Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TECHNOLOGIES INTERNET
AVANCEES: IPv6
Dr Lambert KADJO 1
www.kadjo-lambert.c4.fr
TECHNOLOGIES INTERNET
AVANCEES: IPv6
6DISS (http://www.6diss.org)
Bibliographie 6Bone(http://www.6bone.net)
IPv6 Forum (http://www.ipv6forum.com) 6NET (http://www.6net.org)
IPv6 Task Force (http://www.ipv6tf.org) Euro6IX (http://www.euro6ix.org)
Moonv6 (http://moonv6.sr.unh.edu)
Caida (http://www.caida.org)
Network exchange points for IPv6 (http://www.napv6.net)
IPv6.org (http://www.ipv6.org)
IPv6 Style (http://www.ipv6style.jp/en/index.shtml) IANA http://www.iana.org/assignments/ipv6-address-space
Sixxs (http://www.sixxs.net) AFRINIC http://www.afrinic.net
G6 (http://www.point6.net) APNIC http://www.apnic.net/docs/drafts/ipv6/ipv6-policy-280599.html
ARIN http://www.arin.net/registration/ipv6/
Apple Mac OS http://developer.apple.com/macosx/
LACNIC http://www.lacnic.net
BSD http://www.kame.net
RIPE http://www.ripe.net/ripe/docs/ipv6-policy.html
IBM http://www-306.ibm.com/software/os/zseries/ipv6/
Linux http://www.bieringer.de/linux/IPv6/status/IPv6+Linux-status-distributions.html
Microsoft http://www.microsoft.com/ipv6 Cours de Réseaux, Bernard COUSIN, Université de Rennes 1
Novell http://www.sun.com/software/solaris
Gaël Beauquin, IPv6 : sécurité - La sécurité dans une transition vers IPv6, CNRS UREC ,
Symbian http://www.symbian.com http://www.urec.cnrs.fr/IMG/pdf/secu.articles.Archi.Securite.IPv6.pdf
BORTZMAYER, http://www.bortzmeyer.org/3971.html
AFRINIC Stats http://www.afrinic.net/statistics/index.htm
IANA Stat http://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml
ICANN Stats and docs http://aso.icann.org/category/documents/
OUI Numbers http://standards.ieee.org/regauth/oui/oui.txt
SIXXS Stats http://www.sixxs.net/tools/grh/dfp/all/?sort=country
http://www.sixxs.net/misc/coolstuff/
V6FICATIONS http://www.deepspace6.net/docs/ipv6_status_page_apps.html
Dr Lambert KADJO 2
www.kadjo-lambert.c4.fr
TECHNOLOGIES INTERNET
AVANCEES: IPv6
Chapitre I. Protocoles
Chapitre II. PLAN D’ADRESSAGE IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES ET
CONTROLE
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
Chapitre IV. SUPPORT DNS EN IPv6
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/
MIGRATION
3
www.kadjo-lambert.c4.fr
TECHNOLOGIES INTERNET
AVANCEES: IPv6
Dr Lambert KADJO 4
www.kadjo-lambert.c4.fr
Chapitre I. PROTOCOLES I.1 Problèmes d’IPv4 et tentatives
de résolution (7/8)
Quelques problèmes
Avec l’explosion de l’Internet, l’adressage IPv4 est confronté à plusieurs problèmes :
Gaspillage d’adresses dans les classes A et B dans des réseaux peu volumineux
- une adresse réseau de la classe A 224-2= 16 777 216 -2 adresses d’hôte
- une adresse réseau de la classe B 216-2= 65 536 -2 adresses d’hôte
Tentatives de résolution
Notion de sous-réseau
- utilisation du CIDR (Classless Inter-Domain Routing) : Allocation sur la base du besoin réel!
Problèmes persistants
explosion des tables de routage (plus de 150 000 routes dans l’Internet IPv4)
lourdeur dans la gestion des adresses : pas d’auto configuration, tenir à jour
une base d’adresses IP attribuées
Gestion toujours inefficace et difficile de la mobilité IP
7
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.1 Problèmes d’IPv4 et tentatives
de résolution (7/8)
Problèmes persistants
8
Chapitre I. PROTOCOLES I.1 Problèmes d’IPv4 et tentatives
de résolution (7/8)
Problèmes persistants
9
Chapitre I. PROTOCOLES I.1 Problèmes d’IPv4 et tentatives
de résolution (7/8)
Problèmes persistants
10
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.1 Problèmes d’IPv4 et tentatives
de résolution (7/8)
Problèmes persistants
Conséquences
12
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.1 Problèmes d’IPv4 et tentatives
de résolution (8/8)
IPv6
L'IETF a proposé cette nouvelle version du protocole IP en 1995 (RFC
1883) puis le standard IPv6 en 1998 (ou IPng - ng pour "Next Generation",
RFC 2460) en prenant en compte de nouveaux besoins tels que :
la voiture, le frigo, la cafetière, etc.
la sécurité,
le multicast,
les classes de service
13
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.1 Problèmes d’IPv4 et tentatives
de résolution (8/8)
Simplification de l'entête :
- transfert des champs non essentiels et facultatifs dans des en-têtes d'extension placés après l'en-
tête IPv6
diminue le surcoût (“overhead”) : temps de traitement et quantité de données 15
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.2 Fonctionnalités d’IPv6
(2/3)
- Pour simplifier la configuration d'hôtes, IPv6 prend en charge la configuration d'adresses avec état,
telle que la configuration d'adresses en présence d'un serveur DHCP, et la configuration d'adresses
sans état (configuration d'adresses en l'absence d'un serveur DHCP).
- Avec la configuration d'adresses sans état, les hôtes sur une liaison se configurent automatiquement
avec des adresses IPv6 pour la liaison (adresses lien-local) et avec des adresses dérivées de préfixes
annoncés par des routeurs locaux.
16
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.2 Fonctionnalités d’IPv6
(3/3)
Capacités d’extension
17
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.3 Paquets IPv6 sur support de
réseau local
18
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.3 Paquets IPv6 sur support de
réseau local
Encapsulation Ethernet II
- les paquets IPv6 sont indiqués en attribuant au champ EtherType de l'en-tête Ethernet II, la valeur
0x86DD (IPv4 est indiqué en attribuant au champ EtherType la valeur 0x800).
- les paquets IPv6 peuvent avoir une taille minimale de 46 octets et une taille maximale de 1 500
octets.
19
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.3 Paquets IPv6 sur support de
réseau local
I.4.2 Encapsulation IEEE 802.3, IEEE 802.5 et FDDI
- Sur les réseaux IEEE 802.3
(Ethernet), IEEE 802.5 (Token
Ring) et FDDI, l'en-tête SNAP
(Sub-Network Access
Protocol) est utilisé et le
champ EtherType prend la
valeur 0x86DD pour indiquer
IPv6.
20
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.3 Paquets IPv6 sur support de
réseau local
I.4.3 Encapsulation IEEE 802.11 utilisant SNAP
FC (Frame Control) : Version de protocole (2), Type
(2 ), Sous-type (4 ), To DS (1), From DS (1), More
Fragments (1), Retry (1), Power Management (1),
More Data (1), WEP (1), Order (1)
21
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.4 Etat de l’implémentation
24
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.4 Etat de l’implémentation
CISCO
JUNIPER
OmnisSwitch ALCATEL
25
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.4 Etat de l’implémentation
Quelques stats
http://ipv6-test.com/stats/
26
Chapitre I. PROTOCOLES I.4 Etat de l’implémentation
Quelques stats
27
Chapitre I. PROTOCOLES I.4 Etat de l’implémentation
Quelques stats
28
Chapitre I. PROTOCOLES I.4 Etat de l’implémentation
Quelques stats
29
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Principales modifications au niveau de l’en-tête IP
30
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Principales modifications au niveau de l’en-tête IP
31
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Description des champs de l’en-tête IPv6
Le champ VERSION
- Code:
4 : “Internet Protocol” - IPv4 (rfc 781) : septembre 1981.
5 : “Stream Protocol” ST-II, ST2+ (RFC 1190, RFC 1819)
6 : “Internet Protocol new Generation”(RFC 1883) - IPv6 (RFC2460) : décembre 1995.
32
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Description des champs de l’en-tête IPv6
Le champ TRAFFIC CLASS
Champ représenté sur 8 bits
– La RFC 2597 [7] standardise les PHB Assured Forwarding (AF). Ces PHB correspondent à la définition de 4
classes AFi où 1 ≤ i ≤ 4, classées par ordre de priorité croissante. Chaque classe dispose de 3 niveaux de
drop precedence ou probabilité de suppression. On note un PHB AF sous la forme AFij où 1 ≤ j ≤ 3. Pour
une classe i donnée, plus la valeur de j est grande, plus la probabilité que le paquet soit détruit, en cas
de congestion, est élevée. Les nœuds qui supportent les classes AF doivent limiter la congestion sur le
long terme en détruisant des paquets mais autorisent des congestions de courte durée provenant de
bursts en retardant des paquets.
