. Protocoles (4,5 seances)
Chapitre II. PLAN D’ADRESSAGE IPv6 (1.5 seance)

CONTROLE (1,5 seances)
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
(2 seances)
Chapitre V. SUPPORT DES APPLICATIONS EN IPv6 (2 seances)

MIGRATION (2.5 seances)
132
IV.1 RIPng
Introduction
 Premier protocole de routage dynamique proposé pour IPv6 (RFC 2080)
 Simple extension à IPv6 du protocole RIPv2 d'IPv4.
 hérite les mêmes limitations d'utilisation que RIPv2 (maximum de 15 sauts).
 Utilise l'algorithme de Bellman-Ford
 Algorithme de routage interne
 Les routeurs diffusent leurs tables de routage sur les liens auxquels ils sont
connectés.
 Les autres routeurs modifient une route dans leur table si la métrique reçue
est plus petite que celle déjà stockée dans la table.
 Si une annonce de route n'est pas présente dans la table, le routeur la
rajoute.
 Ces modifications sont à leur tour diffusées sur les autres réseaux auxquels
sont connectés les routeurs. Elles se propagent donc sur l'ensemble du réseau à
l'intérieur du système autonome.
133
IV.1 RIPng
Introduction
 Les tables sont émises périodiquement.
 Si un routeur tombe en panne ou si le lien est coupé, les autres routeurs ne
recevant plus l'information suppriment l'entrée correspondante de leur table de
routage.
134
IV.1 RIPng
Fonctionnement
Le format générique des paquets RIPng est très proche de celui des paquets du
protocole RIPv2.
 Seule la fonction d'authentification a disparu.
 Prise en charge par les mécanismes de sécurité IPSec disponibles en IPv6.
Le champ commande contient :

Valeur 1 : pour une requête de table de routage.
Valeur 2 : pour une réponse à une requête ou
une émission périodique par rapport à une mise
à jour.
Le champ version est aujourd'hui défini à la valeur 1.
135
IV.1 RIPng
Fonctionnement
Une information de routage représente un champ "Entrée" d'un paquet RIPng de 20 octets.
Le nombre d'informations de routage contenues dans un paquet RIPng dépend directement
du MTU des liens utilisés, du nombre d'octets d'informations d'en-tête précédant le
message RIPng, de la taille de l'en-tête RIPng, et de la taille d'une RTE (Routing Table Entry),
soit MTU – taille de (en-tête_IPv6) – longueur d'en-tête_UDP – longueur d'en-tête_RIPng
Si RIPng doit annoncer un grand nombre de réseaux, plusieurs paquets RIPng seront nécessaires.
- Les champs préfixe et longueur de

préfixe décrivent les réseaux annoncés.
- Le champ métrique (1 octet) , valeur
entre 1 et 15 inclus, comptabilise le
nombre de routeurs traversés. La valeur
16 indique une destination inaccessible.
- Marque de routage (2 octets) indique une étiquette de chemin, un attribut alloué à un chemin qui doit
être préservé et réannoncé avec un chemin. L'utilisation prévue de l'étiquette de chemin est de donner
une méthode de séparation des chemins RIPng "internes« (chemins pour les réseaux au sein du domaine
d'acheminement RIPng) des chemins RIPng "externes", qui peuvent avoir été importés d'un EGP ou d'un
autre IGP (numéro du système autonome d'où le chemin a été appris)
136
IV.1 RIPng
Fonctionnement
 Deux types d’informations RTE:
 Préfixe d’adresse IPv6 tel que décrit précédemment
Adresse IPv6 du prochain saut (NEXT HOP) auquel devraient être transmis les paquets pour
une destination spécifiée par une entrée de la table d'acheminement (RTE) tel que RIPv2 .
Une telle entrée indique que les destinations des entrées suivantes sont accessibles par le
routeur explicitement indiqué, et non par celui envoyant le paquet RIPng (utilisation en
mode "proxy").
 Ici, les champs Marque de routage, Longueur préfixe sont mis à zéro à l'envoi et ignorées
à réception.
 Une RTE de prochain bond est identifiée par une valeur de 0xFF dans le champ Métrique
d'une RTE.
 Le champ Préfixe spécifie l'adresse IPv6 du prochain bond.
- Spécifier une valeur de 0:0:0:0:0:0:0:0 dans le champ Préfixe d'une RTE de prochain bond indique
que l'adresse du prochain bond devrait être le générateur de l'annonce RIPng.
- Une adresse spécifiée comme étant celle d'un prochain bond doit être une adresse de liaison locale
- Si l'adresse de prochain bond reçue n'est pas une adresse de liaison locale, elle devrait être traitée
comme étant 0:0:0:0:0:0:0:0.
- Si dans RIPv2, chaque entrée de table d'acheminement a un champ Prochain bond, dans RIPng, le
prochain bond est spécifié par une RTE spéciale et s'applique à toutes les adresses des RTE qui
suivent la RTE de prochain bond jusqu'à la fin du message ou jusqu'à ce qu'une antre RTE de
prochain bond soit rencontrée 137
IV.1 RIPng
Fonctionnement
Temporisateur
 Toutes les 30 secondes, le processus RIPng est réveillé pour envoyer un message de
réponse non sollicitée, contenant la table d'acheminement complet à tous les routeurs du
voisinage.
 Lorsque il y a de nombreux routeurs sur un seul réseau, il y a une tendance à la
synchronisation qui fait qu'ils vont tous produire leur mise à jour en même temps. Cela
peut arriver chaque fois que le temporisateur de 30 secondes est affecté par la charge de
traitement sur le système. Il n'est pas souhaitable que les messages de mise à jour soient
synchronisés, parce que cela peut conduire à des collisions inutiles sur les réseaux en
diffusion. Il est donc demandé aux mises en œuvre de prendre une des deux précautions
suivantes :
- Déclencher les mises à jour de 30 secondes avec une horloge dont le débit n'est pas
affecté par la charge du système ou par le moment du service du précédent
temporisateur de mise à jour.
- Le temporisateur de 30 secondes est décalé d'une petite durée aléatoire (+/- 0 à 15
secondes) chaque fois qu'il est établi. Le décalage est déduit de 0,5 * la période de
mise à jour (c'est-à-dire, 30).
138
IV.1 RIPng
Fonctionnement
Temporisateur
Deux temporisateurs sont associés à chaque chemin, une "fin de temporisation" et un "délai
de collecte des déchets ».
 À l'expiration de la fin de temporisation, le chemin n'est plus valide ; cependant, il est
conservé dans la table d'acheminement pendant un bref délai afin que les voisins
puissent être notifiés de l'abandon du chemin.
 À expiration du délai de collecte des déchets, le chemin est finalement retiré de la table
d'acheminement.
La fin de temporisation est initialisée lors de l'établissement d'un chemin, et à chaque fois
qu'un message de mise à jour est reçu pour le chemin.
Si 180 secondes s'écoulent depuis la dernière fois que la temporisation a été initialisée, le
chemin est considéré comme ayant expiré, et le processus de suppression décrit ci-
dessous commence pour ce chemin.
139
IV.1 RIPng
Fonctionnement
Temporisateur
 Les suppressions peuvent survenir pour une de deux raisons :
 l'expiration de la fin de temporisation,
 le réglage de la métrique à 16 à cause d'une mise à jour reçue du routeur actuel.
Dans l'un et l'autre cas, les événements suivants se produisent :
- Le temporisateur de collecte des déchets est réglé à 120 secondes.
- La métrique pour le chemin est réglée à 16 (infini). Cela cause le retrait du service
de ce chemin.
- Le fanion de changement de chemin pour indiquer que cette entrée a été changée.
- Le processus de sortie est signalé pour déclencher une réponse.
 Jusqu'à l'expiration du délai de collecte des déchets, le chemin est inclus dans toutes
les mises à jour envoyées par ce routeur. Lorsque le délai de collecte des déchets
arrive à expiration, le chemin est supprimé de la table d'acheminement.
 Si un nouveau chemin pour ce réseau devait être établi alors que le délai de collecte
des déchets court encore, le nouveau chemin remplacerait celui qui est sur le point
d'être supprimé. Dans ce cas, le temporisateur de délai de collecte des déchets doit
être supprimé.
140
IV.1 RIPng
Commandes IOS
Création d’un processus RIPNG (en mode configuration globale):
ipv6 router rip <Process name>
Applications aux interfaces (en mode configuration d’interface):
ipv6 rip < Process name> enable
Commande de debbug:
debug ipv6 rip

