mobile ip - freeguillaumemuller1.free.fr/cours/esil/reseau/tcpippart2.pdf · objectifs ipv6...

Mobile IP Les composants :

Mobile Node Home Agent Foreign Agent

Les fonctions : Agent discovery L'enregistrement (care-of-address)

Foreign Agent ou Mobile Node Le tunneling

IGMPProtocole d'appartenance à un groupe

Internet Group Management Protocol Gestion des abonnés à un groupe

Routeur multicast 224.0.0.1 – TTL 1 Queries fréquentes (1 mn)

Hôte d'un groupe Report différé Report sans querie

IGMPv1, v2 et v3

Protocole de routage Multicast Dense Mode

Dense (DVMRP, PIM DM) Flood : envoyé partout RPF Check : vérifie si on reçoit le même trafic

de 2 routeurs différents Assert : en cas de routeurs concurrents sur un

même réseau Prune : élimine les routes redondantes ou innu-

tile Reflooding : pour les nouveaux arrivants Graft : A la demande d'un nouveau, annule un

prune

Protocole de routage MulticastDense Mode

Protocole de routage MulticastSparse Mode

Sparse (PIM SM) Join Explicit RP : Point de Rendez Vous DR : Routeur Désigné Prune Graft

La couche Application

HTTP, FTP, POP, SMTP, ...des protocoles en mode texte !

HTTP Apache et IIS Structure d'une adresse HTML, PHP & ASP, CGI, Javascript et Applet Java Cookies MySQL Requete : GET /index.htm HTTP/1.1 Option : host: www.esil.univ-mrs.fr

Proxy Hebergement mutualisé

Retour HTTP

Entête

Corps

HTTP/1.1 200 OKDate: Thu, 20 Dec 2001 17:11:50 GMTServer: Apache/1.3.19 (Unix) PHP/4.0.6Last-Modified: Thu, 20 Dec 2001 16:36:22 GMTETag: "2cb9e7-61c-3c221386"Accept-Ranges: bytesContent-Length: 1564Connection: closeContent-Type: text/htmlX-Pad: avoid browser bug

<html><head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"></head><Body>... </html>

FTP 2 ports TCP : 21 et 20 PI : Protocole Interpreter

Client : User PI & Serveur : Server PI DTP : Data Transfer Process

Client : User DTP & Serveur : Server DTP FTP à 3 ! Commandes USER, PASS, PORT, RETR,

STOR, ... Mode Passif : Les Firewalls

PASV

Les réponses1er chiffre

1xx : réponse préliminaire positive 2xx : réponse positive de réalisation 3xx : réponse intermédiaire positive 4xx : réponse négative de réalisation 5xx : réponse négative permanente

Réponses2nd chiffre

x0x : syntaxe x1x : information x2x : connexion x3x : authentification x5x : système de fichier

POP Port 110 USER & PASS

pas de cryptage LIST, RETR, DELE, QUIT

Notion de flag et de fin de transaction IMAP

port 143, vocation webmail état : login, select fetch

SMTP

ESMTP : HELO ou EHLO port 25 Aucune authentification SMTP Relai MAIL FROM:<adresse> & RCPT TO:<adresse> DATA

from: "Nom" <adresse> - to: "Nom" <adresse> cc: "Nom" <adresse> - bcc: "Nom" <adresse> date: Wed, 7 Nov 2006 17:39:28 +0200 (CEST) message-id : numéro unique - subject: titre contenu - <CRLF>.<CRLF>

Fonctionnement de la messagerie

MUA : Mail User Agent permet d'envoyer et recevoir des mails

MTA : Mail Transfert Agent Serveur SMTP, permet de transmette un mail

MDA : Mail Delivery Agent Serveur POP, IMAP, permet de stocker un mail

MX : Mail eXchanger MTA et MDA

Remarque : MTA vers MDA = SMTP

Les pièces jointes : MIMEMultipurpose Internet Mail Extension

From: To: Subject: envoie d'une piece jointeMIME-Version: 1.0Content-Type: multipart/mixed;boundary=-=_unique-bondary-number

This is a multi-part message in MIME format.

---=_unique-bondary-numberContent-Type: text/plain;charset="us-ascii"Content-Transfer-Encoding: 7bit

ceci est un message au format texteil y a un attachement.