– Le code DSCP EF (pour Expedited Forwarding), défini dans la RFC 3246 [8], correspond au PHB attendu
pour le traitement de paquets nécessitant un service de bout en bout avec peu de pertes, de latence et
de gigue. Un paquet marqué avec la valeur EF doit être expédié le plus rapidement possible. Il ne doit
être retardé que par l'acheminement d'autres paquets EF qui le précédent.
35
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Description des champs de l’en-tête IPv6
Le champ TRAFFIC CLASS
-Les classes sont utilisées en premier pour déterminer la priorité
- Le RFC 2597 définie la valeur Assured forwarding (AF) et le mécanisme de gestion des classes
les bits DS5, DS4 et DS3 définissent la Classe de trafic : les 3 bits codent le 1er chiffre du n° AF
les bites DS2 et DS1 définissent la probabilité de suppression: les 2 bits codent le 2ème chiffre du n° AF
le bit DS0 est mis à 0
Probabilité de Suppression Class 1 Class 2 Class 3 Class 4
Low 001 010 010 010 011 010 100 010
AF11 AF21 AF31 AF41
DSCP 10 DSCP 18 DSCP 26 DSCP 34
Medium 001 100 010 100 011 100 100 100
AF12 AF 22 AF32 AF42
DSCP 12 DSCP 20 DSCP 28 DSCP 36
High 001 110 010 110 011 110 100 110
AF13 AF23 AF33 AF43
DSCP 14 DSCP 22 DSCP 30 DSCP 38
Le RFC 2474 ne spécifie pas le message d’erreurs envoyé par les routeurs pour les trois derniers bits de
DSCP 36
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Description des champs de l’en-tête IPv6
Le champ TRAFFIC CLASS
iptables -t mangle -A FORWARD -p tcp --dport 80 -j DSCP --set-dscp 1
iptables -t mangle -A FORWARD -p tcp --dport 80 -j DSCP --set-dscp-class EF
Classe de Service DSCP
RFC 4594 définit Network Control CS6
Telephony EF
Signaling CS5
Multimedia Conferencing AF41, AF42, AF43
Real-Time Interactive CS4
Multimedia Streaming AF31, AF32, AF33
Broadcast Video CS3
Low-Latency Data AF21, AF22, AF23
OAM (Operation Administration and Maintenance) CS2
High-Throughput Data AF11, AF12, AF13
Standard DF (CS0)
Low-Priority Data CS1 37
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Description des champs de l’en-tête IPv6
Le champ FLOW LABEL
champ de 20 bits :
Un flot l'ensemble des paquets équi-étiquetés en provenance d'un même nœud.
L'utilisation du champ “Flow label” peut être d'utilisation plus souple que le
champ “Class of service”
Mais :
Dépendant de l'implémentation dans les routeurs.
Dépendant de l'utilisation de protocoles supplémentaires (RSVP) ou d'options
d‘IPv6 pour établir les flots.
L'interprétation du champ Flow label est optionnelle.
Flow label + @IP source + @IP Destination = 1 flot
38
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Description des champs de l’en-tête IPv6
Le champ FLOW LABEL
- Tous les paquets d'un même flot doivent subir les mêmes traitements au sein des routeurs :
les paramètres des paquets d'un même flot doivent être identiques (adresses, Class, options
de l'entête Hop-by-hop, champs de l'entête Routing)
- Ces traitements peuvent être optimisés en utilisant le Flow Label et l'adresse source comme une
clef d'accès à un descripteur :
accès rapide, pré-traitement, etc.
4 IPv4 58 ICMPv6
42
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
Description des champs de l’en-tête IPv6
Les champs ADDRESS
Exp :
0010 0000 0000 0001 0001 0000 1100 0011 1110 0011 1100 0011 1111 0001 1010 1010
2001:10c3:e3c3:f1aa:48e3:d923:d494:aaff
0100 1000 1110 0011 1101 1001 0010 0011 1101 0100 1001 0100 1010 1010 1111 1111
45
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Définition
La partie fixe de l'en-tête peut être suivie par un nombre quelconque d'en-têtes
optionnels.
Chaque en-tête (optionnel ou fixe) contient un champ “Next header”.
Un chaînage entre les en-têtes est établi à travers le champ “Next header”.
Le dernier en-tête décrit le type de protocole chargé du champ de données qui le
suit. Dans ce cas, le champ “Next Header” correspond exactement au champ
“Protocol Type” de IPv4.
46
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Définition
47
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Ordonnancement des en-tetes
49
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Traitement des en-tetes
50
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'en-tête “Hop-by-hop options”
Next Header = 0.
Informations examinées par chaque nœud situé sur le chemin du paquet.
Les options se succèdent toutes dans le champ Options de l'en-tête optionnel Hop-by-hop.
52
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
53
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
- Pour des paquets de données dont la taille dépasse 65535 octets (et < 4 Go !).
- Requiert un alignement en frontière de 4n+2.
- Jumbo Payload Length = longueur du paquet en octets à l'exclusion de l'entête IPv6
mais en incluant les entêtes optionnelles y compris l'entête Hop-by-hop.
- Le champ Payload Length de l'entête IPv6 est mise à zéro.
- La présence de l'option Jumbo Payload de l'en-tête Hop-by-hop exclut celle d'un
en-tête Fragmentation.
Option invalide (longueur) ou incompatible (en-tête Fragment) :
message ICMP code 0 (Parameter problem) 55
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'entête Routing
Next header = 43.
informations examinées par chaque destinataires intermédiaires.
L'en-tête Routing
58
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'en-tête Routing
L'entête Routing de type 0
Ex,
59
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'en-tête Routing
L'entête Routing de type 2
Par exemple, dans la mobilité IPv6, le nœud correspondant peut spécifier dans cet en-tête
d’extension, la HoA du nœud mobile et insérer dans le champ Destination Address de l’en-
tête IPv6, la CoA de ce même nœud mobile. A la réception, ce dernier substitue son
adresse CoA par sa HoA contenue dans l’extension. Cela permet d’éviter les conséquences
de l’encapsulation.
60
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'entête Fragment
Next header = 44.
Transmettre des paquets plus grands que le MTU du chemin.
La segmentation n'a lieu qu'à l’émetteur et le réassemblage n'a lieu qu'au récepteur.
63
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'entête Fragment
. Le dernier fragment :
- contient un bit M = 0.
- permet de recalculer la taille utile du paquet initial.
. Calcul de la longueur utile du paquet initial.
. Calcul et vérification que tous les fragments sont présents.
. Reconstitution du paquet initial.
la longueur utile du paquet initial < 65535 octets.
64
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'entête Fragment
- Si un nœud veut utiliser une longueur supérieure à 1500 octets, il doit auparavant
s'être assurer que le destinataire le tolère.
66
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'entête Fragment
Exemple 1456 = 8 octets (en-tête de fragmentation + 1448 octets de fragment des 3408 octets)
67
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
L'entête Fragment Description des en-tetes d’extension
Exemple 1456 = 8 octets (en-tête de fragmentation + 1448 octets de fragment des 3408 octets)
68
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
L'entête Fragment
Exemple
520 = 3408 – 2 x 1448 +8 = 8 octets (en-tête de fragmentation + 512 octets de fragment restant 69
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L'entête Destination Options
Par exemple, dans la mobilité IPv6, cette option peut contenir la HoA du mobile lorsque le
mobile s’adresse directement à un correspondant. Ce dernier devra substituer la CoA
contenue dans le champ Source Address de l’en-tête du paquet IPv6 par l’adresse HoA du
mobile afin de maintenir les sessions précédentes.
71
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
En-têtes de sécurité
IPv6 introduit deux services de sécurité :
- L'authentification (rfc 1826)
- La confidentialité (rfc 1827)
La confidentialité assure que les infos protégées ne seront pas lus par des tiers.
AH en mode Transport
AH en mode Tunnel
Next Header = 62
75
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
Exemple l’entête ESP et le chiffrement DES
Exemple : DES-CBC (Data Encryption Standard) par défaut.
. Synchronization data :
- données initiales pour le procédé de calcul
- par un générateur aléatoire
- rendre + difficile le décodage
. Payload data : les données chiffrées
. Padding : le bourrage
. Payload type : précise le type des données (par ex. TCP)
76
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.5 Format général du paquet
IPv6
En-tête d’extension
Description des en-tetes d’extension
L’en-tête de chiffrement ESP
77
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
ICMPv6
• Couvertures de dispositifs ICMP (v4):
Contrôle d’erreurs, Administration, …
79
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
ICMPv6
80
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
ICMPv6
81
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
ICMPv6
82
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
ICMPv6
Avec IPv6 les routeurs ne doivent plus fragmenter les
Découverte du Path MTU paquets qui sont transmis. Le MTU minimum doit être
de 1280 pour un lien souhaitant supporter IPv6
La nécessité d’adapter la taille des paquets à transmettre pour un flot important de
données existe quand même. Si elle n’est pas réalisée par les routeurs, la fragmentation
doit donc se faire à la source.