Visualiser la table de routage:
show ipv6 route

141
IV.2 OSPFv3
Introduction
 OSPF (Open Shortest Path First)
 OSPFv1 dans RFC 1131 : Version expérimental, jamais déployée
OSPFv2 dans RFC 1247: L'ISO commence en même temps à travailler sur le protocole IS-IS
OSPFv2 mise à jour dans RFC 2328
OSPFv3 dans RFC 2740 (support pour IPv6)
 OSPF (RFC 2328) est un protocole de routage dynamique défini par l'IETF à la fin des années 80. Ce
protocole possède deux caractéristiques essentielles :
 Il est ouvert : c'est le sens du terme Open de OSPF. Son fonctionnement est connu de tous.
 Il utilise l'algorithme SPF pour Shortest Path First, plus connu sous le
nom d'algorithme de Dijkstra, afin d'élire la meilleure route vers une
destination donnée.
 Ici, un coût est attribué à chaque liaison afin de privilégier
l'élection de certaines routes.
 Plus le coût est faible, plus le lien est intéressant.
Par défaut, les coûts suivants sont utilisés en fonction de la bande
passante du lien : 108
Coût =
Bande Passante du lien en bits/s
- La référence 108 correspond à un débit maximum de 100Mbps.
- Dans le cas où l'on utilise des interfaces avec un débit supérieur, la référence peut être redéfinie
avec une commande du type « auto-cost reference-bandwidth 1000 » (pour la valeur 109). 142
IV.2 OSPFv3
Principe et fonctionnement : Concept de zone de routage (area)

 Contrairement à RIP, OSPF a été pensé pour supporter de très grands réseaux (donc gérer de
nombreuses routes). Donc, afin d'éviter que la bande passante ne soit engloutie dans la
diffusion des routes, OSPF introduit le concept de zone (area).
 Le réseau est divisé en plusieurs zones de routage qui contiennent des routeurs et des hôtes.
 Chaque zone, identifiée par un numéro, possède sa propre topologie et ne connaît pas la
topologie des autres zones.
 L'intérêt de définir des zones est
 de limiter le trafic de routage,
 de réduire la fréquence des calculs du plus court chemin par l'algorithme SPF
 d'avoir une table de routage plus petite (ce qui accélère la convergence).
 Chaque routeur d'une zone donnée ne connaît que les routeurs de sa propre zone ainsi que la
façon d'atteindre une zone particulière, la zone numéro 0.
 Tout routage basé sur OSPF doit posséder une zone 0.
 Toutes les zones doivent être connectées physiquement à la zone 0 (appelée backbone ou
réseau fédérateur). Elle est constituée de plusieurs routeurs interconnectés. Le backbone
est chargé de diffuser les informations de routage qu'il reçoit d'une zone aux autres zones.
143
IV.2 OSPFv3
Principe et fonctionnement : Concept de zone de routage (area)
 Les routeurs situés «à cheval» entre plusieurs zones sont appelés ABR(Area
Border Router) ou routeur de bordure de zone.
 Les routeurs ABR maintiennent une base de données topologique pour

chaque zone à laquelle ils sont connectés.
 Les ABR constituent des points de sortie pour les zones. Ce qui signifie que les
informations de routage destinées aux autres zones doivent passer par l'ABR
local à la zone. L'ABR se charge alors de retransmettre les informations de
routage au backbone.
 Les ABRs du backbone ensuite redistribueront ces informations aux autres

zones auxquelles ils sont connectés.
144
IV.2 OSPFv3
Similarités et différences avec OSPFv2

 Principe de base identique à OSPF pour IPv4
 Distribue les prefixes IPv6
 Table de transmission ≠ table routage
 Le protocole Hello: maintient la base de données OSPF
Lorsque le processus de routage OSPF est lancé sur un routeur, celui-ci récupère les
paquets HELLO émis par son/ses voisins toutes les 10 secondes (valeur par défaut du
temporisateur appelé hello interval).
Chaque routeur conçoit une base de données appelée «base d'adjacences»
(adjacencies database) intégrant l’adresse IP de ses voisins.
 Le contenu de cette base de données peut être visualisé grâce à la commande
show ipv6 ospf neighbor.
 Topologie OSPF est hiérachisée basées sur des aires : Backbone et aires secondaires
 Authentification de route obligatoire
 Exécution d’OSPF : Consommatrice en CPU
145
IV.2 OSPFv3
Similarités avec OSPFv2

 Les memes types de packets de base
 Hello: permet la découverte des voisins OSPF et établissement des adjacences,
annonce les critères que les routeurs doivent agréer pour être voisins, est utilisé par les
réseaux multi-accès pour élire un routeur désigné (DR) et un routeur désigné de secours
(BDR). Il contient le Router ID du routeur émetteur, le "OSPF Hello Interval ». Il est
transmis en multicast toutes toutes les 30 secondes pour les segments NBMA
 LSR
 LSA (Link State Advertisement) contient des informations sur les voisins et les coûts de
chemin
 LSU (Link State Update ) Utilisé pour les annonces de mise à jour d'état de lien,
Contient des LSAs
146
IV.2 OSPFv3

 Mecanisme de decouverte de voisin et de formation de relation d'adjacent
 Types d'interfaces
 P2P, P2MP, Broadcast, NBMA, Virtual
 Diffusion de LSA
 Types LSA presqu'identique
 Les éléments suivants restent au format IPv4 32-bits:
 Le « Routeur IDs »: C'est une adresse IP utilisée pour identifier un routeur. Il
existe trois possibilités pour définir le Router ID:
- Utiliser l'adresse IP configurée avec la commande router-id et possédant la
préséance sur les adresses des interfaces physiques ou logiques (loopback)
- Si la commande router-id n'est pas utilisé alors le routeur choisit l'adresse IP
la plus élevée parmi les interfaces logiques (loopback)
- Si aucune interface logique n'est configurée alors l'adresse IP la plus élevée
parmi les interfaces actives est utilisée
 « Area IDs »
 « LSA Link State IDs ».
147
IV.2 OSPFv3