---=_unique-bondary-numberContent-Type: application/octet-stream;name="Image1.jpg"Content-Transfer-Encoding: base64Content-Disposition: attachment;filename="Image1.jpg"

iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAIAAACQd1PeAAAAL3RFWHRDcmVhdGlvbiBUaW1lAHZlbi4gMTcgamFudi4gMjAwMyAxMjozMDowNyArMDEwMDJfaQ8AAAAHdElNRQfTARELHzhktoSKAAAACXBIWXMAAAsSAAALEgHS3X78AAAABGdBTUEAALGPC/xhBQAAAAxJREFUeNpj+P//PwAF/gL+MxKVFAAAAABJRU5ErkJggg==

---=_unique-bondary-number.

Encapsulation

Encapsulation classique exemple HTTP

Encapsulation IP over IP GRE Adressage privé over Internet

Encapsulation Sécurisé IPSec

Cumul d'encapsulation

Notions de VPN

Sécurisé ou non Tunneling de niveau 3

IPSec Tunneling de niveau 2

PPTP, L2F, L2TP Tunneling de niveau 5

SSL / TLS

Chiffrement

Chiffrement symétrique ROT13,DES, TripleDES, AES, RC4 1 clef unique

Chiffrement asymétrique DSA, RSA 1 clef publique, 1 clef privée

Hachage MD4, MD5, SHA irréversible

Confidentialité

Chiffrement symétrique secret partagé pour crypté les données client et serveur connus ou bien ...

client crypte, serveur crypte client décrypte, serveur décrypte

Chiffrement asymétrique clé publique du serveur crypte clé privée du serveur décrypte

Authentification

Méthode du challenge MD5 Password => attaque de rejeu MD5 Password + challenge unique

Signature Clé publique décrypte Clé privé crypte Entête = login Corps = crypté avec privé

Attention : pas confidentiel, tout le monde décrypte

Intégrité Hachage du message

Echantillon représentatif Cryptage privé du hachage

Signature d'un document en clair Si modif du doc = signature incohérente Intégrité et Authentification

Intégrité + Confidentialité Hachage Cryptage privé Cryptage publique

Certificat Document Nom Prénom Adresse ... Clef publique

Signé (Intégrité + Authentification) Non modifiable Distribuable par le client lui même Autorité de certification

Seules les Clefs publiques des CA sont connues

QoS Débit Délai Gigue Taux de perte Fiabilité

Surdimentionnement Gestion des flux

DiffServ IntServ et RSVP

Trafic engineering

VoIP Numérisation de la voix

codec débit 2 à 64 kbps

Signalisation H323 : Standard de téléphonie SIP : HTTP Like

Passerelle et PABX IP ou IPBX Nécessite de la QoS

VoIP sur du LAN VoIP sur Internet

Exemple

Exemple de gain intersite

Exemple avec une seule passerelle

Exemple avec un centrex IP

Exemple avec un centrex IP

IPv6 Pourquoi ?

Internet double tous les ans épuisement des adresses IP explosion des tables de routage

Adressage : IPv4 = 232 adresses

(~ 4,3 milliards)

Répartition inégale 74% États Unis,

17% Europe et 9% Asie

Pénurie d’adresses

IPv4 les problèmes

Explosion des besoins Applications consommatrices d’adresses permanentes :

Services mobiles GPRS et UMTS Accès haut débit et mode « always on » Électronique connectée et véhicules communicants Applications domotiques et réseaux de capteurs

IPv4 les fausses solutions

Adressage : gestion de la pénurie d’adresses Politiques drastiques d’attribution d’adresses (RIR) CIDR (Classless Inter Domain Routing) :

Agrégation de classes IP contiguës Retarder la croissance des tables de routage => 5 ans

NAT (Network Address Translation) : Alourdit la gestion des réseaux et entraîne un surcoût (30 à 35%) : tps

de traitements augmentent et QoS se dégrade Un frein au développement des applications temps réels et P2P

Ipv4 les faux problèmes Sécurité

IPSec, L2TP, SSL, ... QoS

RSVP, Intserv, Diffserv, ... Mobilité

Mobile IP, Cellular IP, ... Ipv6 = traitement natif

IPSec de bout en bout QoS mieux intégré Mobile IP chez le client Avantages non significatifs

Adressage IPv6

128 bits – 16 octets IPv4 : 4 milliards d'adresses IPv6 : 256 milliards de milliards de milliards de

milliards d'adresses Adressage hiérarchique

simplifie d'agrégation d'adresses ISP Géographique

réduit les routes de coeur de réseau Auto-configuration (adresse MAC incluse)

Unicast, Multicast et Anycast

Objectifs IPv6 Conserver ce qui a fait le succès d’IP en améliorant les défauts !