Un algorithme de découverte permet de connaître la taille optimale des paquets à
transmettre est appelé Path MTU Discovery et est décrit dans le [RFC1981]:
1. Le nœud source considère que le MTU du chemin considéré est égal au MTU du
premier saut de ce chemin.
2. Envoi d’un paquet à la destination.
3. Si réception d’un message ICMPv6 de type Packet To Big, la source réduit le MTU
courant. Retour à l’étape 2.
4. Si pas de réponse de la destination, retourne à l’étape 2.
5. Si réponse de la destination, le MTU du chemin est le MTU courant.
Sur certains liens, le MTU peut varier au cours de la communication. S’il diminue, la
détection de la variation sera détectée par la réception d’un message ICMPv6 de type
Packet To Big. Afin de tirer partie d’une augmentation de MTU, la source réeffectuera
l’algorithme à intervalles réguliers. 83
84
• => pas applicable aux réseaux NBMA (ATM, Frame Relay, ..) car ND utilise le
multicast
85
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
Neighbor Discovery (RFC 4861)
ND définit 5 types de paquets ICMP:
● Router Advertisement (RA): annonce périodique qui contient:
- Liste des préfixes utilisés sur le lien
- Valeur possible du « nombre de sauts »
- Valeur du MTU
● Router Solicitation (RS)
- l'hôte veut un RA immédiatement
86
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Router Solicitation (RS)
Option
(Adresse physique de la source)
• Au moment du démarrage, les nœuds envoient des sollicitations de routeur pour recevoir
promptement des annonces de routeur
RS
1
87
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
Neighbor Discovery (RFC 4861)
• Les routeurs envoient périodiquement des RA à l'addresse
Router Advertisement (RA) multicast ''tous les noeuds‘’
RA
RS
1 2
88
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Router Advertisement (RA)
89
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
Neighbor Discovery (RFC 4861)
Neighbor Solicitation (NS)
Repose sur un cache associant une adresse IPv6 et une adresse MAC
- rafraichissement automatique des informations en sollicitant les voisins
(s'il y a des données a envoyer)
- type : routeur ou machine
- temps écoulé depuis le dernier NA ou RA
- état : incomplète (pas de réponse), reachable (joignable), stale (perime), probe (sonde),...
90
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Neighbor Solicitation (NS)
Option
(Adresse physique de la source)
Option
(Adresse physique de la source)
A B
- B reçoit la sollicitation
- B envoie un Neighbor Advertisement
en unicast
@IPv6 = FE80::E860:6E48:DCBB:5218 @IPv6 = FE80::C800:8FF:FEEC:0
- A met à jour son cache
@MAC = 00:1F:E1:D8:05:1A @MAC = CA:00:08:EC:00:00
C
92
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
Neighbor Discovery (RFC 4861)
Redirection A B
Code=0
Src. IP = 2001:4318:2:1::1
Type=137 Checksum
Dest. IP = 2001:4318:2:2::1 C
Réservé
2001:4318:2:2::1
Adresse IPv6 de la cible
Redirect:
Src = @LL de R2
Dst = @A
Data = meilleur routeur = @R1
Adresse IPv6 de destination Destination IP: 2001:4318:2:2::1 (pc-C)
Option (Type 2): Cible =@MAC de R1
Option
(Adresse physique de la cible, En-tête rédirigé)
93
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. PROTOCOLES I.6 Nouveaux protocoles:
ICMPv6, NDP, MLD
MLD
Protocole d’interaction entre le(s) routeur(s)
multicast du LAN et les hôtes multicast du
LAN
Equivalent à IGMPv2 …. APPLICATION ..….
94
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Exemple: Message MLDv2
TCP UDP
95
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
TECHNOLOGIES INTERNET
AVANCEES: IPv6
Chapitre I. Protocoles
Chapitre II. PLAN D’ADRESSAGE IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES ET
CONTROLE
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
Chapitre IV. SUPPORT DNS EN IPv6
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/
MIGRATION
96
www.kadjo-lambert.c4.fr
Chapitre II. PLAN D’ADRESSAGE II.1 Adressage IPv6
IPv6
Représentation des masques de réseau
Leur notation classique comme en IPv4 est impossible avec 128 bits, c'est donc la notation CIDR
(Classless Inter-Domain Routing), plus simplement appelée notation "slash" qui est utilisée.
Le préfixe d’une adresse IPv6 est donc représenté par la notation suivante :
adresse-ipv6/longueur-de-préfixe.
Exemple : l'adresse fe80::20d:61ff:fe22:3476/64 a un masque de 64 bits , masque par défaut pour une
adresse de type lien-local.
97
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE IPv6 II.2 Différents types d’Adresse
IPv6
Généralités
Il existe 3 types d’adresses IPv6: adresses unicast, adresses anycast et adresses multicast
Adresses unicast
Identifie une et une seule interface d’un nœud IPv6
Peut être utilisé comme source et destination d'un paquet
Une interface peut avoir plusieurs adresses IPv6 valides
98
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses unicast globales agrégées
Les adresses unicast globales agrégées équivalent à des adresses IPv4 publiques. Elles sont
globalement routables et accessibles sur la partie IPv6 d'Internet.
Le préfixe de routage global est une valeur assignée à un site (cluster de sous-réseaux et de liens)
L'adressage IPv6 est structurée en plusieurs niveaux selon un modèle hiérarchique dit « agrégé ».
permet une meilleure agrégation des routes et une diminution de la taille des tables de
routage.
Le plan d'adressage hiérarchisé en trois niveaux a été défini pour les adresses IPv6:
99
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses unicast globales agrégées
Le niveau "public" (Global Routing prefix) utilise 48 bits. Cette topologie publique est regroupe
l’IANA, le RIR, le LIR, l’ISP.
Le niveau "interface" (Interface ID) utilise 64 bits (toutes les adresses unicast global sauf celles
commençant par la valeur binaire 000 )
- c’est l'identifiant unique de l'interface sur le réseau.
- sur les réseaux Ethernet, il est généralement fabriqué à partir de l´adresse MAC, mais il peut
également être généré aléatoirement pour des raisons de confidentialité 100
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses unicast globales agrégées: allocation
101
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses unicast globales agrégées: allocation
/48
/3 /12 /32 /56 /64 128
2000::/3
/48
/20 /32 /64 128
/56
/48
/23 /32 /56 /64 128
/48
/12 /32 /56 /64 128
Reference: 103
RFC3177 (IAB/IESG Recommendations on IPv6 Address Allocations to Sites)
**http://aso.icann.org/docs/aso-global-ipv6.pdf
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses Site local
- Les RFC successifs sur l'adressage IPv6 prévoyaient des identificateurs « site-local », spécifiques à un
site, dans le préfixe FEC0::/10 (RFC 3513, section 2.5.6, ce RFC a été remplacé par le RFC 4291). Toute
organisation pouvait piocher librement dans ces adresses, tout en faisant attention à ne pas les laisser
sortir de son site. Cela a permis à beaucoup d'organisations de commencer à expérimenter IPv6.
-Mais ces identificateurs posaient des problèmes, en général, communs avec tous les problèmes des
identificateurs locaux :
Si des applications se passent des adresses IP, comme le font FTP ou SIP, elles
doivent connaitre les frontières de site pour savoir si elles peuvent passer des adresses privées.
Comme les domaines privées, les adresses IP privées tendent à « fuir », à être transmises en dehors du site (par
exemple dans les en-têtes Received: du courrier électronique ou via des requêtes DNS). Comme elles perdent
toute signification en dehors du site d'origine, cela sème la confusion.
Selon le RFC 3879, le concept de « site » lui-même n'est pas clairement défini. Est-ce une entité administrative
unique ? Un bâtiment? Un campus? une entreprise qui peut être géographiquement dispersée? Un AS ?
104
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses Site local
Désormais connu sous le nom “adresse local unique» ULA (RFC 4193)
- Format d’adresse IPv6 unicast globalement unique destiné à des communications locales
et entre un nombre limité de sites. L’on peut utiliser sans passer par un ISP ou un RIR
- Préfixe : fc00::/7
Il est au format ci-dessous
105
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses Site local
- indépendance des préfixes vis à vis des fournisseurs d'accès ou des opérateurs,
- indépendance vis à vis des applications, elles s'utilisent de la même manière que les
adresses unicast globales,
106
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses Site local
NB: Par défaut, l'étendue de ces adresses est globale. Ce qui signifie qu'elles ne souffrent pas de l'ambiguïté
levée par l'adresse site-local. La limite de « routabilité » est fixée au site et à toutes les routes
explicitement définies avec d'autres sites privés (soit dans la même aire d'IGP, soit au travers de tunnels).
