Professional Documents
Culture Documents
Migration IPv6
Ce document, proprit de EI-RSI, est remis titre confidentiel et ne peut tre utilis, communiqu, donn ou
reproduit, mme partiellement, sans son autorisation crite.
GRILLE DE GESTION
Type de diffusion
Mode daccs
Conservation
A
Ind. Nom Visa Nom Visa Nom Visa Date
GRILLE DE REVISION
La prsente Grille de rvision indique l'objet et la localisation des modifications gnratrices du changement
d'indice.
N Objet Localisation
10
11
12
13
14
15
16
17
18
19
20
SOMMAIRE
1 INTRODUCTION 10
2.3 Format 12
2.4 Extensions 13
2.4.1 Proche en proche (hop-by-hop) 13
2.4.2 Destination 14
2.4.3 Routage 14
2.4.4 Fragmentation 14
2.4.5 Scurit 14
2.5 Checksum 14
3 ADRESSAGE 15
3.2 Notation 15
3.7 Renumrotation 21
4 ICMPV6 24
4.2 Information 24
5 CONFIGURATION AUTOMATIQUE 27
6 SCURIT : IPSEC 30
6.1 Prsentation 30
6.1.1 Ce que fait IPSec 30
6.1.2 Comment fonctionne IPSec 31
6.1.3 Quels sont les algorithmes utilisables par IPSec 31
6.1.4 Comment est configur IPSec 31
6.5 Multicast 36
7 MOBILIT 37
7.1 Introduction 37
7.6 Multicast 42
7.7 Scurit 42
8.1 Introduction 43
8.2 DiffServ 43
8.2.1 Structure 43
8.2.2 Traitements possibles 44
8.2.2.1 Classifier 44
8.2.2.2 Meter 44
8.2.2.3 Marker 45
8.2.2.4 Dropper 45
8.2.2.5 Shaper 45
8.2.2.6 Mirroring Element 45
8.2.2.7 Mux 45
8.2.2.8 Enqueueing Element 46
8.2.2.9 Monitor 46
8.2.3 Valeurs du champ DSCP 46
8.2.4 PHB particuliers 47
8.2.4.1 Expedited Forwarding PHB 47
8.2.4.2 Assured Forwarding PHB 47
8.3 Utilisation 48
8.3.1 Contrat de Service 48
8.3.2 Exemples dutilisation 49
9 CONCLUSION 50
10 ANNEXE 1 : BIBLIOGRAPHIE 51
10.2 Protocole 51
10.3 Adressage 51
10.4 ICMPv6 51
10.6 Scurit 52
10.7 Mobilit 52
1 Introduction
La finalit du projet est de dfinir un certain nombre doffres de service proposer nos clients pour
quils puissent basculer sans problme vers IPv6.
Ltude est ralise sous la forme dun Projet de Fin dEtude (PFE) entre RSI et lINSA de Lyon. Ce
PFE est effectu en entreprise raison de 2 jours par semaine pendant 6 mois (Novembre Avril) et temps
plein pendant 2 mois (Mai Juin).
Note : la prsentation des fonctionnalits dIPv6 contient certains aspects ou protocoles qui ne sont pas
encore standardiss et qui ne le seront peut tre jamais. Ces paragraphes seront indiqus par [WIP] (Work In
Progress).
0 8 16 24 32
4 Adresse Source
5 Adresse Destination
Options Alignement
Version : 4.
Long. : Longueur de len-tte en mots de 32bits.
TOS : Type of Service (Precedence + Champ TOS), utilis pour faire de la qualit de service.
Longueur totale : Longueur du paquet (en-tte + donnes) en octets.
Identification : Numro unique permettant de faciliter le rassemblage des paquets aprs lutilisation de la
fragmentation. Chaque fragment comporte le mme numro didentification.
Flags :
0.
DF : Dont fragment (ne pas fragmenter ce paquet).
MF : More Fragments (1 Ce nest pas le dernier fragment).
Fragment Offset : Emplacement du fragment (en mots de 64 bits) dans le message intgral.
Time To Live (TTL) : Dure de vie (en secondes).
Protocole : Protocole utilis dans la couche suprieure (TCP, UDP, ).
Checksum de len-tte : Somme de contrle permettant de dtecter une erreur de transmission.
Adresses (Source/Destination) : Adresses IPv4 (32 bits).
Options : Options facultatives (Scurit, Routage, Horodatage, Flux, ).
Alignement : Octets dalignement pour finir le mot de 32bits.
2.3 Format
Len-tte IPv6 a une taille fixe de 40 octets (5 mots de 64 bits) auquel on peut ajouter des extensions
(dune taille multiple de 64 bits).
0 8 16 24 32
Version :
Sa valeur est de 6. Il permet aux quipements de connatre la version du protocole IP utiliser (emplacement
identique dans IPv4 et IPv6) pour pouvoir traiter le paquet correctement.
Classe de trafic :
Le champ classe de trafic permet de faire de la diffrenciation de services. Cela permettra de faire passer une
classe prioritairement par rapport une autre, de fixer une taille limite de trafic allou une classe, Pour
plus de dtail, se reporter au 8 QoS.
Identificateur de flux :
Ce champ contient un numro unique (pour une adresse source donne), choisi par la source et permettant
didentifier le flux de manire unique. Sil est utilis (diffrent de 0), les routeurs peuvent ragir plus rapidement
un paquet. Lidentificateur de flux restera constant tout au long du trajet entre la source et la destination. Il
nest pas uniquement spcifique un trajet entre deux nuds, comme cela est le cas pour les circuits virtuels.
Les routeurs peuvent ensuite garder en mmoire les traitements effectuer sur un flux (en particulier, la route
utiliser et les filtres appliquer). Il nont plus qu utiliser ladresse source et lidentifiant de flux sans avoir
besoin de relire toutes les options avant de router un paquet.
En-tte suivant :
Ce champ indique le type de bloc qui suit. Il peut sagir dun protocole de niveau suprieur (TCP, UDP,
ICMP, ) ou dun champ dextension. Cela permet de chaner les extensions avant le bloc TCP (ou UDP, )
que contient le paquet.
