Évolutions du modèle TCP/IP IPv6

heatanklesSoftware and s/w Development

Jul 2, 2012 (4 years and 11 months ago)

365 views

andreu@lirmm.fr
Partie 8
:
Évolutions du
modèle TCP/IP
-
IPv6
andreu@lirmm.fr
Modèle TCP/IP
Bilan du modèle TCP/IP

Pile protocolaire la plus utilisée
actuellementsur les réseaux (LAN et
WAN)
•Avantages
:
-protocoles simples et efficaces,
-gratuit et disponible sur nombreux équipements,
-standardiséet documenté,
-supporte de nombreuses applications.
•IPv4 a étéretenu comme le protocole universel de niveau Réseau
andreu@lirmm.fr
Modèle TCP/IP
•Support de nouveaux types de
communication
(ex: voie ou video)
=> besoins de + desécuritéet qualitédes
transferts.
•Support de nouveaux types
d’architectures
: client/client(peerto peer)
ou diffuseur en plus du client/serveur.
.. mais évolutions nécessaires
•et surtout : saturation de l’espace d’adressage de IPv4
et explosion de la taille des tables de routage.
•Réseau sans fils
: gestion de la mobilitédes acteurs
•accès au grand public
: besoin de facilitéde configuration.
andreu@lirmm.fr
Modèle TCP/IP
Les solutions actuelles..
•Sécurité
:surtout pour les réseaux d’entreprises
oVPN: (appli peer-to-peer) établissement d’un tunnel sécurisé,
authentification des correspondant et cryptage des données (IPsec).
Pb : accessibilitéd’un correspondant derrière le NAT
ofirewall: filtrage des paquets IP.
Pb : problèmes de gestions avec les appli peer-to-peer(utilisation de
port TCP ou UDP dynamique).
•QoS
:pour les nouvelles applications télécom
oEx de solutions actuelles : divers protocoles tels RSVP, DiffServ,
IntServ, MPLS, RTP, RTCP
opb: complexes, limitéset peuefficaces.
andreu@lirmm.fr
Modèle TCP/IP
Les solutions actuelles..
•Simplicitéde mise en œuvre
:
oAccès grand public: besoin du + de transparence possible pour les
utilisateurs.
oNAT, DNS, DHCP: ces mécanismes simplifie les configurations
utilisateurs mais nécessitent une configuration et maintenance "experte".
•Mobilité
:pour les réseaux sans fils
oDéplacement d’un réseau àl’autre : pbde configuration.
oDéplacement pendant une communication (ex : téléphonie mobile).
andreu@lirmm.fr
Modèle TCP/IP
L’espace d’adressage IPv4
•Environ 3.9 milliards d’adresses IPv4 publiques
disponibles (232
–classD, etc..). Les prévisions disent
que ces adresses seront toutes utilisées avant la fin de
la décennie
.
•Chiffres
: en 2003, reste 1.3 milliards d’@IP dispo.
Mais croissance mondiale d’Internet de 30%, qui ne
risque pas de diminuer (cf. cours Partie 2).
•Rmq: la majorité(74%) des @IP allouées sont
attribuées àla "zone américaine". IPv6 est donc un
enjeu important pour l’Europe et l’Asie
.
La solution actuelle : le NAT
(Network AddressTranslation)
andreu@lirmm.fr
Modèle TCP/IP
Taille des tables de routage
•La capacitéde stockage des tables de routage est limitée dans les routeurs. De +,
certains protocoles de routage envoi explicitement ces tables sur le réseau : surcharge.
•Le CIDR permet non seulement une optimisation du routage, mais également une
meilleure répartition des @IP.
La solution actuelle : le CIDR
(ClasslessInter-DomainRouting)
andreu@lirmm.fr
Modèle TCP/IP
LA SOLUTION A VENIR :
IPv6
-espace d’adressage plus grand (sur 16 octets),
-routage plus efficace (entête simplifiée, plus d’options),
-marquage des flux particuliers (QOS, priorités, etc.),
-sécurité(authentification et intégrité),
etc.
Protocole IPv6
andreu@lirmm.fr
Les Problèmes
:
-cettetechnique nerésoudpas de façondurable les problèmesde routageet d’adressage.
-complexitéde la configuration et de l’administration.
-manipulation des @IP : pas de sécuritéde bout en bout IPsec(VPN)
-manipulation des @IP : tpsde traitement=> baissedes performances.
-difficultédudéploiementdes applications peer-to-peer : pour connaitreune@IP cachée
derrière un NAT, obligation de la miseen oeuvre de mécanismescomplexes.
-difficultéde gestionde la mobilité.