Pour les protocoles de routage extérieur (EGP: Exterior Gateway Protocol, tel BGP) mis en œuvre par les
fournisseurs d'accès, la consigne est d'ignorer la réception et l'annonce de préfixes FC00::/7.
Les adresses lien-local sont utilisées pour un lien unique avec le format ci-dessous
Les adresses lien-local sont utilisées pour l’adressage sur un lien unique pour:
- les besoins de configuration d’adresse automatique,
- la découverte des voisins
- quand aucun routeur, ni dispositif d’attribution d’adresses n’est présent. 108
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses spéciales
Adresse indéterminée
- L'adresse indéterminée (0:0:0:0:0:0:0:0 ou ::) est uniquement employée pour indiquer l'absence
d'adresse (équivaut à l'adresse indéterminée IPv4 0.0.0.0)
- L'adresse indéterminée est généralement employée comme adresse source pour les paquets
tentant de vérifier l'unicité d'une adresse tentative.
- L'adresse indéterminée n'est jamais affectée à une interface ou employée comme une adresse de
destination.
Adresse de boucle
- L'adresse de boucle (0:0:0:0:0:0:0:1 ou ::1) est employée pour identifier une interface de boucle,
permettant au nœud de s'envoyer des paquets à lui-même (équivaut à l'adresse de boucle IPv4
127.0.0.1).
- Les paquets adressés à l'adresse de boucle ne sont jamais envoyés sur une liaison ou transférés par
un routeur IPv6.
109
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Adresses spéciales
Adresses de Transition 6to4
- Les adresses IPv4 dérivées utilisées dans le mécanisme de transition 6to4
110
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses unicast
Adresses spéciales
Blocs d’adresses Nom RFC Date d’allocation Date de fin
::1/128 Loopback Address [RFC4291] 2006-02 N/A
::/128 Unspecified Address [RFC4291] 2006-02 N/A
::ffff:0:0/96 IPv4-mapped Address [RFC4291] 2006-02 N/A
64:ff9b::/96 IPv4-IPv6 Translat. [RFC6052] 2010-10 N/A
100::/64 Discard-Only Address Block [RFC6666] 2012-06 N/A
2001::/23 IETF Protocol Assignments [RFC2928] 2000-09 N/A
2001::/32 TEREDO [RFC4380] 2006-01 N/A
2001:2::/48 Benchmarking [RFC5180] 2008-04 N/A
2001:3::/32 AMT [RFC7450] 2014-12 N/A
2001:4:112::/48 AS112-v6 [RFC7535] 2014-12 N/A
2001:db8::/32 Documentation [RFC3849] 2004-07 N/A
2001:10::/28 Deprecated (previously ORCHID) [RFC4843] 2007-03 2014-03
2001:20::/28 ORCHIDv2 [RFC7343] 2014-07 N/A
2002::/16[2] 6to4 [RFC3056] 2001-02 N/A
2620:4f:8000::/48 Direct Delegation AS112 Service [RFC7534] 2011-05 N/A
fc00::/7 Unique-Local [RFC4193] 2005-10 N/A
fe80::/10 Linked-Scoped Unicast [RFC4291] 2006-02 N/A 111
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Unicast
Génération de l’InterfaceID (ID de l’interface) (les derniers 64 bits)
112
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Adresses Unicast
Conception de l’identifiant EUI-64 (64 bits Extended Unique Identifier)
- 64 bits doivent être compatible avec l’IEEE 1394 (FireWire)
- IEEE définit les mécanismes pour la création d’un EUI-64 à partir de l’adresse MAC IEEE 802 (Ethernet,
FDDI)
Identifiant de l’interface de
l’adresse IPv6 auto-configurée
113
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Anycast
Adresses Anycast (RFC 4786)
Les adresses anycast sont syntaxiquement des adresses unicast :
- parmi l'espace d'adressage unicast.
- l'étendue d'une adresse anycast correspond à celle du type d'adresse unicast à partir de laquelle
l'adresse anycast est affectée.
Une adresse anycast est affectée à plusieurs interfaces. Un paquet ayant une adresse anycast est
routé par l'infrastructure de routage vers l'interface la plus proche ayant cette adresse.
Pour simplifier la livraison, l'infrastructure de routage doit connaître les adresses anycast
affectées par des interfaces et leur « distance » en terme de métrique de routage.
Actuellement, les adresses anycast sont uniquement employées comme adresses de destination
et sont uniquement affectées à des routeurs (ne doivent pas être utilisées comme des adresses de
stations.);
Le préfixe commun à un ensemble d'adresses unicast d’interfaces appartenant à la même adresse
anycast définit topologiquement une région:
- cela permet de faciliter la gestion de routage (par région).
- si le préfixe est nul, la région n'existe pas, l'optimisation n'est pas possible.
114
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Anycast
L'adresse anycast Sous-réseau-routeur est prédéfinie et obligatoire. Elle est créée à partir du
préfixe de sous-réseau pour une interface donnée. Pour construire l'adresse anycast Sous-réseau-
routeur, les bits du préfixe du sous-réseau sont fixés à leurs valeurs appropriées et les autres bits
prennent la valeur 0.
Toutes les interfaces de routeur vers un sous-réseau reçoivent l'adresse anycast Sous-réseau-
routeur pour ce sous-réseau. L'adresse anycast Sous-réseau-routeur est utilisée pour la
communication avec l'un des routeurs multiples raccordés à un sous-réseau distant.
Identification de services
- pour atteindre un fournisseur (de services) spécifique,
- pour atteindre le routeur du sous-réseau local
- un service (serveur DNS, Home agent pour la mobilité, serveur web miroir, etc.)
- implémenté en utilisant BGP qui annonce simultanément la même tranche d’adresses IP depuis plusieurs
endroits du réseau. Ainsi, les paquets sont routés vers le point le "plus proche" du réseau annonçant la route
de destination.
- pour fournir de la haute disponibilité et de la répartition de charge pour des services en mode non connecté.
115
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Anycast
Adresses Anycast :
Exemple
Un simple exemple d'une adresse anycast est celle d'un routeur de sous-réseau. Soit un noeud avec
l'adresse IPv6 suivante assignée:
3ffe:ffff:100:f101:210:a4ff:fee3:9566/64 <- L'adresse du nœud
L'adresse anycast de routeur de sous-réseau sera créée en laissant totalement blanc le suffixe (les 64
bits inférieurs):
3ffe:ffff:100:f101::/64 <- l'adresse anycast de routeur de sous-réseau
116
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Multicast
Flags (4 bits) : 0RPT
- T (Trensient)=0 : attribution permanente de l'adresse multicast
-P (Prefix-based)=1 : Dérive d’un préfixe Unicast (RFC3306)
- R (Embedded RP)=1 : embarque l’adresse du RP (Point de Rendezvous) (RFC 3956)
Adresse Multicast Temporaire Générale:
aucune recommandation pour leur utilisation 11111111 0001 Scope Group ID
(visioconférences ponctuelles , sessions pour
8 bits 4bits 4 bits 112 bits
des tests à travers l’Internet.
Adresse Multicast embarquant l’adresse du RP : 11111111 0111 Scope 0000 RPad PLen Prefix Group ID
Ces adresses permettent ainsi aux routeurs
d’identifier le Point de Rendez-vous 8 bits 4bits 4 bits 4bits 4bits 8 bits 64 bits 32 bits
117
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Multicast
Pour la gestion des groupe sur le lien, l’adresse MAC utilisée aura:
- ses 2 premiers octets positionnés à la valeur 33-33,
- et les 32 bits de poids faible seront ceux de l'adresse IPv6 multicast.
Comme en IPv4, les hôtes dont les derniers 4 octets correspondent, prendront en compte la
trame, et un filtrage plus fin au niveau IP complètera si nécessaire.
118
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Multicast
Adresses multicast prédéfinies
Adresses multicast identifiant le groupe de toutes les interfaces du noeuds IPv6 avec scope
1 (interface-local) ou 2 (link-local)
FF01::1
FF02::1
FF02::1:2
Adresses multicast identifiant le groupe de tous les routeurs IPv6 avec scope 1(interface-
local), 2 (link-local), 5 (site-local).