Nombre de saut :
Ce champ est similaire au champ TTL (Time To Live) dIPv4. Cependant, il ne sagit plus de secondes mais de
nombre de sauts (la dure dun saut tant difficilement mesurable). Il est dcrment de un chaque nud
travers. Lorsque sa valeur arrive 0, il est dtruit et un message derreur ICMPv6 est envoy la source (cf.
4.1).
2.4 Extensions
Une extension commence par un champ en-tte suivant qui indique le type de bloc qui suivra, puis la longueur
de lextension en mots de 8 octets (la taille dune extension doit tre multiple de 64 bits).
Suivant = TCP
2.4.2 Destination
Cette extension est identique lextension Proche en proche mis part quelle ne sadresse qu lquipement
destinataire. Elle peut entre autre contenir les options dalignement Pad1 et PadN, des informations sur la
mobilit,
2.4.3 Routage
Lextension de routage permet de spcifier une suite dquipements par lequel le paquet doit passer. Cela
correspond au routage libral de IPv4 (il ny a plus de routage strict). Chaque routeur enverra le paquet vers le
nud suivant sur la liste, jusqu atteindre la machine finale. Pour cela, on indique dans le champ adresse
destination le premier nud atteindre. Puis, chaque nud actualisera ce champ avec la prochaine
destination, jusqu atteindre la destination finale.
2.4.4 Fragmentation
La fragmentation est utilise par la machine source dans le cas de programmes qui produisent des messages
de grande taille. Nanmoins, il faut viter son usage et adapter la taille des paquets lmission. Pour cela, on
peut utiliser les techniques de dcouverte du MTU 1 (cf. 5.3) pour dterminer la taille des paquets que lon
peut transmettre.
Lextension de fragmentation permet dindiquer lordre des paquets pour pouvoir les rassembler par la suite.
2.4.5 Scurit
On dispose de deux extensions de scurit :
Authentification/Intgrit
Confidentialit
2.5 Checksum
Le contrle de checksum a t supprim au niveau IP, en partie parce que les supports physiques
actuels sont de meilleure qualit et quils possdent souvent un moyen de dtecter les erreurs (Ethernet, PPP,
). Cependant, pour se prmunir dventuelles erreurs, il a t dcid que tous les protocoles au-dessus
dIPv6 devaient utiliser une somme de contrle. Le contrle du checksum est donc ralis uniquement sur la
machine destination, ce qui dcharge les routeurs de ce travail.
Pour le calcul du checksum, on doit prendre en compte la fois les donnes du protocole concern, ainsi que
les adresses de source et de destination, la longueur des donnes et le champ en-tte suivant.
3 Adressage
Bien entendu, on ne peut pas affecter toutes les adresses IP (et cela est dautant plus vrai avec IPv6), mais
mme avec les prvisions les plus pessimistes daffectation, on disposerait de 1564 adresses IP par m de
surface terrestre (ocan compris). La prvision la plus optimiste tant de plusieurs millions de milliards
dadresses IP par m. On peut donc considrer le pool dadresse IPv6 comme inpuisable, mme trs long
terme.
3.2 Notation
La notation utilise est la notation hexadcimale, spare tous les 16 bits par le caractre : . Dans
un souci de simplification, il nest pas ncessaire dcrire les zros placs en tte dun groupe et plusieurs
champs conscutifs peuvent tre abrgs en :: (utilisable quune seule fois).
Par exemple :
FEDC:0000:0000:0000:0400:A987:6543:0210F devient FEDC::400:A987:6543:210F
Tout comme IPv4, on peut reprsenter un prfixe IPv6 de la manire suivante : adresse/longueur-prfixe
Par exemple, 3EDC:BA98:765:3210::/64 ou FE80::/10
Le plan retenu est le plan dadressage agrg (2000::/3) dont les adresses sont dcoupes de la manire
suivante :
La topologie publique est constitue par lensemble des prestataires et des points dchange de connectivit
IP. Le dcoupage est le suivant :
Une unit dagrgation haute (TLA : Top Level Aggregator) sur 13 bits.
Une partie rserve sur 8 bits : elle pourra servir par la suite agrandir les champs dunits dagrgation
(haute ou basse) en fonction des besoin (celui qui sera plein le plus vite).
Des units dagrgation basse (NLA : Next Level Aggregator) dont la longueur totale est 24 bits et dont le
dcoupage est libre.
Pour plus de dtail sur les units dagrgation, se reporter au 3.8.
La topologie du site (SLA : Site Level Aggregator) sur 16 bits est sous la responsabilit du responsable du site
qui peut hirarchiser son rseau comme il le souhaite.
Lidentifiant dinterface devrait thoriquement tre construit pour tre globalement unique. Pour cela, la machine
peut se servir dadresses MAC IEEE 802, IEEE EUI-64, numro de srie, gnration alatoire, De cette
manire, il ny a que trs peu de chance de se retrouver avec deux identifiants identiques sur le mme lien. De
plus, en cas de conflit, il sera dtect lors de linitialisation de ladresse lien-local de linterface (cf. 5.1.1).
Certaines personnes considre que lutilisation dun identifiant de la machine dans ladresse IPv6 pourrait
permettre de pister encore plus les machines sur Internet, ce qui soulve des polmiques sur la prservation
de lanonymat. Il est toujours possible dutiliser des adresses IP fixes ou de se baser sur une gnration
alatoire de lidentifiant, nanmoins, cela aura des consquences sur la configuration automatique des
adresses IP (cf. 5.1.3).
7
6
5
::1 4
IP 3
2
1
A B
FE80::ID_D FE80::ID_B
C D
A B
FEC0::2:ID_D
FEC0::1:/64
C D
FEC0::2:ID_D
FEC0::2:/64
Elles sont reprsentes sous la forme ::FFFF:a.b.c.d o a.b.c.d est une adresse IPv4. On peut aussi
lcrire sous la forme ::FFFF:XXXX:YYYY o XXXXYYYY est la reprsentation hexadcimale de a.b.c.d.
A B
Dest=::FFFF:192.168.2.3 192.168.2/24
A B
Src=::FFFF:192.168.2.3 192.168.2/24
Elles sont reprsentes sous la forme ::FFFF:0:a.b.c.d o a.b.c.d est une adresse IPv4. On peut aussi
lcrire sous la forme ::FFFF:0:XXXX:YYYY o XXXXYYYY est la reprsentation hexadcimale de a.b.c.d.