NB:
- L'adresse IP la plus élevée parmi les interfaces loopback sera utilisée comme Router ID si la
commande router-id n'est pas utilisée
- Avantage de l'utilisation d'adresse d'interface loopback : Une interface loopback n'est jamais
"down" → Stabilité d'OSPF
 Critères pour être élu DR/BDR
1. DR: Routeur avec la priorité OSPF d'interface la plus élevée

2. BDR: Routeur avec la priorité OSPF d'interface immédiatement inférieure
3. Si les priorités d'interface OSPF sont égales, le router ID le plus élevé est égales, le router
ID le plus élevé est choisi
148
IV.2 OSPFv3
Différences avec OSPFv2

 OSPFv3 est activé par “lien” et non par sous-réseaux
 Le terme “network” et “subnet” utilisé dans OSPFv2 est remplacé par “lien”.
 Dans IPv6 plusieurs sous-reseaux IP peuvent être assignés à un lien et deux
noeuds de differents sous-réseaux peuvent communiquer au niveau de la
couche liaison, OSPFv3 s’appuie donc sur ce principe.
 Support de plusieurs instances par “lien”
 Un nouveau champ dans l’en-tête du paquet OSPF permet d’activer plusieurs
instances par lien.
 L’authentification s’appuie sur IPv6 ( AH, ESP )
 Les identifiants des instances ( ID ) doivent correspondre pour que le paquet
soit accepté.
 Les routeurs homologues (voisinage) sur un lien sont toujours identifiés par
leur OSPF « router ID »
149
IV.2 OSPFv3
Différences avec OSPFv2

 Les LSA type 1 et 2 ne transportent que des informations de topologie
 Utilisation des adresses “link-local”
 Deux nouveaux types de LSA

 Link-LSA (type 8)‫‏‬
 Intra-area-prefix-LSA (type 9)‫‏‬
 Utilise des adresses multicast :

 FF02::5 ( ALLDRRouter )‫‏‬
 FF02::6 (ALLSPFRouter )‫‏‬
150
IV.2 OSPFv3
Link-state LSA
 LSA “Link-state” par lien :

 Les “link-local” sont diffusés que sur le “lien” auquel ils sont associés
 Fournit l'adresse Router “link-local” (FE80::/10)
 Liste tous les prefixes IPv6 attachés au lien
 une collection de bit d'option pour les “Router-LSA”
151
IV.2 OSPFv3
Inter-Area Prefix LSA
 Descrit une destination hors de la zone mais toujours dans l'AS

 Resume les informations de routage d'une zone, qui sont diffusées dans
toutes les autres zones
 Créer par un ABR
 Seules les routes intra-area sont injectées dans le backbone
 Les ID des “Link State” servent à distinguer les inter-area-prefix-LSA
provenant du meme routeur
 Les adresses “Link-local” ne doivent pas etre diffusées dans les inter-
area- prefix-LSAs
152
IV.2 OSPFv3
Commandes IOS
OSPF est activé sur les interfaces :
 En mode de configuration interface

ipv6 ospf <process ID> area <area ID>
Mode de configurations globales (configuration spécifiques ) :

ipv6 router ospf <process ID>
 La configuration du “router-id” si aucune interface est en IPV4
 Configuration pour les aggregations des routes inter-aires

area <area ID> range <prefix>/<prefix length>
153
IV.2 OSPFv3
Commandes IOS
Visualiser le voisinage OSPF:
show ipv6 ospf neighbor

show ipv6 ospf [<process ID>]
clear ipv6 ospf [<process ID>]
Visualiser les informations des LSA:
show ipv6 ospf [<process ID>] database link

show ipv6 ospf [<process ID>] database prefix
Commande de debbug:
debug ipv6 ospf
154
AVANCEES: IPv6
CONTROLE
MIGRATION
155
Chapitre V. SUPPORT DU DNS EN IPv6 V.1 Extensions DNS pour IPv6
Importances du DNS
 Obtention de l’adresse IP d’un hôte distant dans les réseaux TCP/IP
 Dans l’Internet actuel, il est

- impossible de mémoriser des milliards d’adresses IP, surtout IPv6
- impossible de les enregistrer dans un seul fichier
Windows 95/98 c:\windows\hosts
Windows NT/2000 c:\winnt\system32\drivers\etc\hosts
Windows XP/Vista c:\windows\system32\drivers\etc\hosts
Linux /etc/hosts
 Fourniture de ressources à certaines applications (mail, reverse, etc.)
156
Importances du DNS
Racine
(root)
«.» « .»
Serveur de nom
com Serveur
TLD com ci Serveur de nom de nom
pigierci pigierci.com
‘www.pigierci.com’ RR ?
facebook Serveur de nom
Zones
8. Réponse
www
1. Requête:
Resolver
157
Les nouvelles extensions pour supporter IPv6

 Nouvel enregistrement DNS, le AAAA (quad-A), pour faire correspondre une adresse IPv6 à un
nom, équivalent à l’enregistrement A pour IPv4 (Résolution directe);
Exemple:
www.kame.net. IN AAAA 2001:200:dff:fff1:216:3eff:feb1:44d7
 Une requête de type AAAA concernant un nom de domaine retourne tous les enregistrements
de type AAAA associés, dans la section de réponse ;
Toutes les requêtes de type A qui donnent lieu à une section additionnel doivent être
redéfinies afin de fournir cette même section pour les types A et AAAA à la fois.
 Nouveau domaine ip6.arpa pour la correspondance Adresse IPv6 <---> nom de domaine,
initialement ip6.int (Résolution inverse).
- l’arbre ip6.arpa est pour IPv6 ce que représente l’arbre in-addr.arpa pour IPv4
Exemple
$ORIGIN 1.f.f.f.f.f.d.0.0.0.2.0.1.0.0.2.ip6.arpa.
7.d.4.4.1.b.e.f.f.f.e.3.6.1.2.0 PTR www.kame.net.
158
Exemple de résolution DNS de type AAAA
«.» « .»
Serveur de nom
net Serveur
net ci Serveur de nom de nom
2001:200:dff:fff1:216:3eff:feb1:44d7
www.kame.net possède l’@ IPv6
kame kame.net
‘www.kame.net’ AAAA?
abidjan Serveur de nom
8. Réponse:
www
1. Requête:
Resolver
159
IPv6 vu dans l’arbre de résolution du DNS

Adresse IP  Nom Nom  Adresse IP
.
ci com net
arpa
kame
pigierci
in-addr ip6
www ns1 www