FF01::2
FF02::2
FF05::2
Adresse multicast solicitation de nœud (Solicited Node multicast addre ss)
FF02::1:FFXX:XXXX, xxxxxx represente les 24 derniers bits de l’adresse unicast ou
anycast
119
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre II. PLAN D’ADRESSAGE II.2 Différents types d’Adresse
IPv6 IPv6
Adresses Multicast
Utilisations
120
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
TECHNOLOGIES INTERNET
AVANCEES: IPv6
Chapitre I. Protocoles
Chapitre II. PLAN D’ADRESSAGE IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES ET
CONTROLE
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
Chapitre IV. SUPPORT DNS EN IPv6
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/
MIGRATION
121
www.kadjo-lambert.c4.fr
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
3 DHCPv6 Request
4 DHCPv6 Reply
1 RS
2 RA
Router
1 Solicitation
Router
1 Solicitation
Router
2 Announcement
Router
2 Announcement
(/64 prefix, timers, etc…)
Adresse IPv6 = /64 préfixe + EUI64 (e.g. MAC address) Adresse IPv6 = /64 préfixe + Random 64 bits (rfc3041) 122
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.2 Configuration statique
R1#conf t
R1 (config)#ipv6 unicast-routing
IOS CISCO R1 (config)# interface f0/0
R1 (config-if)# ipv6 address 2001:4318:2:1::10/64
125
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.3 Configuration automatique
adresse Mac:
adresse Mac: 00:2c:A4:00:EB:01
00:2c:04:00:FE:56
RS 2 RA
1
126
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.3 Configuration automatique
RA
Envoie NOUVELLE
L’adresse auto-configurée de l’hôte
information du réseau
est:
(préfixe, route par défaut , …)
NOUVEAU préfixe reçu + MEME
identifiant de l’adresse du link-layer
127
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.3 Configuration automatique
A B
• La Détection de duplication d’adresse (DAD) sollicite le voisin pour vérifier l’existence d’une
adresse à configurer.
128
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.3 Configuration automatique
– Serveur
• Répond aux requêtes des clients
129
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.3 Configuration automatique
Agent Relais
• noeud faisant office d’intermédiaire pour la livraison des messages DHCP entre
clients et serveurs DHCP
• se trouve sur le même lien que le client
• écoute en permanence l’adresse multicast FF02::1:2 ( Tous les Agents Relais et
serveurs DHCP)
130
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES III.3 Configuration automatique
131
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
TECHNOLOGIES INTERNET
AVANCEES: IPv6
Chapitre I. Protocoles (4,5 seances)
132
www.kadjo-lambert.c4.fr
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Introduction
Premier protocole de routage dynamique proposé pour IPv6 (RFC 2080)
Simple extension à IPv6 du protocole RIPv2 d'IPv4.
hérite les mêmes limitations d'utilisation que RIPv2 (maximum de 15 sauts).
Utilise l'algorithme de Bellman-Ford
Algorithme de routage interne
Les routeurs diffusent leurs tables de routage sur les liens auxquels ils sont
connectés.
Les autres routeurs modifient une route dans leur table si la métrique reçue
est plus petite que celle déjà stockée dans la table.
Si une annonce de route n'est pas présente dans la table, le routeur la
rajoute.
Ces modifications sont à leur tour diffusées sur les autres réseaux auxquels
sont connectés les routeurs. Elles se propagent donc sur l'ensemble du réseau à
l'intérieur du système autonome.
133
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Introduction
Les tables sont émises périodiquement.
Si un routeur tombe en panne ou si le lien est coupé, les autres routeurs ne
recevant plus l'information suppriment l'entrée correspondante de leur table de
routage.
134
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Fonctionnement
Le format générique des paquets RIPng est très proche de celui des paquets du
protocole RIPv2.
Seule la fonction d'authentification a disparu.
Prise en charge par les mécanismes de sécurité IPSec disponibles en IPv6.
135
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Fonctionnement
Une information de routage représente un champ "Entrée" d'un paquet RIPng de 20 octets.
Le nombre d'informations de routage contenues dans un paquet RIPng dépend directement
du MTU des liens utilisés, du nombre d'octets d'informations d'en-tête précédant le
message RIPng, de la taille de l'en-tête RIPng, et de la taille d'une RTE (Routing Table Entry),
soit MTU – taille de (en-tête_IPv6) – longueur d'en-tête_UDP – longueur d'en-tête_RIPng
Si RIPng doit annoncer un grand nombre de réseaux, plusieurs paquets RIPng seront nécessaires.
- Marque de routage (2 octets) indique une étiquette de chemin, un attribut alloué à un chemin qui doit
être préservé et réannoncé avec un chemin. L'utilisation prévue de l'étiquette de chemin est de donner
une méthode de séparation des chemins RIPng "internes« (chemins pour les réseaux au sein du domaine
d'acheminement RIPng) des chemins RIPng "externes", qui peuvent avoir été importés d'un EGP ou d'un
autre IGP (numéro du système autonome d'où le chemin a été appris)
136
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Fonctionnement
Deux types d’informations RTE:
Préfixe d’adresse IPv6 tel que décrit précédemment
Adresse IPv6 du prochain saut (NEXT HOP) auquel devraient être transmis les paquets pour
une destination spécifiée par une entrée de la table d'acheminement (RTE) tel que RIPv2 .
Une telle entrée indique que les destinations des entrées suivantes sont accessibles par le
routeur explicitement indiqué, et non par celui envoyant le paquet RIPng (utilisation en
mode "proxy").
Ici, les champs Marque de routage, Longueur préfixe sont mis à zéro à l'envoi et ignorées
à réception.
Une RTE de prochain bond est identifiée par une valeur de 0xFF dans le champ Métrique
d'une RTE.
Le champ Préfixe spécifie l'adresse IPv6 du prochain bond.
- Spécifier une valeur de 0:0:0:0:0:0:0:0 dans le champ Préfixe d'une RTE de prochain bond indique
que l'adresse du prochain bond devrait être le générateur de l'annonce RIPng.
- Une adresse spécifiée comme étant celle d'un prochain bond doit être une adresse de liaison locale
- Si l'adresse de prochain bond reçue n'est pas une adresse de liaison locale, elle devrait être traitée
comme étant 0:0:0:0:0:0:0:0.
- Si dans RIPv2, chaque entrée de table d'acheminement a un champ Prochain bond, dans RIPng, le
prochain bond est spécifié par une RTE spéciale et s'applique à toutes les adresses des RTE qui
suivent la RTE de prochain bond jusqu'à la fin du message ou jusqu'à ce qu'une antre RTE de
prochain bond soit rencontrée 137
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Fonctionnement
Temporisateur
Toutes les 30 secondes, le processus RIPng est réveillé pour envoyer un message de
réponse non sollicitée, contenant la table d'acheminement complet à tous les routeurs du
voisinage.
Lorsque il y a de nombreux routeurs sur un seul réseau, il y a une tendance à la
synchronisation qui fait qu'ils vont tous produire leur mise à jour en même temps. Cela
peut arriver chaque fois que le temporisateur de 30 secondes est affecté par la charge de
traitement sur le système. Il n'est pas souhaitable que les messages de mise à jour soient
synchronisés, parce que cela peut conduire à des collisions inutiles sur les réseaux en
diffusion. Il est donc demandé aux mises en œuvre de prendre une des deux précautions
suivantes :
- Déclencher les mises à jour de 30 secondes avec une horloge dont le débit n'est pas
affecté par la charge du système ou par le moment du service du précédent
temporisateur de mise à jour.
- Le temporisateur de 30 secondes est décalé d'une petite durée aléatoire (+/- 0 à 15
secondes) chaque fois qu'il est établi. Le décalage est déduit de 0,5 * la période de
mise à jour (c'est-à-dire, 30).
138
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Fonctionnement
Temporisateur
Deux temporisateurs sont associés à chaque chemin, une "fin de temporisation" et un "délai
de collecte des déchets ».
À l'expiration de la fin de temporisation, le chemin n'est plus valide ; cependant, il est
conservé dans la table d'acheminement pendant un bref délai afin que les voisins
puissent être notifiés de l'abandon du chemin.
À expiration du délai de collecte des déchets, le chemin est finalement retiré de la table
d'acheminement.
La fin de temporisation est initialisée lors de l'établissement d'un chemin, et à chaque fois
qu'un message de mise à jour est reçu pour le chemin.
Si 180 secondes s'écoulent depuis la dernière fois que la temporisation a été initialisée, le
chemin est considéré comme ayant expiré, et le processus de suppression décrit ci-
dessous commence pour ce chemin.
139
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Fonctionnement
Temporisateur
Les suppressions peuvent survenir pour une de deux raisons :
l'expiration de la fin de temporisation,
le réglage de la métrique à 16 à cause d'une mise à jour reçue du routeur actuel.
Dans l'un et l'autre cas, les événements suivants se produisent :
- Le temporisateur de collecte des déchets est réglé à 120 secondes.
- La métrique pour le chemin est réglée à 16 (infini). Cela cause le retrait du service
de ce chemin.
- Le fanion de changement de chemin pour indiquer que cette entrée a été changée.
- Le processus de sortie est signalé pour déclencher une réponse.
Jusqu'à l'expiration du délai de collecte des déchets, le chemin est inclus dans toutes
les mises à jour envoyées par ce routeur. Lorsque le délai de collecte des déchets
arrive à expiration, le chemin est supprimé de la table d'acheminement.
Si un nouveau chemin pour ce réseau devait être établi alors que le délai de collecte
des déchets court encore, le nouveau chemin remplacerait celui qui est sur le point
d'être supprimé. Dans ce cas, le temporisateur de délai de collecte des déchets doit
être supprimé.