::ffff:0:134.22.3.5 134.22.3.5
::ffff:134.27.1.2 134.27.1.2
Elles sont reprsentes sous la forme ::a.b.c.d o a.b.c.d est une adresse IPv4. On peut aussi lcrire
sous la forme ::XXXX:YYYY o XXXXYYYY est la reprsentation hexadcimale de a.b.c.d.
A B
Dest=::192.168.2.3 Src=::192.168.1.2
192.168.2.3
192.168.2/24
192.168.1/24
Le prfixe utilis pour les adresses multicast est FF00::/8. Le format des adresses est le suivant :
Le champ Scope permet de donner le niveau de diffusion de ladresse. Les valeurs possibles sont :
0 rserv
1 nud (node-local scope)
2 lien (link-local scope)
5 site (site-local scope)
8 organisation (organization-local scope)
E global (global scope)
F rserv
Cela permet par exemple, de confiner des paquets sensibles lintrieur dun site et dtre sr quils ne se
propageront pas sur Internet.
Un certain nombre de groupes standards ont t dfinis1 pour permettre certains protocoles (par exemple les
protocoles de routages) de dialoguer entre eux. Lutilisation du champ Scope permettant de slectionner le
niveau de diffusion (tous les niveaux ne sont pas forcement utilisables).
Le groupe 0x01 correspond tous les nuds IPv6. Cela permet par exemple, daccder toutes les
machines situes sur un mme lien en utilisant ladresse FF02::1.
Le groupe 0x02 correspond aux routeurs IPv6. FF05::2 correspond donc tous les routeurs du site.
Le groupe 0x09 correspond au protocole RIP.
Les groupes 0x10002 0x10004 sont utilis par le protocole DHCP (agents, serveurs, relais).
Etc
Chaque nud IPv6 doit galement construire (et adhrer ) une adresse multicast sollicit (solicited node
address) pour chaque adresse unicast ou anycast dont il dispose. Ladresse multicast sollicit est form en
utilisant le prfixe FF02::1:FF00:0/104 et en ajoutant les 24 derniers bits de ladresse unicast ou anycast.
Par exemple, ladresse sollicit correspondant ladresse 4037::01:800:200E:8C6C est
FF02::1:FF0E:8C6C. Cette adresse sera utilise entre autre lors de la dcouverte des voisins.
En thorie, il serait possible dutiliser les adresses anycast avec nimporte quel groupe de nuds IPv6 situs
en tout point du rseau, mais cela reste encore exprimental. Les seules adresses anycast utilisables sont les
adresses particulires dfinis ci-dessus.
1 http://www.isi.edu/in-notes/iana/assignments/ipv6-multicast-addresses.txt
Lorsque lon doit utiliser une nouvelle adresse, on la met dans ltat prfr et on passe lancienne adresse
dans ltat dprci. De cette faon, les anciennes communications peuvent continuer pendant que les
nouvelles utilisent la nouvelle adresse.
3.7 Renumrotation
Un des problmes dIPv4 a t une mauvaise gestion de lespace dadressage, qui a conduit un
accroissement certain des tables de routage. Cela est d entre autre deux phnomnes :
Lorsquune entreprise change de prestataire, elle garde souvent ses adresses IP (pour viter de tout
renumroter), et il faut donc rajouter des entres dans les tables de routage pour continuer router vers
cette entreprise.
Lorsquun prestataire fait plusieurs demandes (spars dans le temps) pour des adresses IP, il nobtient
pas des plages dadresses contigus et il faut donc rajouter des entres dans les tables de routage pour
que toutes ces adresses lui arrivent.
Il a donc t dcid que les adresses IPv6 nappartenaient pas aux personnes qui les avait demandes et que
lon pouvait leur demander de les rendre. De cette manire, lIANA sassurera que lespace dadressage reste
bien utilis pour viter le gaspillage et augmenter lagrgation et lefficacit des tables de routage.
Pour cela, IPv6 a t conu pour permettre la renumrotation sans interruption de service dun site entier. Le
basculement entre lancienne adresse et la nouvelle est effectu grce aux diffrents tats que peuvent prendre
les adresses (cf. 3.6). Pour amorcer le basculement, il y a deux systmes :
Pour les routeurs, on peut utiliser les fonctions de renumrotation des routeurs de ICMPv6 (cf. 4.4.1)
Pour les nuds terminaux, le protocole de dcouverte des voisins (cf. 5.1) permet de prendre
connaissance du nouveau prfixe (une fois que les routeurs sont renumrots).
Pour cela, ils sappuie sur des organismes rgionaux (Regional Internet Registries) qui ont leur disposition
une partie de lespace dadressage affecter. Il ny a pour linstant que 3 Regional Internet Registries :
ARIN (American Registrery for Internet Numbers) pour lAmrique du Nord, du Sud, les Carabes, et
lAfrique sub-Saharienne.
RIPE NCC (Rseaux IP Europens) pour lEurope, le Moyen-Orient et une partie de lAfrique.
APNIC (Asia Pacific Network Information Centre) pour lAsie et le Pacifique.
Les organismes rgionaux peuvent ensuite affecter des sub-TLA (Top Level Aggregator) dautres organismes,
qui doivent tre de gros prestataires de service. En effet, les prrequis sont les suivants :
Avoir une connectivit avec au moins 3 autres organismes (disposant eux mme dun sub-TLA)
Satisfaire un des deux points suivants :
Avoir dj allou au moins 40 NLA (Next Level Aggregator) des sites clients.
Etre en mesure de prouver que lorganisme est capable de fournir des services IPv6 dans un dlai
infrieur 12 mois.
Les organismes qui possde des sub-TLA peuvent ensuite affecter des adresses leurs clients (NLA) qui
peuvent eux-mmes en affecter dautre,
$ORIGIN ip6.inrialpes.fr.
2.f.e.0.e.f.0.c.0.0.0.0.1.0.0.0.0.0.1.1 IN PTR pirae-v6.ipv6.inrialpes.fr.