202 203 2.0.1.0.0.2
178 … 255 0.0 1.0
141 f.f.d.0 0.0.e.0
194 7.d.4.4.1.b.e.f.f.f.e.3.6.1.2.0.1.f.f.f
203.178.141.194  194.141.178.203.in-addr.arpa
www.kame.net
2001:200:dff:fff1:216:3eff:feb1:44d7 7.d.4.4.1.b.e.f.f.f.e.3.6.1.2.0.1.f.f.f.f.f.d.0.0.0.2.0.1.0.0.2.ip6.arpa. 160
Serveurs Root et IPv6

Root Server Operateur Adresses IP
IPv4: 198.41.0.4
A VeriSign, Inc.
IPv6: 2001:503:BA3E::2:30
IPv4: 192.228.79.201
B Information Sciences Institute IPv6: 2001:478:65::53 (pas
encore dans la zone)
IPv4: 192.5.5.241
F Internet Systems Consortium, Inc.
IPv6: 2001:500:2f::f
IPv4: 128.63.2.53
H U.S. Army Research Lab
IPv6: 2001:500:1::803f:235
IPv4: 192.36.148.17
I Autonomica
IPv6: 2001:7fe::53
IPv4: 192.58.128.30
J VeriSign, Inc.
IPv6: 2001:503:C27::2:30
IPv4: 193.0.14.129
K RIPE NCC
IPv6: 2001:7fd::1
IPv4: 199.7.83.42
L ICANN
IPv6: 2001:500:3::42
IPv4: 202.12.27.33
M WIDE Project
IPv6: 2001:dc3::35
161
Serveurs Root et IPv6
162
Chapitre V. SUPPORT DU DNS EN IPv6 V.2 Configuration
Migration DNS en IPv6 : comment procéder?

Question : comment déployer le DNSv6 sans partitionner l’Internet?
A) Approche de haut en bas(dans un monde idéal)

- V6-fier tout ou partie des serveurs racine, puis les serveurs TLD, etc.
- La mise en place des “glues” AAAA dans les fichiers de zones parentes (si nécessaire) est possible
B) Approche de bas en haut
- B1 -V6fier les serveurs qui font autorité sur leur propre zone DNS
- B2 –Si la glue AAAA est nécessaire dans la zone parente, demander au parent de la mettre
- B3 –Si le parent n’est pas convaincu, lui expliquer que cette glue ne nuit pas au DNS
- B4 –Si toujours pas convaincu, commencer à faire de la politique jusqu’à obtenir la modification
- B5 –Si convaincu (succès de la délégation en v6), le parent fera B1-B5 à son tour
C) Mélange des deux approches (dans un monde réel)
- V6-fier les serveurs DNS là où c’est possible
- Là où ce n’est pas possible, négocier au moins que la glue (si nécessaire) soit prise en compte dans les zones
parentes
NE PAS CASSER LA CONTINUITE DU SERVICE DNS !

163
Chapitre V. SUPPORT DU DNS EN IPv6 V.2 Configuration
Migration DNS en IPv6 : Quelques recommandations?
Actuellement, le but n’est pas de migrer à partir d’un environnement uniquement IPv4 vers un
environnement uniquement IPv6
1) C’est plutôt de migrer vers un environnement mixte où:

- Certains équipements ne supporteront qu’IPv4 (“legacy systems”)
- Certains autres ne supporteront qu’IPv6 (services émergeants)
- D’autres supporteront IPv4 et IPv6 (“dual-stack”)
2) Comment y arriver ?
 DéployerIPv6 de manière incrémentale sur les réseaux existants
Pour les nouveaux grands réseaux ne supportant qu’IPv6 : permettre aux resolvers
d’interroger le DNS sur des ressources DNS quelconques:
- En leur autorisant l’interrogation de serveurs récursifs à double pile par exemple
Toute zone DNS (y compris celles liées à un réseau « IPv6-only ») devrait être servie par au
moins un serveur DNS supportant IPv4
 Toutes les zones DNS (y compris la zone racine!) devrait être joignable en IPv4 et en IPv6
Note: Pour savoir qui héberge votre DNS, veuillez consulter le lien http://www.whois.sc/, puis entrez
votre nom de domaine. Les entrées CNAME pointent vers votre hébergeur DNS. 164
AVANCEES: IPv6
Chapitre I. INTRODUCTION A IPv6

Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
VI.1 Généralités
VI.2 Etude de cas de transition
Chapitre VII : IPv6 ET SECURITE
165

Chapitre I. INTRODUCTION A IPV6
VI.1 Généralités
Chapitre VII : Chapitre VII : IPv6 ET SECURITE
Les besoins
 L’Internet est presqu’entièrement configuré en IPv4. La création de réseau IPv6

entraîne les problèmes suivants:
 isolement des réseaux IPv6: on parle d’îlots IPv6
 connexion des machines IPv6 aux serveurs configurés uniquement en IPv4
 Connexion des machines configurées uniquement en IPv4 aux serveurs
fonctionnant uniquement en IPv6
 Connexion de deux sites distants IPv6 au travers de l’Internet IPv4
166
VI.1 Généralités
Chapitre VII : Chapitre VII : IPv6 ET SECURITE
Les mécanismes de transition/Intégration/migration
Mécanismes de transition Cœur de réseau ISP Entreprises Particuliers