140
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.1 RIPng
Commandes IOS
Création d’un processus RIPNG (en mode configuration globale):
Commande de debbug:
Introduction
OSPF (Open Shortest Path First)
OSPFv1 dans RFC 1131 : Version expérimental, jamais déployée
OSPFv2 dans RFC 1247: L'ISO commence en même temps à travailler sur le protocole IS-IS
OSPFv2 mise à jour dans RFC 2328
OSPFv3 dans RFC 2740 (support pour IPv6)
OSPF (RFC 2328) est un protocole de routage dynamique défini par l'IETF à la fin des années 80. Ce
protocole possède deux caractéristiques essentielles :
Il est ouvert : c'est le sens du terme Open de OSPF. Son fonctionnement est connu de tous.
Il utilise l'algorithme SPF pour Shortest Path First, plus connu sous le
nom d'algorithme de Dijkstra, afin d'élire la meilleure route vers une
destination donnée.
Ici, un coût est attribué à chaque liaison afin de privilégier
l'élection de certaines routes.
Plus le coût est faible, plus le lien est intéressant.
Par défaut, les coûts suivants sont utilisés en fonction de la bande
passante du lien : 108
Coût =
Bande Passante du lien en bits/s
- La référence 108 correspond à un débit maximum de 100Mbps.
- Dans le cas où l'on utilise des interfaces avec un débit supérieur, la référence peut être redéfinie
avec une commande du type « auto-cost reference-bandwidth 1000 » (pour la valeur 109). 142
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2012-2013
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
Le réseau est divisé en plusieurs zones de routage qui contiennent des routeurs et des hôtes.
Chaque zone, identifiée par un numéro, possède sa propre topologie et ne connaît pas la
topologie des autres zones.
L'intérêt de définir des zones est
de limiter le trafic de routage,
de réduire la fréquence des calculs du plus court chemin par l'algorithme SPF
d'avoir une table de routage plus petite (ce qui accélère la convergence).
Chaque routeur d'une zone donnée ne connaît que les routeurs de sa propre zone ainsi que la
façon d'atteindre une zone particulière, la zone numéro 0.
Tout routage basé sur OSPF doit posséder une zone 0.
Toutes les zones doivent être connectées physiquement à la zone 0 (appelée backbone ou
réseau fédérateur). Elle est constituée de plusieurs routeurs interconnectés. Le backbone
est chargé de diffuser les informations de routage qu'il reçoit d'une zone aux autres zones.
143
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2012-2013
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
Les routeurs situés «à cheval» entre plusieurs zones sont appelés ABR(Area
Border Router) ou routeur de bordure de zone.
Les ABR constituent des points de sortie pour les zones. Ce qui signifie que les
informations de routage destinées aux autres zones doivent passer par l'ABR
local à la zone. L'ABR se charge alors de retransmettre les informations de
routage au backbone.
144
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2012-2013
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
Topologie OSPF est hiérachisée basées sur des aires : Backbone et aires secondaires
Authentification de route obligatoire
Exécution d’OSPF : Consommatrice en CPU
145
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
LSR
LSA (Link State Advertisement) contient des informations sur les voisins et les coûts de
chemin
LSU (Link State Update ) Utilisé pour les annonces de mise à jour d'état de lien,
Contient des LSAs
146
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
148
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
150
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
Link-state LSA
151
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
152
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
Commandes IOS
OSPF est activé sur les interfaces :
153
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre IV. ROUTAGE DYNAMIQUE EN IPv6
IV.2 OSPFv3
Commandes IOS
Visualiser le voisinage OSPF:
Commande de debbug:
154
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
TECHNOLOGIES INTERNET
AVANCEES: IPv6
Chapitre I. Protocoles
Chapitre II. PLAN D’ADRESSAGE IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES ET
CONTROLE
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
Chapitre IV. SUPPORT DNS EN IPv6
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/
MIGRATION
155
www.kadjo-lambert.c4.fr
Chapitre V. SUPPORT DU DNS EN IPv6 V.1 Extensions DNS pour IPv6
Importances du DNS
156
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre V. SUPPORT DU DNS EN IPv6 V.1 Extensions DNS pour IPv6
Importances du DNS
Racine
(root)
«.» « .»
Serveur de nom
com Serveur
TLD com ci Serveur de nom de nom
pigierci pigierci.com
‘www.pigierci.com’ RR ?
facebook Serveur de nom
Zones
8. Réponse
www
1. Requête:
Resolver
157
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre V. SUPPORT DU DNS EN IPv6 V.1 Extensions DNS pour IPv6
Une requête de type AAAA concernant un nom de domaine retourne tous les enregistrements
de type AAAA associés, dans la section de réponse ;
Toutes les requêtes de type A qui donnent lieu à une section additionnel doivent être
redéfinies afin de fournir cette même section pour les types A et AAAA à la fois.
Nouveau domaine ip6.arpa pour la correspondance Adresse IPv6 <---> nom de domaine,
initialement ip6.int (Résolution inverse).
- l’arbre ip6.arpa est pour IPv6 ce que représente l’arbre in-addr.arpa pour IPv4
Exemple
$ORIGIN 1.f.f.f.f.f.d.0.0.0.2.0.1.0.0.2.ip6.arpa.
7.d.4.4.1.b.e.f.f.f.e.3.6.1.2.0 PTR www.kame.net.
158
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre V. SUPPORT DU DNS EN IPv6 V.1 Extensions DNS pour IPv6
«.» « .»
Serveur de nom
net Serveur
net ci Serveur de nom de nom
2001:200:dff:fff1:216:3eff:feb1:44d7
www.kame.net possède l’@ IPv6
kame kame.net
‘www.kame.net’ AAAA?
abidjan Serveur de nom
8. Réponse:
www
1. Requête:
Resolver
159
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre V. SUPPORT DU DNS EN IPv6 V.1 Extensions DNS pour IPv6
.
ci com net
arpa
kame
pigierci
in-addr ip6
194 7.d.4.4.1.b.e.f.f.f.e.3.6.1.2.0.1.f.f.f
203.178.141.194 194.141.178.203.in-addr.arpa
www.kame.net
2001:200:dff:fff1:216:3eff:feb1:44d7 7.d.4.4.1.b.e.f.f.f.e.3.6.1.2.0.1.f.f.f.f.f.d.0.0.0.2.0.1.0.0.2.ip6.arpa. 160
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre V. SUPPORT DU DNS EN IPv6 V.1 Extensions DNS pour IPv6
161
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre V. SUPPORT DU DNS EN IPv6 V.1 Extensions DNS pour IPv6
162
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre V. SUPPORT DU DNS EN IPv6 V.2 Configuration
Actuellement, le but n’est pas de migrer à partir d’un environnement uniquement IPv4 vers un
environnement uniquement IPv6
2) Comment y arriver ?
DéployerIPv6 de manière incrémentale sur les réseaux existants
Pour les nouveaux grands réseaux ne supportant qu’IPv6 : permettre aux resolvers
d’interroger le DNS sur des ressources DNS quelconques:
- En leur autorisant l’interrogation de serveurs récursifs à double pile par exemple
Toute zone DNS (y compris celles liées à un réseau « IPv6-only ») devrait être servie par au
moins un serveur DNS supportant IPv4
Toutes les zones DNS (y compris la zone racine!) devrait être joignable en IPv4 et en IPv6
Note: Pour savoir qui héberge votre DNS, veuillez consulter le lien http://www.whois.sc/, puis entrez
votre nom de domaine. Les entrées CNAME pointent vers votre hébergeur DNS. 164
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
TECHNOLOGIES INTERNET
AVANCEES: IPv6
165
Les besoins
166
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.1 Généralités
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : Chapitre VII : IPv6 ET SECURITE
167
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Dual-stack
Consiste à relier à la fois, en IPv4 et en IPv6 tout équipement connecté au réseau.
en privilégiant la pile IPv6, les équipements l'utilisent quand il est disponible,
et passent sur leur pile IPv4 en cas d'indisponibilité.
Inconvénients :
Ne résoud pas les problèmes de pénurie d'adresses IPv4
Maintenance plus lourde sur l'ensemble des équipements du réseau (tables de
routage, adressage, sécurité, etc)
Avantage :
Mécanisme de transition le plus simple et le plus souple
168
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Mono-stack: relais applicatif ou ALG (Application Level Gateway)
Consiste à ne relier tous les équipements terminaux que sur IPv6, et de prévoir des
relais applicatifs ("proxies" ou "serveurs mandataires") double pile (configurés pour
accéder aux deux versions du protocole IP) pour accéder au réseau v4 inaccessible en
v6.
Les machines clientes doivent être configurées pour adresser leurs requêtes applicatives
à ces relais.
Les relais applicatifs regroupent
les proxies et les caches web,
les spoolers d'impression,
les serveurs de courrier électronique,
les serveurs DNS
Inconvénients
Oblige à rendre par avance, toutes les applications des "équipements terminaux"
compatibles IPv6,
Oblige à mettre en place un relais applicatif par service (un proxy DNS, un proxy web,
un proxy pour chaque service de messagerie, ...), et à supporter à la fois IPv4 et IPv6.