(Un passage à IPv6 est il vraiment nécessaire)

Adressage à 128 bits (16 octets)

Routage multicast

Adresse Anycast

Entête d’extension

Source Routing

Transition simple et flexible d’IPv4 vers Ipv6

Coût de démarrage faible

Support de la mobilité

Possibilité de capacité de service

Authentification

Confidentialité

En principe IPv6 aucun rapport avec QoS

Entête IPv6

Champs d'entête Plus de fragmentation Plus de checksum Plus d'IHL Traffic Class

De 0 à 7 , pas de perte mais ralentissement possible De 8 à 15, pas de ralentissement mais perte possible

Next Header Option d'entête protocole de niveau 4

Entête d'extensions

Hop by Hop options header Destination options header-1 Source routing header Fragmentation header Authentification IPv6 encryption header Destination options header-2

Adresse IPv6

128 bits : 8 mots de 16 bits notation en hexa :2001:066B:3201:0000:0000:0000:6543:021F on peut supprimer les 0 en début de

chaque mot2001:66B:3201:0:0:0:6543:21F on peut remplacer une suite de 0 par ::2001:66B:3201::6543:21F

Format d'adresse IPv6

Partie IANA découpé en :TLA (Top Level Aggregator) 13 bitsNLA (Next Level Aggregator) 32 bits

Préfixe

8000 :: /3 = adresses géographiques d’utilisateurs (100) 4000 :: /3 = adresses d’ISP (010) 2000 :: /3 = adresses de tests (001) FF00 :: /8 = adresses de multicast (1111 1111) exemple :

3FFE :: /16 = 6-bone 3FFE : 0300 :: /24 = G6 3FFE : 0302 :: /32 = G6 Grenoble 3FFE : 0302 : 0003 :: /48 = CNRS G6 Grenoble

Les adresses spéciales loopback => ::1 local => FE80::/10

link local : SLA = 0 site local : SLA = SLA du site concerné

6bone => 3FFE::/16 officielle => 2001::/16 IPv4 mappé => ::FFFF:a.b.c.d IPv4 compatible => ::a.b.c.d 6to4 => 2002::/16

Adresse de multicast

FF00::/8 Flag

0 : permanent, 1 : temporaire Scope

1 node local, 2 link local, 5 site local, 8 global

Interface ID (IID)

64 bits Possibilité de la créer à partir de la MAC MAC Ethernet 48 bits (6 octets)

00:A0:24:E4:56:2B 3 octets : code constructeur 00:A0:24 3 octets : n° de série carte E4:56:2B

IID IPv6 64 bits (8 octets)00:A0:24:FF:FE:E4:56:2B

Neighbor Discovery Nouveau protocole utilisé sur le Link local

Router discovery MTU Link discovery Prefix discovery Adress resolution Duplicate adresse detection Redirect Neighbor unreachability detection

Remplace ARP, ICMP, DHCP

Neighbor discovery 5 messages

RS (Router Solicitation) Multicast : ff02 ::2, demande de RA

RA (Router Advertisement) périodique, Link MTU, Préfix

NS (Neighbor Solicitation) Adresse de niveau 2, duplication d'adresse, accessibilité

NA (Neighbor Advertisement) Réponse NS, changement d'adresse

Redirect identique ICMP Redirect

Autres protocoles DHCPv6

Autoconfiguration stateless DHCP statefull

ICMPv6 packet size too large

Mobile Ipv6 Binding Update

Protocole de routage RIPng, OSPFng, BGP4+

Intérêts IPv6

Économiques Équipementiers

Ipv6 : un levier de croissance. Renouvellement des matériels

Difficultés à justifier le passage à Ipv6 auprès des clients

Opérateurs Pouvoir fournir des adresses en nombres Fin de la domination des grands opérateurs => abon-