Double Pile X X X X
Relais applicatifs X X X
NAT-PT X X X
Teredo X X X
ISATAP X
6to4 X X X
Tunnels configurés X X X X
Tunnel Broker X X X
TSP X X X
6RD X
NAT64/DNS64 X X X
167
VI.2 Etude de quelques
solutions de migration
Dual-stack
 Consiste à relier à la fois, en IPv4 et en IPv6 tout équipement connecté au réseau.
 en privilégiant la pile IPv6, les équipements l'utilisent quand il est disponible,
et passent sur leur pile IPv4 en cas d'indisponibilité.
 Inconvénients :
 Ne résoud pas les problèmes de pénurie d'adresses IPv4
 Maintenance plus lourde sur l'ensemble des équipements du réseau (tables de
routage, adressage, sécurité, etc)
 Avantage :
 Mécanisme de transition le plus simple et le plus souple
168
Mono-stack: relais applicatif ou ALG (Application Level Gateway)
 Consiste à ne relier tous les équipements terminaux que sur IPv6, et de prévoir des
relais applicatifs ("proxies" ou "serveurs mandataires") double pile (configurés pour
accéder aux deux versions du protocole IP) pour accéder au réseau v4 inaccessible en
v6.
 Les machines clientes doivent être configurées pour adresser leurs requêtes applicatives
à ces relais.
 Les relais applicatifs regroupent
 les proxies et les caches web,
 les spoolers d'impression,
 les serveurs de courrier électronique,
 les serveurs DNS
 Inconvénients
 Oblige à rendre par avance, toutes les applications des "équipements terminaux"
compatibles IPv6,
 Oblige à mettre en place un relais applicatif par service (un proxy DNS, un proxy web,
un proxy pour chaque service de messagerie, ...), et à supporter à la fois IPv4 et IPv6.
 Avantages
 Permet d'avoir des clients uniquement v6
 Résoud partiellement le problème de pénurie des adresses IPv4 169
Mono-stack, NAT-PT
 Principe reste identique à celui de NAT pour IPv4 (basé sur la translation d’adresses), mais assure
en plus la conversion du protocole IP utilisé;
 Tous les équipements terminaux possèdent une pile IPv6 simple et sont configurés comme s'ils
évoluaient dans un monde totalement IPv6. Pour ce faire, il est indispensable de disposer d'un
relais DNS spécial ainsi que d'un routeur capable de faire de la translation d'adresses d'IPv6 vers
IPv4 (Routeur NAT).
 Au niveau du relais DNS, ce dernier doit transformer toutes les requêtes sur des enregistrements
A en enregistrements AAAA particuliers. En effet, une adresse de type 213.136.96.2 sera alors
traduite en 2001:4318:2:ffff::d588:6002 par le relais.
Par la suite, les équipements voulant accéder à 213.136.96.2 depuis le réseau IPv6 uniquement, y
accéderont par l'adresse IPv6 2001:4318:2:ffff::d588:6002 et un routeur double pile capable de
comprendre cela fera une translation d'adresses comme en IPv4 avec le NAT, en convertissant
l'IPv6 en IPv4.
170
Mono-stack, NAT-PT
 Principe: Pour accéder à un réseau IPv4, au travers de NAT-PT,
 1. l’équipement terminal IPv6 qui initie la connexion avec un équipement IPv4, envoie un
paquet IPv6 vers le routeur NAT-PT avec comme adresse de destination, l’adresse IPv4 mappée
de l’équipement destinataire et comme adresse source son adresse IPv6.
 2. le routeur NAT-PT traite le paquet IPv6 reçu, lui affecte une adresse IPv4 de son pool
d’adresses IPv4 et forge un nouveau paquet IPv4 avec comme adresse source, l’adresse IPv4
récemment attribuée et comme adresse destination l’adresse IPv4 de la machine distante
(extraite du paquet IPv6).
 Une liste de contrôle d’accès IPv6 est également définie pour désigner l’ensemble des adresses
qui doivent être translatées.
 Inconvénients :
- Oblige à avoir rendu toutes les applications des "équipements terminaux" compatibles IPv6 par
avance
- Oblige à mettre en place un relais DNS et un routeur spécialisés dans le NAT-PT
 Avantages :
- Seuls un relais DNS accompagné d'un routeur spécialisés sont nécessaires en plus des services
habituels
- Permet d'avoir des clients uniquement v6
- Constitue une bonne alternative à la pénurie d'adresses IPv4
171
Mono-stack, NAT-PT : exemple de NAT-PT statique
172
Tunnel statique
Un tunnel statique consiste à transmettre des paquets IPv6 dans l’Internet IPv4. Ces
paquets IPv6 sont encapsulés dans des paquets IPv4 (tunnel IP dans IP). Cette opération
est réalisée par des routeurs situés entre les réseaux IPv6 et les réseaux IPv4. :
 Principe
 1. L'extrémité émettrice du tunnel encapsule le paquet IPv6 dans un autre paquet
IPv4 et l'envoie vers l'autre extrémité du tunnel. De tels paquets sont des paquets
IPv4 normaux.
En-tête IPv4
Champ En-tête IPv6 Contenu du paquet IPv6
Protocole=0x29
 2. L'extrémité réceptrice récupère le paquet IPv4 et le décapsule pour le traiter.
En-tête IPv6 Contenu du paquet IPv6

173
Tunnel statique
174
Tunnel statique: Exemple
175
Tunnel 6to4
Le tunnel 6to4 (RFC3056) est une variante du tunnel statique. Contrairement au
tunnel statique, le tunnel 6to4 permet d’établir un lien point-multipoint. Ainsi, toute
machine qui dispose d'une adresse IPv4 globale peut utiliser le 6to4.
Il permet d'accéder à l'Internet IPv6 par une connexion Internet IPv4 usuelle, telle que
fournie par un fournisseur d'accès grand public.
On peut s’en servir pour interconnecter des sites IPv6 isolés en créant des tunnels
automatiques IPv6 dans IPv4 en fonction du destinataire des données
– Machine terminale 6to4
– Routeur de bordure encapsule les paquets IPv6 dans des paquets IPv4
– Relais 6to4
Le format des paquets est le même que pour le tunnel statique, mais les paquets sont
échangés entre de très nombreuses machines supportant le 6to4.
176
Tunnel 6to4: adressage
 Adressage
● Préfixe alloué par IANA
 2002::/16
0 15|16 47|48 63|64 127
 Principe:
Tout paquet IPv6 dont l'adresse de destination commence par 2002 doit passer par le tunnel 6to4.
Dans ce cas, les bits 16 à 47 de l'adresse IPv6 destination détermine à quelle adresse IPv4 le paquet
doit être transmis. Cette adresse est celle d'un routeur 6to4.
Par exemple, si la destination d'un paquet IPv6 est 2002:8ac3:802d:cafe:20d:60ff:fe38:6d16, le
paquet sera transmis par IPv4 au routeur 6to4 dont l'adresse IP est 138.195.128.45 (0x8a = 138,
0xc3 = 195, 0x80 = 128, 0x2d = 45). C'est ensuite au routeur 6to4 de transmettre le paquet IPv6 à sa
destination finale.
Avec cette technique, si un fournisseur d'accès à Internet vous attribue une adresse IPv4, vous
disposez automatiquement d'un jeu de 280 adresses IPv6 que vous pouvez librement utiliser : toutes
les adresses IPv6 commençant par 2002:8ac3:802d dans notre exemple.
177
Tunnel 6to4
 Le Relais 6to4
Pour que les utilisateurs d'adresses IPv6 commençant par 2002 puissent communiquer avec
les autres, des relais entre le monde 6to4 et l'Internet-IPv6 ont été mis-en-place sur
Internet. Par une astuce ingénieuse, l'adresse du relais le plus proche est toujours
192.99.88.1 en IPv4.
Ainsi, si vous utilisez 6to4 pour vous connecter à Internet, et que vous souhaitez contacter
une machine n'utilisant pas 6to4, par exemple, 2001:4318:2:0:203:47ff:fea5:3085, vous
pouvez transmettre les paquets par le tunnel 6to4 au relais le plus proche.
 Inconvénients
– Routage peut être asymétrique
– Délais peuvent être élevés à cause des tunnels
 Avantages
– Permet de router du traffic IPv6 même si l'ISP est IPv4
178
Tunnel 6to4: exemple
179
Tunnel 6to4: exemple
180
Tunnel 6rd
Le tunnel 6rd ou IPv6 Rapid Deployment (RFC 5969) est une variante du tunnel 6to4.
Contrairement au tunnel 6to4, le tunnel 6rd utilise le préfixe IPv6 d'un FAI au lieu de
2002::/16.
 Ce mécanisme vise les FAI existants qui n'ont pas le courage de mettre à jour leur réseau
IPv4. Il permet à ces derniers d’offrir un service IPv6 Unicast transparent aux clients à
travers leurs infrastructures IPv4
181
Tunnel 6rd
Le tunnel 6rd ou IPv6 Rapid Deployment (RFC 5969) est une variante du tunnel 6to4.
Contrairement au tunnel 6to4, le tunnel 6rd utilise le préfixe v6 d'un FAI au lieu de
2002::/16.
ELÉMENTS D’UN SYSTÈME 6rd
6rd prefixes • Un préfixe IPv6 choisi par le FAI en vue de l'utiliser pour 6RD
• Utilisé (au lieu de 2002::/16) pour créer des adresses 6RD
• Il ya seulement 1 préfixe 6RD par domaine
Préfixes 6rd • Calculé par le CE pour une utilisation dans le site du client
délégués • Préfixe 6rd + tout ou une partie de l’adresse v4 du CE (coté WAN)
Routeur CE • Coté LAN: v6 natif
• Coté WAN: IPv4-only (publique or privé par domaine), Peut être
Ethernet, ATM, PPP et utiliser PPPOE, IPCP, DHCP etc.
• Un CE peut appartenir à plus d'un domaine 6RD
182
Tunnel 6rd
ELÉMENTS D’UN SYSTÈME 6rd
Border Relay (BR) • Lie un domaine 6RD a des domaines IPv6 externes/Internet
• Peut être atteint par anycast
• A partir de l’adresse IPv6, déduit l’adresse IPv4 du CE
• A au moins un de chacun des éléments suivants:
 Interface IPv4
 interface virtuelle 6RD agissant comme un point de
terminaison pour la tunnel 6RD v6-in-v4
Une interface IPv6 connecté au réseau IPv6 natif
Interface • L'interface de tunnel multipoint interne où l’encapsulation et la
virtuelle 6rd décapsulation 6RD se produit
• Généralement, une par CE
• Pas plus de 1 sur chaque BR par domaine
183
Tunnel 6rd
EXEMPLE D’IMPLEMENTATION
Soit un FAI possédant des clients dual-stack (client 1)
184
Tunnel 6rd
EXEMPLE D’IMPLEMENTATION
Soit un FAI possédant des clients dual-stack (client 1)
185
Tunnel 6rd
186
Tunnel 6rd
187
Tunnel 6rd
Configuration de l’interface
Configuration du CE_1 virtuelle sur CE_1
IPv6 connecté au réseau
IPv6 Dual-Stack
188
Tunnel 6rd
Configuration du CE_2 virtuelle sur CE_2
IPv6 Dual-Stack
189
Tunnel 6rd
Configuration du BR virtuelle sur BR
IPv6 Dual-Stack
190
Tunnel 6rd
Configuration de la route statique vers
Configuration du BR
les réseaux du domaine 6rd sur BR
Configuration de la route IPv6