4 ICMPv6
Le protocole ICMP a galement t revu et amlior. En plus des fonctions dj prsentes dans IPv4
(dtection derreur, test, configuration automatique), ICMPv6 intgre galement les fonctions de gestion des
groupes de multicast (effectue par IGMP auparavant) et les fonctions du protocole ARP.
4.2 Information
Ce sont les messages utiliss pour tester la connectivit (ping) et pour grer les groupes multicast.
Lorsquune machine veut utiliser une adresse, elle doit imprativement vrifier quelle nest pas dj utilise.
Pour cela, elle envoie un message de sollicitation vers ladresse multicast sollicite (adresse constitue du
prfixe FF02::1:FF00:0/104 suivi des 24 derniers bits de ladresse unicast sollicite) et attend une
rponse. Si aucune rponse nest reu au bout dune seconde (valeur par dfaut), la machine peut considrer
quaucun quipement nutilise cette adresse et peut donc lutiliser. Si une machine rpond, on ne peut pas
utiliser cette adresse, une intervention humaine sera srement ncessaire.
Pour connatre ladresse physique dune machine situe sur le mme lien, une machine envoie un message de
sollicitation vers ladresse multicast sollicite (adresse constitue du prfixe FF02::1:FF00:0/104 suivi des
24 derniers bits de ladresse unicast sollicite) et attend une rponse. La rponse contiendra ladresse
physique, ce qui permettra de commencer la communication directement (sans passer par le multicast).
Le message contient un prfixe de test (pour dterminer le ou les prfixes remplacer), une opration (ajout,
remplacement, ) et les nouveaux prfixes.
Les messages devront bien entendu utiliser lextension dauthentification pour viter quune machine ne
dclenche une renumrotation sans autorisation.
5 Configuration automatique
Un des grands avantages dIPv6 est sa capacit automatiquement configurer les postes clients.
Dans la pratique, il suffit de brancher le poste sur le rseau pour quil se configure automatiquement (il trouve
son adresse, les routeurs, les paramtres rseaux utiliser, ). On peut galement utiliser la nouvelle version
de DHCP pour avoir une configuration plus fine et transmettre dautres paramtres (serveur de noms, )
Note : Cela nest valable que pour les postes clients. Les routeurs doivent bien entendu tre configurs la
main.
Si aucun routeur ne rpond, la machine peut tenter une autoconfiguration avec tat sil y a un serveur DHCPv6.
Dans le cas contraire, elle ne pourra communiquer quavec les machines situes sur le mme lien en utilisant
son adresse lien local.
Configuration DHCP :
Sollicitation DHCP, message mis vers un serveur ou relais DHCP. Pour cela, on utilise ladresse
multicast des agents DHCP situs sur le lien (FF02::1:2).
Annonce DHCP en rponse la sollicitation. Contient ladresse IPv6 du serveur DHCP.
Requte DHCP pour demander les paramtres de configuration.
Rponse DHCP contenant les paramtres de configuration.
Reconfiguration DHCP mis par le serveur pour informer le client quil a de nouvelles informations de
configuration. Le client doit alors effectuer une requte de configuration.
Quand la machine a obtenu son adresse, elle doit vrifier que celle-ci est unique en utilisant le mcanisme de
dtection dadresse duplique (cf. 4.3.3.1). Si elle est unique, elle peut commencer lutiliser.
Cependant, il y a des cas o la table de routage pourrait tre optimise pour prendre en compte la topologie du
rseau :
Il y a un routeur plus appropri qui est situ sur le mme lien
La machine joindre est situe sur le mme lien (mme si elle a un prfixe diffrent)
Dans ce cas, le routeur peut envoyer un message ICMPv6 de redirection la machine pour lui indiquer de
mettre jour ses tables de routage.
Exemple :
R1 R2
ICMPv6 B
La machine A veut envoyer un paquet B. Comme B nest pas sur son rseau, elle lenvoie son routeur par
dfaut : R1. R1 lenvoie alors R2 qui est le routeur capable datteindre directement B. Comme R2 est sur le
mme lien que A, la machine A pourrait directement passer par R2 pour atteindre la machine B. Le routeur R1
envoie donc un message ICMPv6 de redirection A.
Destination Passerelle
Default F0C0::1:ID_R1
F0C0::2:ID_B F0C0::1:ID_R2
R1 R2
Principe :
Initialement, on considre que le PMTU est gal au MTU du lien sur lequel on se trouve.
Si le paquet traverse un lien avec un MTU infrieur, le routeur dtruit le paquet et envoie un message
derreur ICMPv6 de type message trop grand . La taille du MTU utiliser tant envoy en paramtre du
message derreur, lquipement met jour son PMTU.
On recommence envoyer jusqu ce que le paquet arrive destination.
De temps en temps, lquipement peut envoyer un paquet plus grand pour vrifier que le PMTU na pas
augment (grce un changement de route).
6 Scurit : IPSec
La plupart des logiciels voulant communiquer avec une gestion de la scurit ont dvelopp leurs
propres mcanismes/protocoles (SSH, Secure HTTP, PGP, ). IPSec (IP Security) a t cr pour intgrer
tous ces mcanismes directement au niveau de la couche IP. Comme IPSec sera obligatoire dans toutes les
implmentations dIPv6 1, la scurit pourra tre prsente sur tous les quipements rseaux. Les services de
scurit fournis sont la confidentialit, l'authentification et l'intgrit des donnes, la protection contre le rejeu et
le contrle d'accs 2. Ces services sont bass sur des mcanismes cryptographiques qui leur confrent un
niveau de scurit lev lorsqu'ils sont utiliss avec des algorithmes forts.
6.1 Prsentation
6.1.1 Ce que fait IPSec
En offrant des services de scurit au niveau de la couche transport, IPSec permet nimporte quelle
application dutiliser ses services.
Connexion de deux
machines entre elles Internet
Mode tunnel
A Site priv
Machine extrieure
Passerelle de scurit
Lgende
Passerelle de
Trafic non scuris
scurit
Trafic scuris
Note : ESP peut galement assurer l'authenticit des donnes par ajout d'un bloc d'authentification et la
protection contre le rejeu par le biais d'un numro de squence. Dans ce cas, lauthentification porte sur
lensemble des donnes chiffres.
