mobile ip - freeguillaumemuller1.free.fr/cours/esil/reseau/tcpippart2.pdf · objectifs ipv6...
TRANSCRIPT
Mobile IP Les composants :
Mobile Node Home Agent Foreign Agent
Les fonctions : Agent discovery L'enregistrement (care-of-address)
Foreign Agent ou Mobile Node Le tunneling
IGMPProtocole d'appartenance à un groupe
Internet Group Management Protocol Gestion des abonnés à un groupe
Routeur multicast 224.0.0.1 – TTL 1 Queries fréquentes (1 mn)
Hôte d'un groupe Report différé Report sans querie
IGMPv1, v2 et v3
Protocole de routage Multicast Dense Mode
Dense (DVMRP, PIM DM) Flood : envoyé partout RPF Check : vérifie si on reçoit le même trafic
de 2 routeurs différents Assert : en cas de routeurs concurrents sur un
même réseau Prune : élimine les routes redondantes ou innu-
tile Reflooding : pour les nouveaux arrivants Graft : A la demande d'un nouveau, annule un
prune
Protocole de routage MulticastDense Mode
Protocole de routage MulticastSparse Mode
Sparse (PIM SM) Join Explicit RP : Point de Rendez Vous DR : Routeur Désigné Prune Graft
La couche Application
HTTP, FTP, POP, SMTP, ...des protocoles en mode texte !
HTTP Apache et IIS Structure d'une adresse HTML, PHP & ASP, CGI, Javascript et Applet Java Cookies MySQL Requete : GET /index.htm HTTP/1.1 Option : host: www.esil.univ-mrs.fr
Proxy Hebergement mutualisé
Retour HTTP
Entête
Corps
HTTP/1.1 200 OKDate: Thu, 20 Dec 2001 17:11:50 GMTServer: Apache/1.3.19 (Unix) PHP/4.0.6Last-Modified: Thu, 20 Dec 2001 16:36:22 GMTETag: "2cb9e7-61c-3c221386"Accept-Ranges: bytesContent-Length: 1564Connection: closeContent-Type: text/htmlX-Pad: avoid browser bug
<html><head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"></head><Body>... </html>
FTP 2 ports TCP : 21 et 20 PI : Protocole Interpreter
Client : User PI & Serveur : Server PI DTP : Data Transfer Process
Client : User DTP & Serveur : Server DTP FTP à 3 ! Commandes USER, PASS, PORT, RETR,
STOR, ... Mode Passif : Les Firewalls
PASV
Les réponses1er chiffre
1xx : réponse préliminaire positive 2xx : réponse positive de réalisation 3xx : réponse intermédiaire positive 4xx : réponse négative de réalisation 5xx : réponse négative permanente
Réponses2nd chiffre
x0x : syntaxe x1x : information x2x : connexion x3x : authentification x5x : système de fichier
POP Port 110 USER & PASS
pas de cryptage LIST, RETR, DELE, QUIT
Notion de flag et de fin de transaction IMAP
port 143, vocation webmail état : login, select fetch
SMTP
ESMTP : HELO ou EHLO port 25 Aucune authentification SMTP Relai MAIL FROM:<adresse> & RCPT TO:<adresse> DATA
from: "Nom" <adresse> - to: "Nom" <adresse> cc: "Nom" <adresse> - bcc: "Nom" <adresse> date: Wed, 7 Nov 2006 17:39:28 +0200 (CEST) message-id : numéro unique - subject: titre contenu - <CRLF>.<CRLF>
Fonctionnement de la messagerie
MUA : Mail User Agent permet d'envoyer et recevoir des mails
MTA : Mail Transfert Agent Serveur SMTP, permet de transmette un mail
MDA : Mail Delivery Agent Serveur POP, IMAP, permet de stocker un mail
MX : Mail eXchanger MTA et MDA
Remarque : MTA vers MDA = SMTP
Les pièces jointes : MIMEMultipurpose Internet Mail Extension
From: To: Subject: envoie d'une piece jointeMIME-Version: 1.0Content-Type: multipart/mixed;boundary=-=_unique-bondary-number
This is a multi-part message in MIME format.