par défaut sur BR (vers le
reste de l’Internet)
Visualisation du tunnel
191
Tunnel 6rd
Configuration de la route IPv6 par
Configuration du CE_1 défaut sur CE_1(vers l’Internet IPv6)
192
Tunnel 6rd
Configuration de la route IPv6 par
Configuration du CE_2 défaut sur CE_2(vers l’Internet IPv6)
193
Tunnel 6rd
Visualisation des tables
de routage IPv6
194
Tunnel 6rd
de routage IPv6
195
Tunnel 6rd
de routage IPv6
196
Tunnel 6rd
Visualisation des configs
des PCs et tests
d’accessibilité depuis le
PC1 (du réseau réseau
du Client1) vers un autre
réseau du même
domaine 6rd (PC2 du
réseau du client 2) ou
vers Internet (PC3)
197
Tunnel 6rd
Ping du PC1 vers PC2:
- Etape1 : Le PC1 envoit
le paquet IPv6 au CE_1
- Etape1 : Le PC1 envoie
(sa passerelle)
le paquet IPv6 au CE_1
- Etape 2: Le paquet IPv6
(sa passerelle)
est encapsulé dans un
- Etape 2: Le paquet IPv6
paquet IPv4 du CE_1
est encapsulé dans un
vers le BR
paquet IPv4 du CE_1
vers le BR
198
Tunnel 6rd
Etape 3 : le paquet IPv6
est encapsulée dans un
nouveau paquet IPv4 et
réacheminé du BR vers le
CE_2.
- Etape 4: Le CE_2
décapsule le paquet et
l’envoie au PC2
199
Tunnel 6rd
- Etape 1: le paquet IPv6
est encapsulée dans un
paquet IPv4 et acheminé
vers le BR..
- Etape 2: Le BR
décapsule le paquet et
l’envoie au PC2
200
Tunnel ISATAP: Intra-Site Automatic Tunnel Addressing Protocol
Principe
ISATAP est l'équivalent interne de 6to4 (externe). Alors que 6to4 fournit une connectivité
IPv6 vers l'extérieur, ISATAP fournit une connectivité IPv6 vers l'intérieur. C'est utile si
certains des routeurs de votre réseau Intranet/local ne supportent pas IPv6.
Adressage
Avec ISATAP, les 64 premiers bits de l'adresse IPv6 sont choisis. Les bits 64 à 95 sont
égaux à 0000:5ffe. Enfin, les bits 96 à 127 représente l'adresse IPv4 de destination (bout
du tunnel).
64 bits à choisir 0000:5FFE Adresse IPv4
201
Tunnel Teredo
Teredo est une technologie développée par Microsoft Corporation. Elle consiste à
encapsuler des paquets IPv6 dans des paquets UDP/IPv4. En effet, les paquets UDP
peuvent traverser les dispositifs NAT, contrairement aux paquets IPv6 sur IPv4
● Permet de fournir automatiquement la connectivité IPv6 à un terminal situé derrière

un NAT
– RFC 4380 (Christian Huitéma, INRIA dans les années 80s)
● http://www.ietf.org/rfc/rfc4380.txt
● Format des adresses
– Préfixe (de test pour le moment):
● 3FFE:831F::/32 + adresse IPv4 du serveur Teredo
– Identifiant:
● adresse IPv4 et numéro de port (en sortie de NAT) du client Teredo
202
Tunnel Broker
● Serveur de tunnels (IPv6 dans IPv4)
● Permet de fournir la connectivité IPv6 à des équipements/réseaux locaux isolés dans
Internet v4
– Architecture client/serveur
– Protocole TSP
. Connexion au broker
. Configuration du tunnel Tunnel Server / Terminal
. Envoi du script configuration du tunnel Terminal / Tunnel Server
. Communication IPv6
203
TSP
● Tunnel Setup Protocol
● Permet la négociation automatique et transparente

– mécanisme d'authentification utilisateur utilisé
– type d'encapsulation utilisée :
. IPv4 dans IPv6, IPv6 dans IPv4, IPv6 dans UDP IPv4
– Traversée de NAT
● Découverte de NAT
● Envoi de message UDP avec adresse du terminal
● Si différente de l'adresse source > NAT
– adresse IPv6 assignée lorsque le client TSP est un terminal
– préfixe IPv6 alloué lorsque le client TSP est un routeur
– l'enregistrement DNS dans le cas d'un terminal
– la résolution DNS inverse dans le cas d'un routeur
204
AVANCEES: IPv6
Chapitre I. INTRODUCTION A IPv6