Avantages
Permet d'avoir des clients uniquement v6
Résoud partiellement le problème de pénurie des adresses IPv4 169
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Mono-stack, NAT-PT
Principe reste identique à celui de NAT pour IPv4 (basé sur la translation d’adresses), mais assure
en plus la conversion du protocole IP utilisé;
Tous les équipements terminaux possèdent une pile IPv6 simple et sont configurés comme s'ils
évoluaient dans un monde totalement IPv6. Pour ce faire, il est indispensable de disposer d'un
relais DNS spécial ainsi que d'un routeur capable de faire de la translation d'adresses d'IPv6 vers
IPv4 (Routeur NAT).
Au niveau du relais DNS, ce dernier doit transformer toutes les requêtes sur des enregistrements
A en enregistrements AAAA particuliers. En effet, une adresse de type 213.136.96.2 sera alors
traduite en 2001:4318:2:ffff::d588:6002 par le relais.
Par la suite, les équipements voulant accéder à 213.136.96.2 depuis le réseau IPv6 uniquement, y
accéderont par l'adresse IPv6 2001:4318:2:ffff::d588:6002 et un routeur double pile capable de
comprendre cela fera une translation d'adresses comme en IPv4 avec le NAT, en convertissant
l'IPv6 en IPv4.
170
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Mono-stack, NAT-PT
Principe: Pour accéder à un réseau IPv4, au travers de NAT-PT,
1. l’équipement terminal IPv6 qui initie la connexion avec un équipement IPv4, envoie un
paquet IPv6 vers le routeur NAT-PT avec comme adresse de destination, l’adresse IPv4 mappée
de l’équipement destinataire et comme adresse source son adresse IPv6.
2. le routeur NAT-PT traite le paquet IPv6 reçu, lui affecte une adresse IPv4 de son pool
d’adresses IPv4 et forge un nouveau paquet IPv4 avec comme adresse source, l’adresse IPv4
récemment attribuée et comme adresse destination l’adresse IPv4 de la machine distante
(extraite du paquet IPv6).
Une liste de contrôle d’accès IPv6 est également définie pour désigner l’ensemble des adresses
qui doivent être translatées.
Inconvénients :
- Oblige à avoir rendu toutes les applications des "équipements terminaux" compatibles IPv6 par
avance
- Oblige à mettre en place un relais DNS et un routeur spécialisés dans le NAT-PT
Avantages :
- Seuls un relais DNS accompagné d'un routeur spécialisés sont nécessaires en plus des services
habituels
- Permet d'avoir des clients uniquement v6
- Constitue une bonne alternative à la pénurie d'adresses IPv4
171
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Mono-stack, NAT-PT : exemple de NAT-PT statique
172
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel statique
Un tunnel statique consiste à transmettre des paquets IPv6 dans l’Internet IPv4. Ces
paquets IPv6 sont encapsulés dans des paquets IPv4 (tunnel IP dans IP). Cette opération
est réalisée par des routeurs situés entre les réseaux IPv6 et les réseaux IPv4. :
Principe
1. L'extrémité émettrice du tunnel encapsule le paquet IPv6 dans un autre paquet
IPv4 et l'envoie vers l'autre extrémité du tunnel. De tels paquets sont des paquets
IPv4 normaux.
En-tête IPv4
Champ En-tête IPv6 Contenu du paquet IPv6
Protocole=0x29
174
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel statique: Exemple
175
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6to4
Le tunnel 6to4 (RFC3056) est une variante du tunnel statique. Contrairement au
tunnel statique, le tunnel 6to4 permet d’établir un lien point-multipoint. Ainsi, toute
machine qui dispose d'une adresse IPv4 globale peut utiliser le 6to4.
Il permet d'accéder à l'Internet IPv6 par une connexion Internet IPv4 usuelle, telle que
fournie par un fournisseur d'accès grand public.
On peut s’en servir pour interconnecter des sites IPv6 isolés en créant des tunnels
automatiques IPv6 dans IPv4 en fonction du destinataire des données
– Machine terminale 6to4
– Routeur de bordure encapsule les paquets IPv6 dans des paquets IPv4
– Relais 6to4
Le format des paquets est le même que pour le tunnel statique, mais les paquets sont
échangés entre de très nombreuses machines supportant le 6to4.
176
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6to4: adressage
Adressage
● Préfixe alloué par IANA
2002::/16
Principe:
Tout paquet IPv6 dont l'adresse de destination commence par 2002 doit passer par le tunnel 6to4.
Dans ce cas, les bits 16 à 47 de l'adresse IPv6 destination détermine à quelle adresse IPv4 le paquet
doit être transmis. Cette adresse est celle d'un routeur 6to4.
Par exemple, si la destination d'un paquet IPv6 est 2002:8ac3:802d:cafe:20d:60ff:fe38:6d16, le
paquet sera transmis par IPv4 au routeur 6to4 dont l'adresse IP est 138.195.128.45 (0x8a = 138,
0xc3 = 195, 0x80 = 128, 0x2d = 45). C'est ensuite au routeur 6to4 de transmettre le paquet IPv6 à sa
destination finale.
Avec cette technique, si un fournisseur d'accès à Internet vous attribue une adresse IPv4, vous
disposez automatiquement d'un jeu de 280 adresses IPv6 que vous pouvez librement utiliser : toutes
les adresses IPv6 commençant par 2002:8ac3:802d dans notre exemple.
177
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6to4
Le Relais 6to4
Pour que les utilisateurs d'adresses IPv6 commençant par 2002 puissent communiquer avec
les autres, des relais entre le monde 6to4 et l'Internet-IPv6 ont été mis-en-place sur
Internet. Par une astuce ingénieuse, l'adresse du relais le plus proche est toujours
192.99.88.1 en IPv4.
Ainsi, si vous utilisez 6to4 pour vous connecter à Internet, et que vous souhaitez contacter
une machine n'utilisant pas 6to4, par exemple, 2001:4318:2:0:203:47ff:fea5:3085, vous
pouvez transmettre les paquets par le tunnel 6to4 au relais le plus proche.
Inconvénients
– Routage peut être asymétrique
– Délais peuvent être élevés à cause des tunnels
Avantages
– Permet de router du traffic IPv6 même si l'ISP est IPv4
178
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6to4: exemple
179
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6to4: exemple
180
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Le tunnel 6rd ou IPv6 Rapid Deployment (RFC 5969) est une variante du tunnel 6to4.
Contrairement au tunnel 6to4, le tunnel 6rd utilise le préfixe IPv6 d'un FAI au lieu de
2002::/16.
Ce mécanisme vise les FAI existants qui n'ont pas le courage de mettre à jour leur réseau
IPv4. Il permet à ces derniers d’offrir un service IPv6 Unicast transparent aux clients à
travers leurs infrastructures IPv4
181
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Le tunnel 6rd ou IPv6 Rapid Deployment (RFC 5969) est une variante du tunnel 6to4.
Contrairement au tunnel 6to4, le tunnel 6rd utilise le préfixe v6 d'un FAI au lieu de
2002::/16.
6rd prefixes • Un préfixe IPv6 choisi par le FAI en vue de l'utiliser pour 6RD
• Utilisé (au lieu de 2002::/16) pour créer des adresses 6RD
• Il ya seulement 1 préfixe 6RD par domaine
Préfixes 6rd • Calculé par le CE pour une utilisation dans le site du client
délégués • Préfixe 6rd + tout ou une partie de l’adresse v4 du CE (coté WAN)
Routeur CE • Coté LAN: v6 natif
• Coté WAN: IPv4-only (publique or privé par domaine), Peut être
Ethernet, ATM, PPP et utiliser PPPOE, IPCP, DHCP etc.