Prolongation duprotocoleIPv4
…le NAT
CISCO
SYSTEMS
l
a
t
i
g
i
d
HEWLETT
PACKARD
Com3
réseau local
Internet
UneseuleadresseIP publique
AdressageIP
(valablelocalement)
Routeur(passerelleIP)
assurantla traduction
des adressesdansles deuxsens
switch
Modèle TCP/IP
andreu@lirmm.fr
Réseau IP privéet accès extérieur
IDC
A
B
C
D
E
F
G
H
SELECTED
ON-LINE
INTERNET
172.30.45.34
Passerelle R
172.30.45.56
172.30.45.67
172.30.45.1
A
193.49.18.21
Réseau privé
(adresses non routables)
Comment accéder àl’extérieur ?
-translation d’adresse …NAT(Network AdressTranslation)
-relaiapplicatif, i.e. assumépar une application…mandataire ou «proxy»
Illustrations
Modèle TCP/IP
andreu@lirmm.fr
Réseau IP privéet translation d’adresse
Principe du NAT : associer plusieurs adresses privées àune même adresse publique
en agissant sur les ports TCP ou UDP qu’ils relaient.
IDC
INTERNET
199.60.23.12
Passerelle R
172.30.45.56
172.30.45.1
A
193.49.18.21
172.30.45.56
199.60.23.12
5555
80
Envoi requête HTTP
193.49.18.21
199.60.23.12
2222
80
Translation et mémorisation
{172.30.45.56, 5555}
vers {193.49.18.21, 2222}
Réception requête HTTP
Envoi de la réponse
199.60.23.12
222280
193.49.18.21
199.60.23.12
555580
172.30.45.56
Restauration adressage initial
Réception réponse HTTP
@IP source
Portcible
Port
source
@IP cible
légende
DATA
andreu@lirmm.fr
Réseau IP privéet translation d’adresse
Limitation: connexion entrante (i.e. venant de l’extérieur du réseau privé) pas possible !
Solution: translation d’@ et de ports (port forwarding: correspondance entre le port du serveur
sur A et un port du routeur) afin de relayer une demande externevers un serveur interne.
IDC
INTERNET
199.60.23.12
Passerelle R
172.30.45.56
172.30.45.1
A
193.49.18.21
172.30.45.56
199.60.23.12
23
4444
Demande connexion Telnet
sur le serveur de la machine A
(résol. DNS -> @IP passerelle R)
193.49.18.21
199.60.23.12
23
4444
Translation et mémorisation :
{193.49.18.21, 23} vers
{172.30.45.56, 23}
199.60.23.12
234444
193.49.18.21
Restauration translation
@IP source
Portcible
Port
source
@IP cible
légende
DATA
Traitement de la demande
et réponse
199.60.23.12
234444
172.30.45.56
andreu@lirmm.fr
Réseau IP privéet relaiapplicatif
Principe du relaiapplicatif : utiliser un mandataire ou «proxy»qui assure le relaides
requêtes pour le serveur distant de l’application concernée.
(ici proxyweb mais idem pour proxyFTP)
IDC
INTERNET
199.60.23.12
Passerelle R
172.30.45.56
172.30.45.1
A
193.49.18.21
172.30.45.56
172.30.45.1
5555
3128
Navigateur configurépour
envoyer les requêtes au proxy
(@IP locale & port 3128)
193.49.18.21
199.60.23.12
4444
80
Mémorisation de la demande
de {172.30.45.56, 5555}
Réception requête HTTP
Envoi de la réponse
199.60.23.12
444480
193.49.18.21
172.30.45.1
55553128
172.30.45.56
Délivrance de la demande initiale
Réception réponse HTTP
@IP source
Portcible
Port
source
@IP cible
légende
DATA
andreu@lirmm.fr
Prolongation duprotocoleIPv4 …le CIDR
•Motivations
:
-Offrirplus d’adressesréseau(face àl’épuisement)
-Limiter le nombred’entréesdansles tables de routage(mémoire)
•Moyens
:découpageen sous-réseaux.
-découperles réseaux(classeA notamment) en utilisantla technique des masques.
-agrégerles routes, ex : blocs contigusd’adressesC désignéspar uneseuleroute
•Inconvénient
:
-suppose de renonceràla logiquedes classes (qui fixela partiede l’@ désignantle
réseau)
-nerésoudquepartiellementet temporairementle problème.
-pblorsde la restructurationde réseaux.