VII.1 Situation de base
VII.2 Sécurité dans un environnement de transition
205

Introduction
Les vunérabilités persistantes

 Sniffing toujours possible
 Protocoles de routage quasiment inchangés
 Scans toujours possible (nmap supporte IPv6 depuis 2002)
 Worms et Virus
 TCP/UDP restent les mêmes, avec les conséquences que cela entraine (attaques
RST, SYN flood, etc)
 Attaques Man-in-the-middle
 Fragmentation toujours disponible (attaques, évasion d'IDS) même si restreinte
au niveau de l’émetteur
 Flooding
206
IPSec dans IPv6

 La mise en œuvre de la sécurité permet de garantir:
 la confidentialité des données (cryptage du trafic).
 L'intégrité des données.
 L'authentification de l'origine des données (les points qui communiquent).
 La protection de la communication contre des attaques Replay (le rejeu).
 Cette sécurité permet de se prémunir

 du "sniffing",
 du "spoofing",
 des attaques "man in the middle", etc.
 Les mécanismes d’IPSec sont intégrés à IPv6 sous la forme de deux extensions:
 extension d'authentification (Authentification Header: AH) garantissant
l'authentification de l’utilisateur et l'intégrité des données (RFC 2402).
 extension de confidentialité (Encapsulating Security Payload: ESP) garantissant
la confidentialité, l'intégrité et l'authentification (RFC 2406).
207
IPSec dans IPv6

IPSec fournit deux modes:
- mode Transport
- mode Tunnel
Réseau 1 Réseau 2
Internet
208
IPSec dans IPv6

 Mode Tunnel
Réseau Réseau
Local 1 Local 2
Internet
 Mode intermédiaire
Réseau 2
Réseau
Internet Local
209
IPSec dans IPv6

 Association de sécurité
 Négociation du type de sécurité à utiliser (algorithmes et clés de chiffrement, de

hachage, …).
 Une SA est identifiée par un indice de paramètre de sécurité (Security Parameters

Index), l'adresse IP du destinataire et le protocole de sécurité (AH ou ESP).
 Une SA contient:
 en fonction du type de sécurité: les algorithmes d'authentification, de
chiffrement, les clés de chiffrement.
 la durée de vie de l'association.
 Le mode IPSec utilisé (transport, tunnel).
 Le SPI doit toujours être mentionné dans les extensions de sécurité.
210
VII.2 Sécurité dans un
Chapitre VII : IPv6 ET SECURITE environnement de transition

Les vunérabilités nouvelles
 Protocole NDP (Neighbour Discovery Protocol)
 Protocole non sécurisé
 n'importe qui peut envoyer des paquets pour essayer de se faire passer pour
un routeur.
 Auto-configuration sans-état
 Traçage possible des machines car les 64 bits de l’hôte sont déduits de son
adresse MAC (facilitant un changement de préfixe)
 En-tête d’extension de routage

 Certains systèmes d’exploitation interprétaient par défaut cette extension
(respectueux de la RFC 2640, comme FreeBSD, NetBSD ou OpenBSD),
 des systèmes d’exploitation refusent tout paquet l’utilisant, estimant que
cette extension n’est pas justifiée (Microsoft Windows XP SP2 et Vista).
211

Solutions: CGA
 Cryptographically Generated Addresses (RFC 3972)
 Définit un procédé pour associer une adresse IPv6 à une clé cryptographique
publique
– Générer une adresse IPv6 lié au hash de la clé publique
– Vérifier l'association entre la CGA et la clé publique
– Signer les messages envoyé depuis la CGA, et vérifier la signature
212

Solutions: SEND
 Secure Neighbour Discovery (RFC 3971)
 défini pour pallier les failles de ND.
 Un système de certificats, permettant de valider les annonces d'un routeur, en suivant
un chemin de certificats signés
 l'annonce du routeur n'a pas besoin d'inclure tous les certificats du chemin, des
nouveaux messages NDP permettent au récepteur de demander les certificats qui
lui manquent
 Adresses cryptographiques, les CGA, permettent de s'assurer que l’hôte qui répond aux
requêtes Neighbor Discovery est bien le « propriétaire » de l'adresse.
 Donc, contrairement aux annonces des routeurs, SEND n'utilise pas de certificat
pour authentifier les simples machines.
Nouvelle option NDP: RSA signature, permet de vérifier l’intégrité du message.
 La clé publique utilisée pour la signature est récupérée, soit par les certificats, si
l'émetteur est un routeur, soit, pour le cas de CGA par une autre option qui
permet d'inclure cette clé dans les messages.
 Un champ Timestamp pour contrer les attaques de type Replay
 implémentation testée sur systèmes Linux (noyau 2.6) et FreeBSD (5.4)
213

Solutions: Les firewalls
● La plupart des équipements réseaux et pare-feux logiciels gèrent l'IPv6 maintenant

(Cisco, Juniper, ip6tables, pf, pare-feu Windows XP/Vista)
● A priori, pas de changements notoires dans la politique de sécurité

– les flux restent identiques
– Ce qui est filtré en Ipv4 sera filtré en IPv6, il faudra juste tenir compte des nouveautés
● Nécessite une traduction rigoureuse des ACL existantes
● Depreciation du Type 0 de l’en-tete Routing d’IPv6 [RFC 5095]

-Linux: option sysctl net.ipv6.conf.all.accept_source_route = 0
- IOS CISCO : commande no ip source-route
214

Solutions: Filtrage et Pare-feux
 Filtrage de base
 ingress filtering : filtrer les paquets qui ont une adresse source correspondant à notre
propre réseau, mais qui arrivent sur l'interface extérieure du routeur (tentative d'IP
Spoofing)
 Rejeter les paquets dont l'adresse source n'est pas Unicast ou est non-attribuée.
 Il est plus simple d'accepter les adresses IP Unicast valides que de rejeter les
adresses IP invalides
– Exception de 2001:db8::/32 (préfix réservé à des fins documentatives)
– http://www.iana.org/assignments/ipv6-unicast-addres
215

 Filtrage de certains messages ICMPv6
 Politique de filtrage des messages ICMPv6 équivalente à la politique des messages
ICMPv4 pour les paquets équivalents.
Type ICMPv6 Politique de filtrage Descriptions et Commentaires

recommandée
1 Autorisé partout Destination inaccessible
2 Autorisé partout Paquet trop grand: paquet nécessaire à la gestion de la

fragmentation
3 Autorisé partout Temps excédé
4 Autorisé partout Problème de paramètre
128 et 129 Autorisé sauf si bloqué en Demande d'écho (128), Réponse d'écho (129): Le risque de
IPv4 scan avec ces paquets est bien plus réduits qu'en IPv4
130-132, 143, Autorisé sur le LAN Messages MLD: adhésion à un groupe multicast IPv6
et 151-153 uniquement Multicast Router Advertisement (151)., Multicast Router
Solicitation (152), Multicast Router Termination (153)
133-136 Autorisé sur le LAN Découverte de voisinage
uniquement
216