• Un CE peut appartenir à plus d'un domaine 6RD
182
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
ELÉMENTS D’UN SYSTÈME 6rd
Border Relay (BR) • Lie un domaine 6RD a des domaines IPv6 externes/Internet
• Peut être atteint par anycast
• A partir de l’adresse IPv6, déduit l’adresse IPv4 du CE
• A au moins un de chacun des éléments suivants:
Interface IPv4
interface virtuelle 6RD agissant comme un point de
terminaison pour la tunnel 6RD v6-in-v4
Une interface IPv6 connecté au réseau IPv6 natif
Interface • L'interface de tunnel multipoint interne où l’encapsulation et la
virtuelle 6rd décapsulation 6RD se produit
• Généralement, une par CE
• Pas plus de 1 sur chaque BR par domaine
183
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
EXEMPLE D’IMPLEMENTATION
Soit un FAI possédant des clients dual-stack (client 1)
184
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
EXEMPLE D’IMPLEMENTATION
Soit un FAI possédant des clients dual-stack (client 1)
185
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
186
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
187
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Configuration de l’interface
Configuration du CE_1 virtuelle sur CE_1
Configuration de l’interface
IPv6 connecté au réseau
IPv6 Dual-Stack
188
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Configuration de l’interface
Configuration du CE_2 virtuelle sur CE_2
Configuration de l’interface
IPv6 connecté au réseau
IPv6 Dual-Stack
189
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Configuration de l’interface
Configuration du BR virtuelle sur BR
Configuration de l’interface
IPv6 connecté au réseau
IPv6 Dual-Stack
190
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Configuration de la route statique vers
Configuration du BR
les réseaux du domaine 6rd sur BR
Visualisation du tunnel
191
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Configuration de la route IPv6 par
Configuration du CE_1 défaut sur CE_1(vers l’Internet IPv6)
Visualisation du tunnel
192
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Configuration de la route IPv6 par
Configuration du CE_2 défaut sur CE_2(vers l’Internet IPv6)
Visualisation du tunnel
193
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Visualisation des tables
de routage IPv6
194
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Visualisation des tables
de routage IPv6
195
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Visualisation des tables
de routage IPv6
196
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Visualisation des configs
des PCs et tests
d’accessibilité depuis le
PC1 (du réseau réseau
du Client1) vers un autre
réseau du même
domaine 6rd (PC2 du
réseau du client 2) ou
vers Internet (PC3)
197
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Ping du PC1 vers PC2:
- Etape1 : Le PC1 envoit
Ping du PC1 vers PC2:
le paquet IPv6 au CE_1
- Etape1 : Le PC1 envoie
(sa passerelle)
le paquet IPv6 au CE_1
- Etape 2: Le paquet IPv6
(sa passerelle)
est encapsulé dans un
- Etape 2: Le paquet IPv6
paquet IPv4 du CE_1
est encapsulé dans un
vers le BR
paquet IPv4 du CE_1
vers le BR
198
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Ping du PC1 vers PC2:
Etape 3 : le paquet IPv6
est encapsulée dans un
nouveau paquet IPv4 et
réacheminé du BR vers le
CE_2.
- Etape 4: Le CE_2
décapsule le paquet et
l’envoie au PC2
199
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel 6rd
Ping du PC1 vers PC3:
- Etape 1: le paquet IPv6
est encapsulée dans un
paquet IPv4 et acheminé
vers le BR..
- Etape 2: Le BR
décapsule le paquet et
l’envoie au PC2
200
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel ISATAP: Intra-Site Automatic Tunnel Addressing Protocol
Principe
ISATAP est l'équivalent interne de 6to4 (externe). Alors que 6to4 fournit une connectivité
IPv6 vers l'extérieur, ISATAP fournit une connectivité IPv6 vers l'intérieur. C'est utile si
certains des routeurs de votre réseau Intranet/local ne supportent pas IPv6.
Adressage
Avec ISATAP, les 64 premiers bits de l'adresse IPv6 sont choisis. Les bits 64 à 95 sont
égaux à 0000:5ffe. Enfin, les bits 96 à 127 représente l'adresse IPv4 de destination (bout
du tunnel).
201
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel Teredo
Teredo est une technologie développée par Microsoft Corporation. Elle consiste à
encapsuler des paquets IPv6 dans des paquets UDP/IPv4. En effet, les paquets UDP
peuvent traverser les dispositifs NAT, contrairement aux paquets IPv6 sur IPv4
202
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
Tunnel Broker
● Serveur de tunnels (IPv6 dans IPv4)
● Permet de fournir la connectivité IPv6 à des équipements/réseaux locaux isolés dans
Internet v4
– Architecture client/serveur
– Protocole TSP
. Connexion au broker
. Configuration du tunnel Tunnel Server / Terminal
. Envoi du script configuration du tunnel Terminal / Tunnel Server
. Communication IPv6
203
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VI.2 Etude de quelques
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Chapitre VII : IPv6 ET SECURITE
solutions de migration
TSP
● Tunnel Setup Protocol
204
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
TECHNOLOGIES INTERNET
AVANCEES: IPv6
205
206
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.1 Situation de base
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Les mécanismes d’IPSec sont intégrés à IPv6 sous la forme de deux extensions:
extension d'authentification (Authentification Header: AH) garantissant
l'authentification de l’utilisateur et l'intégrité des données (RFC 2402).
extension de confidentialité (Encapsulating Security Payload: ESP) garantissant
la confidentialité, l'intégrité et l'authentification (RFC 2406).
207
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.1 Situation de base
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Réseau 1 Réseau 2
Internet
208
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.1 Situation de base
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Réseau Réseau
Local 1 Local 2
Internet
Mode intermédiaire
Réseau 2
Réseau
Internet Local
209
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.1 Situation de base
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Une SA contient:
en fonction du type de sécurité: les algorithmes d'authentification, de
chiffrement, les clés de chiffrement.
la durée de vie de l'association.
Le mode IPSec utilisé (transport, tunnel).
210
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.2 Sécurité dans un
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Auto-configuration sans-état
Traçage possible des machines car les 64 bits de l’hôte sont déduits de son
adresse MAC (facilitant un changement de préfixe)
211
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.2 Sécurité dans un
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
212
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.2 Sécurité dans un
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
214
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.2 Sécurité dans un
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
Filtrage de base
ingress filtering : filtrer les paquets qui ont une adresse source correspondant à notre
propre réseau, mais qui arrivent sur l'interface extérieure du routeur (tentative d'IP
Spoofing)
Rejeter les paquets dont l'adresse source n'est pas Unicast ou est non-attribuée.
Il est plus simple d'accepter les adresses IP Unicast valides que de rejeter les
adresses IP invalides
– Exception de 2001:db8::/32 (préfix réservé à des fins documentatives)
– http://www.iana.org/assignments/ipv6-unicast-addres
215
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.2 Sécurité dans un
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
128 et 129 Autorisé sauf si bloqué en Demande d'écho (128), Réponse d'écho (129): Le risque de
IPv4 scan avec ces paquets est bien plus réduits qu'en IPv4
130-132, 143, Autorisé sur le LAN Messages MLD: adhésion à un groupe multicast IPv6
et 151-153 uniquement Multicast Router Advertisement (151)., Multicast Router
Solicitation (152), Multicast Router Termination (153)
133-136 Autorisé sur le LAN Découverte de voisinage
uniquement
216
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.2 Sécurité dans un
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
138 A bloquer sauf si besoin Ces messages peuvent servir à redéfinir les préfixes
spécifique réseaux au niveau routeur
139-140 A bloquer sauf si besoin Ces messages sont utilisées pour demander le nom
spécifique attribué à un hôte en s'adressant directement à l’hôte (et
en ne passant donc pas par le DNS)
141-142 Autorisé sur le LAN Sollicitation (Inverse Neighbor Discovery Solicitation
uniquement Message (141)) / Annonce (Inverse Neighbor Discovery
Advertisement Message (142))
144-147 Autorisé si besoin mobilité Ces messages sont utilisés pour la mobilité physique au
IPv6 sein du réseau IPv6
148-149 Autorisé sur le LAN Ces messages servent au protocole SEND
uniquement
154-199 A bloquer sauf cas Messages d'erreurs non définis par l'IANA. Ils peuvent
202-254 spécifique éventuellement être utilisés par des applications
spécifiques, mais également être utilisés pour encapsuler
des données.
Par défaut Bloquer
217
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.2 Sécurité dans un
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
– Bloquer dans les deux sens tous les paquets IPv4 qui contiennent la valeur «41» dans le
champ Protocole de l'en-tête IPv4. Cela bloquera les tunnels
basés sur le protocole 6to4, ISATAP, et 6over4.
ACL Cisco (à appliquer en in et out) : IPv6 access-list X deny 41 any any [log]
– Bloquer dans les deux sens le port UDP 3544. Cela bloquera les tunnels basés sur
Teredo. Teredo est dangereux, si le source routing est activé sur le client (il est
généralement désactivé sur les routeurs), un client Teredo pourra être amené à relayer
des paquets.
ACL Cisco (à appliquer en in et out) : IPv6 access-list X deny UDP any any eq 3544 [log]
219
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Chapitre I. INTRODUCTION A IPV6
Chapitre II. FORMAT GÉNÉRAL DU PAQUET IPv6
Chapitre III. MECANISMES DE CONFIGURATION DES HOTES
Chapitre IV. SUPPORT DU DNS EN IPv6
Chapitre V. ROUTAGE DYNAMIQUE EN IPv6
VII.2 Sécurité dans un
Chapitre VI. MÉCANISMES DE TRANSITION/ INTÉGRATION/ MIGRATION
220
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Autoriser le ping sous windows
221
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Autoriser le ping sous windows
222
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Autoriser le ping sous windows
223
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Autoriser le ping sous windows
224
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Autoriser le ping sous windows
225
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Autoriser le ping sous windows
226
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011
Autoriser le ping sous windows
227
www.kadjo-lambert.c4.fr Dr Lambert KADJO ****** 2010-2011