1 Association de scurit : Cf. 6.3. Contient tous les paramtres de scurit qui seront appliqus une
communication.
Une association de scurit est dfinie de manire unique par une adresse de destination, un indice (SPI
Security Parameters Index) et lextension de scurit (AH ou ESP). Cela permet de retrouver les traitements
effectuer sur un paquet sans avoir accs aux autres champs (en effet, dans le cas du chiffrement, certains
champs, comme les ports, ne sont pas accessibles en clair).
Cette base contient une liste ordonne dentre qui permettent de choisir les types dassociations utiliser sur
tel ou tel trafic. Il y a deux bases SPD pour chaque interface (une pour le trafic entrant, une pour le trafic
sortant). On utilise pour cela des selectors :
Adresse IP source
Adresse IP de destination
Port source
Port destination
Protocole de niveau transport (obtenu par le champ en-tte suivant)
Identit de lutilisateur
Identit de lquipement (par exemple DNS)
Niveau de sensibilit des donnes (tiquettes normalises IPSO/CIPSO1)
Note : Certains selectors ne sappliquent pas forcement sur des champs contenus dans un paquet IP. En
particulier, le nom de lutilisateur local peut tre utilis pour viter de donner la mme cl deux utilisateurs
connects sur une mme machine (ils pourraient ventuellement la trouver en analysant ce quils envoient et ce
qui passe sur le rseau).
La liste des entre de la SPD est parcourue jusqu la premire entre qui satisfait les paramtres dun paquet.
Cette entre nous indique un groupe (zro, une ou plusieurs) dassociations de scurit contenus dans la base
SAD. On recherche ensuite lentre SAD qui satisfait les paramtres du paquet et on lutilise sur le paquet. Sil
ny a pas dassociation qui correspond, on en cre une nouvelle et on la chane avec les autres.
Dans cet exemple, on nutilise pas IPSec pour tout le trafic interne (FE80::/64 et FEC0::/48). Par contre, on
utilise lauthentification en mode transport pour tous les autres trafics (algo. hmacdes). Dans le cas du telnet
(port TCP 23), on ajoute galement le chiffrement des donnes par blowfish.
Cette base contient toutes les associations de scurits, ventuellement chanes entre elles dans le cas o
elles sont associes la mme entre de la base SPD. On accde une entre de la base SAD, soit par
chanage depuis la base SPD, soit avec un triplet (adresse destination, type (AH/ESP), SPI) qui identifie de
manire unique lassociation.
La base SPD est parcourue dans lordre jusqu trouver un lment qui satisfasse les paramtres du
paquet. Si on doit appliquer IPSec sur ce paquet, on utilise le groupe dassociations de scurit associ.
On parcourt cette liste (base SAD) jusqu trouver une association qui satisfasse les paramtres du
paquet.
Si on nen trouve pas, on la cre (avec les paramtres de la base SPD) et on linsre dans la liste (cf.
6.4.3).
On applique ensuite les paramtres de lassociation de scurit sur le paquet avant de lenvoyer sur le
rseau.
On utilise ladresse destination, type (AH/ESP) et le SPI pour rechercher lassociation de scurit utiliser
dans la base SAD.
On applique les paramtres de cette association pour vrifier/dchiffrer le paquet.
On recherche sil existe bien une entre dans la base SPD qui satisfasse les paramtres du paquet et qui
contienne bien lassociation qui a t utilis. Dans le cas contraire, le paquet est refus.
6.4.3.1 IKE
IKE (Internet Key Exchange) est un systme dvelopp spcifiquement pour IPsec et qui vise fournir des
mcanismes d'authentification et d'change de clef adapts l'ensemble des situations qui peuvent se
prsenter sur l'Internet. Il sagit dun protocole de haut niveau (couche applicative). Il est compos de deux
lments :
ISAKMP (Internet Security Association and Key Management Protocol) qui est utilis pour la ngociation,
la mise jour et la suppression des associations de scurit.
Oakley et SKEME qui sont utiliss pour faire de lchange/cration de cls.
Pour le moment, il ny a pas de protocole de distribution de cls publiques dans IKE, mais plusieurs solutions
sont ltude.
IKE est utilis dans le cas o IPSec a dtermin quil fallait appliquer des mcanismes de scurit mais quil
ny a pas encore dassociation de scurit correspondante. Dans ce cas IKE va tablir une connexion
scurise avec la machine distante et ngocier les paramtres de scurit. Une fois ces paramtres connus,
IKE cre la nouvelle association de scurit, qui va pouvoir tre utilise par IPSec pour envoyer son paquet.
Demande
cration Assoc.
de Securit Transport [TCP / UDP]
Pointe
SAD vers SPD Consulte IP + IPSec
Liaison
Configure
Physique
Administrateur
IPSec noblige pas utiliser IKE comme systme de gestion de cls. On peut donc utiliser dautres
protocoles, comme :
Kerberos
SKIP (Simple Key Management for Internet Protocol)
6.5 Multicast
La scurisation du trafic multicast pose les problmes suivants :
Tous les membres du groupe devraient utiliser la mme association de scurit. Cela implique quil nest
pas possible dauthentifier la machine source de manire sre : Si toutes les machines du groupe
possdent la cl, on ne peut pas tre sr que ladresse source indique dans le paquet est la bonne. Un
membre du groupe peut donc se faire passer pour un autre membre.
Il faut utiliser des techniques de distribution de cls entre les machines du groupe. Certains protocoles
sont ltude, mais ne sont pas encore assez matures pour tre standardiss.
7 Mobilit
La mobilit sous IPv6 est un concept assez nouveau, il permet un ordinateur de conserver son
adresse IP quel que soit le rseau sur lequel il est reli physiquement. Le mobile peut donc tre joint avec son
adresse mre (home address) alors quil possde une adresse temporaire ou mobile (care-of address), et en
cas de changement de rseau, les communications suivent automatiquement, sans interruption de service et
en optimisant le routage (les paquets nont pas forcement besoin de passer par le rseau mre).