 Filtrage de certains messages ICMPv6
Type ICMPv6 Politique de filtrage Descriptions et Commentaires
recommandée
138 A bloquer sauf si besoin Ces messages peuvent servir à redéfinir les préfixes
spécifique réseaux au niveau routeur
139-140 A bloquer sauf si besoin Ces messages sont utilisées pour demander le nom
spécifique attribué à un hôte en s'adressant directement à l’hôte (et
en ne passant donc pas par le DNS)
141-142 Autorisé sur le LAN Sollicitation (Inverse Neighbor Discovery Solicitation
uniquement Message (141)) / Annonce (Inverse Neighbor Discovery
Advertisement Message (142))
144-147 Autorisé si besoin mobilité Ces messages sont utilisés pour la mobilité physique au
IPv6 sein du réseau IPv6
148-149 Autorisé sur le LAN Ces messages servent au protocole SEND
uniquement
154-199 A bloquer sauf cas Messages d'erreurs non définis par l'IANA. Ils peuvent
202-254 spécifique éventuellement être utilisés par des applications
spécifiques, mais également être utilisés pour encapsuler
des données.
Par défaut Bloquer
217

Solutions: Routeurs - les ACL
 Configurer des Access-lists
Router1# configure terminal
Router1(config)# ipv6 access-list v6test
Router1(config-ipv6-acl)# permit ipv6 host 2001:4318:2:CAFE:3::1 any Par adresse IPv6 de
Router1(config-ipv6-acl)# permit ipv6 host 2001:4318:2:CAFE:34::3 any machine
Router1(config-ipv6-acl)# permit ipv6 host 2001:4318:2:CAFE:37::3 any
Router1(config-ipv6-acl)# exit
Router2(config)#ipv6 access-list myNetwork Par bloc d’adresses

Router2(config-ipv6-acl)#permit 2001:4318:2:CDA0::/64 any
Router2(config-ipv6-acl)#permit 2001:4318:2:CAFE::/64 any IPv6
 Applying Access Lists to your interfaces

- En IPv4 , la commande pour appliquer une access-list à une interface était
ip access-group <access-list_number_or_name> <in|out>.
- Celle utilisée en IPv6 est
ipv6 traffic-filter.
Router1(config)# interface FastEthernet1

Router1(config-if)# ipv6 traffic-filter v6test in
Router2(config)# interface FastEthernet2
Router2(config-if)# ipv6 traffic-filter myNetwork in 218

 Contrôler le type d’implémentation d’IPv6
– Bloquer dans les deux sens tous les paquets IPv4 qui contiennent la valeur «41» dans le
champ Protocole de l'en-tête IPv4. Cela bloquera les tunnels
basés sur le protocole 6to4, ISATAP, et 6over4.
 ACL Cisco (à appliquer en in et out) : IPv6 access-list X deny 41 any any [log]
– Bloquer dans les deux sens le port UDP 3544. Cela bloquera les tunnels basés sur
Teredo. Teredo est dangereux, si le source routing est activé sur le client (il est
généralement désactivé sur les routeurs), un client Teredo pourra être amené à relayer
des paquets.
 ACL Cisco (à appliquer en in et out) : IPv6 access-list X deny UDP any any eq 3544 [log]
219

 Contrôler le type d’implémentation d’IPv6
● NDPMon : Permet de surveiller les trames du protocole Neighbour Discovery

● Ntop : donne des informations sur le trafic réseau
● TCPDump / Wireshark : sniffing de trames
● Netcat6 : version IPv6 de netcat
● IP6Sic : version IPv6 de ISIC, qui test une pile réseau en envoyant une multitudes de
paquets.
● Nessus : Supporte l'IPv6 à partir de la version 3.2
● Nmap : Supporte IPv6 depuis longtemps
220
Autoriser le ping sous windows
221
222
223
224
225
226
227

Cours

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Cours

Caricato da

Copyright:

Formati disponibili

Support de cours

 épuisement des adresses IP publiques dû à la planification de l’adressage en classes a

 pas de sécurisation native des données pour IPv4

Adressage privé (RFC 1918) & NAT (Network Address Translation)

 Appel à la restitution de blocs d’adresses inutilisés à l’IANA (RFC 1917)

 Impossibilité de réutilisation du bloc réservé

 Derniers blocs distribués le 3 Février 2011 aux RIR

RIR Espace disponible Date d'épuisement

Comment nous consommons le reste http://www.potaroo.net/tools/ipv4/index.html

la demande en adresse IPv4 peut faire augmenter son prix

Les adresses IPv4 deviennent plus chères

Un marché noir d’adresse IPv4 voit le jour

Ultime solution de l’IETF

Ultime solution de l’IETF

Principales modifications d’IP

 Infrastructure d'adressage et de routage efficace et hiérarchique

Principales modifications d’IP

 Meilleur support pour QoS

Principales modifications d’IP

 Sécurité intégrée : IPSec est une exigence

 Nouveau protocole pour l'interaction de nœuds voisins

 Gestion aisée et efficace de la mobilité IP

 Fonctionne sur la même infrastructure physique

 Une trame de couche liaison contenant un paquet IPv6 présente :

- Pour l'encapsulation IEEE

 Duration/ID indique la durée d'utilisation du canal

I.5.1 Au niveau des applications et des systèmes d’exploitation

I.5.1 Au niveau des applications et des systèmes d’exploitation

I.5.1 Au niveau des applications et des systèmes d’exploitation

 De nombreuses applications supportent IPv6:

I.5.2 Au niveau des routeurs

- Représenté sur 4 bits

 identifie les différents types de trafics.

- La nature du traitement spécifique doit être transmise aux routeurs à l'aide :

- Un paquet ayant un champ Flow Label=0 n'est associé à aucun flot.

Le champ HOP LIMIT

1 ICMPv4 51 Authentication Header

6 TCP 59 No Next Header

17 UDP 60 Destination Options Header

41 Encapsulated IPv6 Header 88 IGRP

43 Routing header 89 OSPF

44 Fragment Header 135 Mobilité 41

Les champs Source and Destination Address (16 octets)

 Plusieurs façons de représenter les adresses IPv6

 Représentation des adresses IPv6 : forme abrégée

- L'adresse IPv6 compatible IPv4

- L'adresse IPv4 mappée

 L’en-tête d’extension de proche en proche (Hop-by-Hop)‫‏‬, code 0

 Les options peuvent être traitées :

 La taille des en-têtes optionnels est exprimée en unités de 8 octets.

 Next Header (1 octet) : identifie le prochain en-tête.

Les options de l'en-tête “Hop-by-hop options”

- Option Type (1 octet) : identifie le type de l'option

Les options de l'en-tête “Hop-by-hop options”

Les options de l'en-tête “Hop-by-hop options”

 Pad1 : option type =0

 Padn : option type =1

Les options de l'en-tête “Hop-by-hop options”

. Next Header (1 octet) : identifie la prochaine entête.

. Hdr Ext Len (1 octet) : 2 fois le nombre de champs Address ( 46)

 L'entête Routing de type 0

L’option de routage de type 2 (Routing Header Type 2) de l’extension de routage permet de