Modèle TCP/IP
andreu@lirmm.fr
Exempled’agrégationdes routes : adressesC désignéespar uneseuleroute
•193.127.32.0add : 193.127.32.0masque : 255.255.255.0
⇒193.127.32.0 / 24
•193.127.33.0add : 193.127.33.0masque : 255.255.255.0
⇒193.127.33.0 / 24
•les 2 réseaux sont agrégés en add: 193.127.32.0masque : 255.255.254.0
•l’agrégat (préfixe d’un supernet) estnoté193.127.32.0 / 23
préfixe/ nbbits dumasque
doncuneseuleentrée dansla table de routagereprésentantles 2 réseaux
•correspondance netmask/ nombre de réseaux de l’agrégat
255 (24)R=1
254 (23)R=2
252 (22)R=4
248 (21)R=8R = (255-netmask) + 1
...
Prolongation duprotocoleIPv4 …le CIDR
Modèle TCP/IP
andreu@lirmm.fr
•Résolutionduproblèmede l’espaced’adressage
: @ sur128 bits
•Simplification de la répartitiondes @, de la configuration
et duroutage
•Routage
: simplifiéet hiérarchique, traitementsimplifiédes entêtes.
•QoS
: différentsflux traitéspar priorités(classes de trafic)
•Sécurité
: service de VPN et cryptageIPsec.
•Mobilité
: une@ unique par mobile. Seull’@ réseaupeutchanger, récupérée
automatiquement
•Coexistence avec IPv4
QoS
Sécurité
Mobilité
Adressage
IP nouvelle génération: IPv6
Modèle TCP/IP
IPv6 :
andreu@lirmm.fr
Evolution duprotocoleIP…de IPv4 àIPv6
suppriméouremplacédansIPv6 par ...
étiquette de flux
supprimé
dans des entêtes séparées
longueur de la charge (données)
supprimés
adressage sur (16 octets)
hop limit
nextheader
supprimé
sur 64 bits
Modèle TCP/IP
andreu@lirmm.fr
Evolution duprotocoleIP…de IPv4 àIPv6
adressage
Un nouveau format de paquet
Version IP
Traffic ClassFlow Label
équiv. “TTL”(IPv4)
longueurcharge (<64K) (en-têtede longueurfixe)
128 bits (16 octets)
Prioritéouclassede trafic
(Differentiated Services)
Marquagedes paquets
(notammentpour “qualitéde service garantie”)
options
Sioption (en-têtesupplém.)
sinonéquiv. “protocol”(IPv4)
bit
40 octets
QoS
andreu@lirmm.fr
Modèle TCP/IP
IP et la QoS
format de paquetIPv6
Version IP
Traffic ClassFlow Label
format de paquetIPv4
Pas vraimentexploitépar les équipementsactuels
Apportimportant pour la notion de QoS
Type of Service
Cf. principeRSVP
Cf. principeMPLS
andreu@lirmm.fr
Le paquetIPv6
estsimplifié(entêtede 7 champs contre 13 pour IPv4)
pour un traitementplus efficace(minimisé)par les routeursintermédiaires:
•longueurfixedes entêtes,
•suppression duchamp Options remplacépar de nouveaux entêtesd’extension
-intercalésentrel’entêteIP et la charge, ainsipas de traitementpar les routeursintermédiaires
•suppression de la sommede contrôlede l’entête
-déplacéeversdes protocolesde niveausupérieur(TCP ouUDP)
Le paquetIPv6 conserve:
•un champ Longueurde charge utile (payload length),
•En-têtesuivant(àla place duchamp décalagede fragment)
Le paquetIPv6 apporte:
•le champ d’étiquetagede flux, utilisédansle casd’unepolitiquede qualitéde servicegarantie
•un adressagesur128 bits (au lieu de 32 bits pour IPv4)
Modèle TCP/IP
Le paquetIPv6
andreu@lirmm.fr
IPv6.. Les options, les entêtes
Un nouveau format de paquet/ options
Présenced’en-têtes(optionnelles)
Sans option
Next Header ≡Protocol
IPv6IPv4
Avec 1 option
Next Header =Routing
Next Header = TCP
Avec 2 options
Next Header =Routing
Next Header =Fragment
Next Header = TCP
(source : urec)
Modèle TCP/IP
andreu@lirmm.fr
En-têtesoptionnellesde routage
•Next Header =Hop-by-Hop Header
-transport d’informationàexaminer surchaquenœudintermédiairedu“chemin”dudatagramme
•Next Header =End-to-end Header
-transport d’informationàexaminer seulementpar le destinataire
•Next Header = Routing Header
-routage àpartir de la source (memealgosde routage que IPv4 : RIP, OSPF, BGP..)
-liste de sites intermédiaires du «chemin»du datagramme
-Reverse bitsi = 1, utiliser aussi l’info de routage pour le retour
sinon, résoudre le routage àpartir de l’extrémitédu destinataire
(source : urec)
IPv6.. Les options, les entêtes
Modèle TCP/IP
andreu@lirmm.fr
Autresen-têtesoptionnelles
•Next Header =Fragment Header Fragmentation, àla source uniquement.