dance d’adresses Prêts mais attitude attentiste face à l’arrivée d’Ipv6

Intérêts IPv6

Économiques ISP

ISP plus faibles moins dépendants Affectation de préfixes et adresses permanentes =>

facilite applications P2P Utilisateurs

Plus grande indépendance vis à vis des prestataires Nouvelles applications simplifiées (VoIP, Visioconf…) Utilisateurs pourraient être le moteur inconscient

d’IPv6

Transition

Basculement rapide Croissance très forte des connexions Internet et

explosion des nouveaux services Forte demande de services mobiles (3G, WLAN) et

services sur réseaux fixes (jeux en ligne…) Problèmes de coûts en cœur de réseau et de

mise en conformité pour les entreprises Difficultés financières importantes sauf pour les domi-

nants Trop optimiste et donc à faible probabilité

Transition

Multimédia mobile Basé sur une demande importante et des investisse-

ments des opérateurs mobiles en Ipv6 Croissance des technologies 2,5G/3G et percée des réseaux

WLAN Profitable à : filière mobile, équipementiers, fournisseurs

de services mais pas aux réseaux fixes Démarrage des services sur réseaux 2,5G/3G plus lents

que prévu, probabilité moyenne

Transition

Transition modérée Anticipation sur demande en nouveaux services sur ré-

seaux fixes et mobiles raisonnable D’abord via les opérateurs mobiles puis fixes avec convergence

des réseaux Donne aux acteurs un temps suffisant pour s’adapter

Difficultés financières importantes sauf pour les dominants A probabilité élevée

Passage IPv4 à IPv6

3 familles de méthodes: Mécanisme Dual Stack

Dual Stack Mécanisme par Tunnel

DSTM, 6over4, Tunnel Broker, 6to4 Mécanisme par translation

NAT-PT / SIIT BIS SOCKS

Dual Stack Piles IPv4 et IPv6 chez un hôte ou un routeur. Utilisation possible de tunnels Avantages

Déploiement aisé

Inconvénients Ne résout pas la pénurie d’adresse IPv4

DSTM : Dual Stack Transition Method

Assigne une adresse globale IPv4 temporaire Utilisation de AIIH : Assignment of IPv4 global adresses to IPv6

host

Utilisation des tunnels dynamiques DTI : Dynamic Tunneling Interface

DSTM

Supporte IPv4 de bout en bout Incompatible NATPT Risque attaque DoS

6to4

Connecter deux hôtes IPv6 à travers un réseau IPv4 Utilisation de routeurs possédant une double pile Tunnel statique ou dynamique

6to4 tunnel dynamique

Utilisation d'un préfixe Ipv6 Host en dual stack Net avec un routeur de bordure

Adresse réseau 6to4

Tunnel Broker

Connecter deux hôtes IPv6 à travers un réseau IPv4. Création d’un tunnel par un serveur Utilisation d’une page web

6 over 4

Transmettre des paquets IPv6 au travers d’un réseau IPv4 Pas vraiment de tunnels Utilisation du multicast IPv4 Inconvénients

Le réseau IPv4 doit supporter le multicast Existence d’un routeur 6over4 dans chaque réseau Ipv6

NAT - PT

Permet la communication d’un hôte IPv4 avec un hôte IPv6, et vice-versa

Utilisation d’adresses globalement routables Translation des adresses et entêtes Translation de port Transparent aux utilisateurs finaux

Bump In the Stack Utilisation de la double pile Trafic Ipv4 translaté en IPv6 Facilité de déploiement

Socks Utilisation d'un proxy Se base sur les couches supérieures

Les applications doivent être « sockifiées » Les connexions doivent être établies par l’hôte

se trouvant dans le réseau possédant la passe-relle SOCKS

Freins au déploiement Ipv6

IPv4 séduit encore Les NAT vus comme un rempart sécuritaire La pénurie d’adresses IP ne se fait pas encore

sentir Les applications tournent très bien sous Ipv4

IPv6 : la poule ou l'oeuf Pas d'opérateur = pas de transition

(le client ne peut pas faire sans l'opérateur) Pas de client = pas d'opérateur

(l'opérateur met en place un service pour le client)

IPv6 de test

6 Bone : 1996 réseau d'expérimentation (pas de production) au dessus d'IPv4 terminé le 6 juin 2006

G6 groupe francais de recherche sur IPv6 CNRS, ENST, INRIA