7.1 Introduction
Pour quun mobile puisse tre joint par son adresse principale (ou adresse mre) quelque soit
ladresse quil utilise, il a besoin dun agent mre qui se chargera de router les paquets dans le cas o les
correspondants ne connaissent pas ladresse mobile. Voici une synthse simplifie de lutilisation de la
mobilit :
Le mobile cherche un agent mre (sur son rseau mre) et lui donne son adresse mobile (adresse
temporaire)
Si un correspondant veut joindre le mobile, il utilise ladresse mre du mobile. [1]
Le paquet est intercept par lagent mre et envoy au mobile (tunnel IP). [2] et [3]
Le mobile reoit le paquet et informe le correspondant quil utilise une adresse mobile. [4]
Le correspondant insre cette association dans son cache.
Tant que lassociation est valide, il envoie tous les paquets vers ladresse mobile [5]
Grce ce systme, une fois que le correspondant a pris connaissance de ladresse mobile, plus rien ne
passe par le rseau mre.
[4]
[5]
Correspondant
Mobile
[1]
Routeur
[3]
Agent mre
Ces options peuvent tre envoyes avec un paquet IP quelconque ou dans un paquet ne contenant aucune
donne.
Un message dacquittement doit ensuite tre renvoy la machine, en indiquant si la mise a jour a bien t
prise en compte et sinon pourquoi.
Si le message est accept, le routeur devient lagent mre du mobile. Il place son association dans son cache
comme tant une entre principale. Lassociation ne pourra en aucun cas tre supprime du cache avant
lexpiration de sa dure de vie. Comme lagent mre devra intercepter tous les paquets destination du mobile,
il devra envoyer des messages dannonce dun voisin (avec son adresse MAC comme adresse MAC du
mobile). De cette faon, toutes les machines du lien enverront les paquets destination du mobile vers son
agent mre.
Le paquet IP arrive ladresse temporaire avec ladresse permanente incluse dans len-tte de routage. La
couche IP change ladresse de destination et ladresse contenue dans len-tte de routage (comme pour
un routage normal). Comme la nouvelle adresse destination (adresse permanente) appartient aussi au
mobile, le paquet est trait normalement.
7.5.5 Envoi dun message Mise jour de lassociation son agent mre
Si le mobile change dadresse temporaire primaire (par exemple, si la prcdente nest plus oprationnel), il
doit en avertir son agent mre. Pour cela, il envoie un message de mise jour de lassociation avec le bit
Enregistrement principal positionn et contenant son adresse permanente. Il envoie priodiquement ce
message jusqu recevoir un acquittement.
7.6 Multicast
Mme en dehors de son rseau, un mobile peut continuer avoir accs des groupes de Multicast. Pour les
recevoir et envoyer des messages, il a deux possibilits :
Il senregistre aux groupes de son choix avec son adresse temporaire et en utilisant le routeur local. Les
envois se feront galement avec son adresse temporaire.
Il senregistre auprs de son agent mre et le trafic multicast passera par un tunnel entre lagent mre et le
mobile (il peut sagir du seul moyen de recevoir des groupes privs de son site mre).
7.7 Scurit
Les options dauthentifications sont obligatoires pour un certains nombre de messages concernant la
mobilit car il serait aussi non trop facile de court-circuiter le trafic dune machine vers une autre.
Lauthentification est donc obligatoire pour les messages de mise jour de lassociation et dacquittement.
Dans le cas o la position du mobile dans le rseau serait confidentielle, la mise en place des
mcanismes vus dans ce chapitre serait inapplicable et la seule solution resterait le tunneling de tous le
trafic, sans lutilisation des associations.
Dans le cas dun mobile, le trafic peut passer par nimporte quel point dInternet, mme dans le cas dun
dialogue entre deux machines du mme site (mais avec le mobile en dehors du site). On pourra donc
utiliser les extensions de confidentialit pour protger le trafic.
8.1 Introduction
Traditionnellement, le protocole IP ne garantit pas de qualit de service. La politique applique est celle
du Best Effort o tous les paquets sont considrs de la mme faon et o le seul but est de les faire
transiter le plus vite possible. Un octet tait cependant rserv dans IPv4 pour faire de la Qualit de Service
(Octet TOS) mais il tait assez limit (la precedence indiquait uniquement limportance dun paquet 1) et na
jamais t vraiment utilis. Le champ DiffServ (Differentiated Services) a t dfini pour permettre dappliquer
des mcanismes de Qualit de Service forts la fois sur IPv4 et sur IPv6, tout en restant compatible avec
lancien mcanisme (notion de precedence du champ TOS). Ce champ permet de donner un meilleur service
certains (et donc un moins bon service dautres) en fonction de ce qui a t dfini (ingalit planifie). La
finalit principale de la Qualit de Service est de fixer par contrat les caractristiques dune ligne et de pouvoir
traiter chaque trafic diffremment.
8.2 DiffServ
8.2.1 Structure
Loctet DiffServ est utilis dans le champ TOS de IPv4 et dans le champ Classe de trafic de IPv6. Il se prsente
sous la forme suivante :
DSCP CU
6 bits 2 bits
Le champ CU Currently Unused, nest pas encore utilis (comme son nom lindique).
Le champ DSCP Differentiated Services Code Point
Le champ DSCP permet de slectionner le traitement appliquer un paquet arrivant sur un quipement (PHB
Per-Hop Behavior). Un quipement faisant de la Qualit de Service doit donc avoir une table de
correspondance entre les DSCP et le PHB appliquer. Cette correspondance est libre et doit tre configurable.
Cependant un certains nombre de correspondances recommandes existent et devraient tre inclues dans la
configuration.
Comme la manire dont un paquet doit tre trait volue au cours du trajet, le champ DSCP peut tre modifi
par nimporte quel quipement en fonction de la nouvelle politique appliquer sur un lien ou en fonction du
comportement dun flux (un flux ne respectant pas son profil prdfini peut avoir son traitement modifi).
Marker Shaper
Voie A
Shaper
Trafic Entrant Voie B
Classifier
Dropper
Exemple de TCB
8.2.2.1 Classifier
Le Classifier spare le flux de donne entrant en plusieurs flux sortants en fonction de diffrents filtres.