-MTU* : 512 à1500 octets (minimum 576 octets).
•Next Header =Authentication Header
-authentification(“source”) et intégrité(“l’original”) des données
•Next Header = Privacy Header
-chiffrement des données àprotéger (“illisibles”)
* Maximum Transfert Unit
(source : urec)
IPv6.. Les options, les entêtes
Modèle TCP/IP
andreu@lirmm.fr
«Racine»
Site
FP
Format Prefixe: type d’adresses
(point àpoint, multipoint, anycast)
FP
frontièresfixes
AdresseIPv6 subdiviséeen plusieursniveauxde hiérarchie
EXEMPLE
: (format hexadecimal) 2001:0000:0000:0000:0003:F8FF:FE21:67CF
Un nouveau format d’adresse
Modèle TCP/IP
TLA
(grandsréseauxopérateurs)
NLA
(niveauFAI)
SLA
(hiérarchisationde sites)
Réservés
(besoins futurs)
@ Interface machine
(construitàpartirde l’adresseMAC)
Par ailleurs, les adressesserontgéréeset attribuéeslocalement
par le fournisseurde niveauimmédiatementsupérieur(SLA,
NLA..): élimineles freinsadministratifsàla croissanceduréseau.
andreu@lirmm.fr
•Diffusion généraled’IPv4 (broadcast) disparuedistribution multipoint d’IPv6 (multicast
)
-toutestation peutrejoindreun groupede diffusion en le signifiantau routeurle plus proche.
-les envois de paquetsàl’adressede cegroupetoucheronttoutesles stations qui le composent
,
•Introduction des adressesanycast
groupesd’hôtes.
-seulela machine la plus proche
sera jointe(uneinterface parmisle groupe)
-applications potentielles: répartitionde charge surserveurs, redondancede routeurs, hôtesmobiles...
Introduction de l’autoconfigurationdes adressesdes hôtes(unicast
)
-nécessiteuniquementl’attributionmanuelledes adressesdes routeurs
-les stations concatènentleursadressesMAC avec un préfixedonnépar le routeurle plus proche
autoconfigurationet anycastfavorisentla mobilitédes hôtes
-nouvelle adressed’un hôtemobile enregistréepar le routeurduréseaud’origine
-cedernier “fait suivre”les paquetsàl’hôtemobile, àtraversun tunnel IP (tunnellage)
Types d’adressesIPv6
Modèle TCP/IP
andreu@lirmm.fr
Modèle TCP/IP
Comparaison IPv4 / IPv6
Adressage
Appli peer-to-peer
Configuration
Mobilité
Sécurité
IPv4
NAT, CIDR
Nécessite des proxysapplicatifs
pour passer le NAT
Config manuelle ou
DHCP
Découverte des
services par multicast
Pas de config des
routeurs
Protocole complexe
Pb du nombre d’@
et du NAT
Proxys+
firewall
Sécurité
IPsec
difficile à
cause du
NAT
IPv6
Espace
adressage
quasi-infini.
Pas de problème
Config automatique
Découverte des
services par unicast
Config des routeurs
Autoconfigd’@
Une @ permanente
Optimisation des
transferts
Proxyset
firewall
IPsec
possible
andreu@lirmm.fr
Déploiementsurles mêmesinfrastructures queIPv4 doncdifférentestechniques de cohabitation:
•utilisationde machines utilisantdeuxpiles de protocoles, l’uneIPv4 l’autreIPv6
-permetde maintenirla compatibilitéavec les machines en IPv4.
-maissuppose de mettreàjour les serveursDNS pour qu’ilsrenvoientuneadresseIPv4 ouIPv6.
•encapsulationdes adressesIPv6 dansdes paquetsIPv4 (ouinverse) : tunneling
-en-têtesIPv6 transportéescommeunesimple charge dansun paquetIPv4
-dansun réseauIPv6, communication directevia IPv6
-suppose l’utilisationd’unemachine àdouble pile aux frontièresde cedomaine...“îlots”IPv6.
•traductiondes protocoles: conversion des entêtes
-Problèmepour la continuitédes services (sécurité, QoS)..
La cohabitation IPv4 et IPv6 …
Modèle TCP/IP
andreu@lirmm.fr
Pseudo-TLA
ExpérimentationIPv6 depuis1995 …en France, ils’agitduG6, reliéau réseauIPv6
mondial(6Bone).
Modèle TCP/IP
Renater3 (fin 2002) assurait
déjà
la connectivité
IPv6
andreu@lirmm.fr
FIN