Lutilisation la plus courante est de sparer le trafic en fonction du champ DSCP (ou dune partie de celui-ci)
pour pouvoir ensuite appliquer les traitements fonctions de chaque classe de trafic. On peut galement sparer
le trafic en fonction des adresses IP ou des ports pour pouvoir ensuite le marquer avec un champ DSCP
spcifique (peut tre utile en sortie de site).
Filtre A
Classifier Filtre B
Autre
8.2.2.2 Meter
Le Meter mesure les caractristiques dun flux et le divise en plusieurs trafics sortants en fonction de la
conformit au profil prdfini. Le profil le plus souvent utilis est le dbit moyen que doit respecter un flux. Tous
les paquets qui le respectent passent dun ct et tous les autres passent de lautre (ou sont dtruits). On
peut mme avoir plus de deux sorties lorsque le choix dpend du niveau de conformit (le trafic respecte bien
(vert), un peu (orange), ou pas du tout (rouge)).
Meter
8.2.2.3 Marker
Le Marker sert marquer tous les paquets qui arrivent avec un mme numro DSCP. Cela peut servir
marquer un trafic qui na pas de DSCP (sortie dun site sans QoS) ou remarquer un trafic en fonction du lien
sur lequel on va passer.
DSCP = * Marker
DSCP = 010010
DSCP = 010010
8.2.2.4 Dropper
Le Dropper dtruit tous les paquets. On utilise donc les droppers aprs des lments de slection (classifier,
meter) pour ne pas transmettre certains paquets.
Dropper
8.2.2.5 Shaper
Le Shaper est utilis pour forcer un flux respecter son profil. Au lieu de dtourner les paquets qui ne
respectent pas le profil (cf. meter), on les retarde et on les fait passer ds que possible.
Profil Profil
Shaper
Le Mirroring Element ddouble le trafic entrant en plusieurs trafics sortants. Cela peut tre utilis pour des
besoins de capture de donnes.
Mirroring Paquet A
Paquet A Element Paquet A
Paquet A
8.2.2.7 Mux
Le Mux effectue du multiplexage en regroupant plusieurs trafics entrants en un seul trafic sortant.
Trafic A Mux
Trafic A+B
Trafic B
Le Enqueueing Element insre les diffrents trafics entrants dans une file dattente. Il peut utiliser plusieurs
sortes dalgorithmes pour dterminer quels sont les paquets rejeter pour ne pas faire dborder la file
dattente : tail drop (on rejette tous les paquets qui arrivent quand la file est pleine), utilisation de niveaux de
destruction diffrents en fonction des paquets (cf. 8.2.4.2),
8.2.2.9 Monitor
Le Monitor est un lment passif qui compte le nombre doctets qui le traversent. Cette mesure de trafic peut
tre ensuite utilise pour faire des statistiques dutilisation, tablir des factures,
Monitor
Compteur
Le PHB EF permet de construire une liaison avec un dbit assur1 entre deux domaines DiffServ et avec des
caractristiques fixes par contrat. Une telle liaison peut tre considre comme une liaison point point ou
encore comme une ligne loue virtuelle. Ce service est galement connu sous le nom de Service Premium.
Pour cela, il faut rserver le dbit ncessaire sur toutes les lignes situes le long du trajet et sassurer que le
trafic aux extrmits ne dpasse pas le dbit fix. De cette manire, il ny aura normalement aucune file
dattente car le trafic entrant pourra forcement tre achemin sans dlai. On vite ainsi les pertes, temps de
latence, congestion, Le fournisseur peut donc garantir le dbit et le temps de propagation sur cette LS
virtuelle.
R
R
R
A
R
R
R
Le PHB AF est utilis pour indiquer dans une mme classe quels sont les paquets dtruire en premier en
cas de congestion ou en cas de dpassement de trafic prdfini. 12 codes DSCP sont rserv au AF-PHB,
mais dautres codes peuvent tre utiliss en local. Ces 12 codes permettent lutilisation de 4 classes
comportant chacune 3 niveaux de destruction.
1 La dfinition complte est : a low loss, low latency, low jitter, assured bandwidth, end-to-end service.
Chaque classe est indpendante des autres, par contre lintrieur dune mme classe, certains paquets
seront dtruits en premier en cas de congestion.
Le Service Olympique utilise AF-PHB en proposant 3 classes (Or, Argent, Bronze) et o la classe en Or
dispose dune charge moins importante (et donc une probabilit dacheminement dans les temps plus
importante) que la classe en Argent. Idem entre la classe en Argent et la classe en Bronze. De plus, on
dispose de 3 niveaux de destruction lintrieur de chacune des 3 classes.
8.3 Utilisation
8.3.1 Contrat de Service
Pour pouvoir faire de la qualit de service, il faut ncessairement tablir un contrat de service entre deux
domaines DS 1 adjacents (le notre et celui du fournisseur daccs). Ce contrat spcifiera les services proposs,
ainsi que les caractristiques des trafics circulants entre les deux domaines, en terme de dbit, temps
dacheminement, taux de perte, Il permettra galement de spcifier les codes DSCP utiliser.
Du ct de notre domaine DS, il faudra sassurer (en fonction du contrat) que le trafic respecte le profil dfini et
il faudra ventuellement marquer celui-ci avec un code DSCP correspondant au service que lon attend. En
fonction du contrat, tous ce travail pourra tre fait uniquement du ct du fournisseur.
Du ct du fournisseur daccs, il vrifiera que le trafic respecte le profil prdfini et appliquera des mesures
restrictives (drop, changement de classe, shaping) dans le cas contraire. Il peut ventuellement remarquer le
trafic avec un nouveau code DSCP en fonction de son rseau. De la mme faon, il ngociera un contrat avec
ses propres fournisseurs pour la transmission de son trafic vers lextrieur.
R
Domaine DS
Domaine DS
Contrat de
R Service
R R
Domaine DS
La succession des contrats de service permet dassurer la qualit de service travers plusieurs domaines DS.
En effet, pour certains services, il faut pouvoir assurer les caractristiques des liens entre tous les domaines
DS. Si lon passe par un domaine sans QoS, on ne peut plus assurer les caractristiques dun trafic. Un
ensemble de domaines DS contigus forment une rgion DS, cest dire une rgion o la diffrentiation de
service est possible.
9 Conclusion
Pour favoriser son dploiement, les concepteurs dIPv6 ont d proposer un protocole capable de rsoudre tous
les problmes que l'on rencontre avec IPv4. Parmi les notions importantes dIPv6, on peut noter :
Grer les adresses plus efficacement en gardant lespace dadressage le plus agrg possible (ce qui
facilite le routage) et en ayant un pool dadresse inpuisable, capable de subvenir tous les besoins.
Faciliter le dploiement de postes clients en permettant une configuration automatique de tous les
paramtres rseau.
Dcharger les routeurs en effectuant une partie des traitements sur les machines terminales
(fragmentation, optimisation du routage, vrification des sommes de contrle) et en simplifiant certains
aspects (simplification des en-ttes, identificateur de flux, agrgation des adresses IPv6).
Intgrer les nouvelles technologies qui manquent IPv4 et qui seront essentielles au dveloppement
futur dInternet : Scurit, Mobilit, Qualit de Service, Lintgration par dfaut de ces nouvelles
technologies permet de les utiliser grande chelle et dviter lemploi dune multitude de mcanismes de
substitution.
Faciliter la transition de IPv4 vers IPv6 en dfinissant quelques mcanismes de cohabitation permettant
une migration lente et progressive.
Toutefois, mme sil y a quelques mcanismes censs faciliter la transition, la migration de gros rseaux
risque dtre dlicate et va devoir ncessiter des mises jour tous les niveaux (quipements rseau,
systmes dexploitation et logiciels).
10 Annexe 1 : Bibliographie
[PPUREC2] Internet Protocol version 6 Transparents PowerPoint L. Toutain & JL. Richier & T. Noel
Prsentation du G6 Novembre 1999
10.2 Protocole
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.
[RFC2460] Internet Protocol, Version 6 (IPv6) Specification S. Deering & R. Hinden Dcembre 1998
Statut : Draft Standard.
10.3 Adressage
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.
[RFC1886] DNS Extensions to support IP version 6 S. Thomson & C. Huitema Dcembre 1995
Statut : Proposed Standard.
[RFC2373] IP Version 6 Addressing Architecture R. Hinden & S. Deering Juillet 1998 Statut :
Proposed Standard.
[RFC2374] An IPv6 Aggregatable Global Unicast Address Format R. Hinden & M. ODell & S. Deering
Juillet 1998 Statut : Proposed Standard.
[RFC2375] IPv6 Multicast Address Assignments R. Hinden & S.Deering Juillet 1998 Statut :
Informational.
[RFC2450] Proposed TLA and NLA Assignment Rule R. Hinden Dcembre 1998
Statut : Informational.
[IETFPRIV] Privacy Extensions for Stateless Address Autoconfiguration in IPv6 T. Narten & R. Draves
Octobre 1999 Work In Progress draft-ietf-ipngwg-addrconf-privacy-01.txt.
[IETFDNS] DNS Extensions to Support IPv6 Address Aggregation and Renumbering M. Crawford & C.
Huitema & S. Thomson Novembre 1999 Work In Progress draft-ietf-ipngwg-dns-lookups-
06.txt.
[ARINASS] Provisional IPv6 Assignment And Allocation Policy Document ARIN, APNIC, RIPE NCC
May 1999 http://www.arin.net/regserv/ipv6/IPv6.txt.
10.4 ICMPv6
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.
[RFC2463] Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) A.
Conta & S. Deering Dcembre 1998 Statut : Draft Standard.
[IETFICMPNA] IPv6 Node Information Queries M. Crawford Octobre 1999 Work In Progress - draft-ietf-
ipngwg-icmp-name-lookups-05.txt.
[IETFICMPRO] Router Renumbering for IPv6 M. Crawford Juin 1999 Work In Progress - draft-ietf-ipngwg-
icmp-router-renum-09.txt.
[RFC2461] Neighbor Discovery for IP Version 6 (IPv6) T. Narten & E. Nordmark & W. Simpson
Dcembre 1998 Statut : Draft Standard.
10.6 Scurit
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.
[RFC2401] Security Architecture for the Internet Protocols S. Kent & R. Atkinson Novembre 1998
Statut : Proposed Standard.
[RFC2402] IP Authentification Header S. Kent & R. Atkinson Novembre 1998 Statut : Proposed
Standard.
[RFC2406] IP Encapsulating Security Payload (ESP) S. Kent & R. Atkinson Novembre 1998 Statut :
Proposed Standard.
[RFC2409] The Internet Key Exchange (IKE) D. Harkins & D. Carrel Novembre 1998 Statut :
Proposed Standard.
[VEILLEHSC] Veille IPSec - Ghislaine Labouret (Herv Schauer Consultants) Avril/Juin 1999
http://www.hsc.fr/ressources/veille/ipsec/index.html.fr.
10.7 Mobilit
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.
[RFC2526] Reserved IPv6 Subnet Anycast Addresses D. Johnson & S. Deering Mars 1999 Statut :
Proposed Standard.
[IETFMOB] Mobility Support in IPv6 D. Johnson & C. Perkins Octobre 1999 Work in Progress draft-
ietf-mobileip-ipv6-09.txt.
[RFC2475] An Architecture for Differentiated Service S. Blake & D. Black & M. Carlson & E. Davies &
Z. Wang & W. Weiss December 1998 Statut : Informational.
[RFC2597] Assured Forwarding PHB Group J. Heinanen & F. Baker & W. Weiss & J. Wroclawski
Juin 1999 Statut : Standards Track.
[RFC2598] An Expedited Forwarding PHB V. Jacobson & K. Nichols & K Poduri Juin 1999 Statut :
Standards Track.
[IETFDS] A Framework for Differentiated Services Y. Berner & J. Blinder & S. Blake & M. Carlson &
B. E. Carpenter & S Keshay&E. Daies & B. Ohlman & D. Verma & Z. Wang & W. Weiss
Fvrier 1999 Work in Progress draft-ietf-diffserv-framework-02.txt.
Lauthentification mutuelle
Lauthentification mutuelle permet deux entits de se prouver mutuellement leur identit.