---=_unique-bondary-numberContent-Type: text/plain;charset="us-ascii"Content-Transfer-Encoding: 7bit
ceci est un message au format texteil y a un attachement.
---=_unique-bondary-numberContent-Type: application/octet-stream;name="Image1.jpg"Content-Transfer-Encoding: base64Content-Disposition: attachment;filename="Image1.jpg"
iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAIAAACQd1PeAAAAL3RFWHRDcmVhdGlvbiBUaW1lAHZlbi4gMTcgamFudi4gMjAwMyAxMjozMDowNyArMDEwMDJfaQ8AAAAHdElNRQfTARELHzhktoSKAAAACXBIWXMAAAsSAAALEgHS3X78AAAABGdBTUEAALGPC/xhBQAAAAxJREFUeNpj+P//PwAF/gL+MxKVFAAAAABJRU5ErkJggg==
---=_unique-bondary-number.
Encapsulation
Encapsulation classique exemple HTTP
Encapsulation IP over IP GRE Adressage privé over Internet
Encapsulation Sécurisé IPSec
Cumul d'encapsulation
Notions de VPN
Sécurisé ou non Tunneling de niveau 3
IPSec Tunneling de niveau 2
PPTP, L2F, L2TP Tunneling de niveau 5
SSL / TLS
Chiffrement
Chiffrement symétrique ROT13,DES, TripleDES, AES, RC4 1 clef unique
Chiffrement asymétrique DSA, RSA 1 clef publique, 1 clef privée
Hachage MD4, MD5, SHA irréversible
Confidentialité
Chiffrement symétrique secret partagé pour crypté les données client et serveur connus ou bien ...
client crypte, serveur crypte client décrypte, serveur décrypte
Chiffrement asymétrique clé publique du serveur crypte clé privée du serveur décrypte
Authentification
Méthode du challenge MD5 Password => attaque de rejeu MD5 Password + challenge unique
Signature Clé publique décrypte Clé privé crypte Entête = login Corps = crypté avec privé
Attention : pas confidentiel, tout le monde décrypte
Intégrité Hachage du message
Echantillon représentatif Cryptage privé du hachage
Signature d'un document en clair Si modif du doc = signature incohérente Intégrité et Authentification
Intégrité + Confidentialité Hachage Cryptage privé Cryptage publique
Certificat Document Nom Prénom Adresse ... Clef publique
Signé (Intégrité + Authentification) Non modifiable Distribuable par le client lui même Autorité de certification
Seules les Clefs publiques des CA sont connues
QoS Débit Délai Gigue Taux de perte Fiabilité
Surdimentionnement Gestion des flux
DiffServ IntServ et RSVP
Trafic engineering
VoIP Numérisation de la voix
codec débit 2 à 64 kbps
Signalisation H323 : Standard de téléphonie SIP : HTTP Like
Passerelle et PABX IP ou IPBX Nécessite de la QoS
VoIP sur du LAN VoIP sur Internet
Exemple
Exemple de gain intersite
Exemple avec une seule passerelle
Exemple avec un centrex IP
Exemple avec un centrex IP
IPv6 Pourquoi ?
Internet double tous les ans épuisement des adresses IP explosion des tables de routage
Adressage : IPv4 = 232 adresses
(~ 4,3 milliards)
Répartition inégale 74% États Unis,
17% Europe et 9% Asie
Pénurie d’adresses
IPv4 les problèmes
Explosion des besoins Applications consommatrices d’adresses permanentes :
Services mobiles GPRS et UMTS Accès haut débit et mode « always on » Électronique connectée et véhicules communicants Applications domotiques et réseaux de capteurs
IPv4 les fausses solutions
Adressage : gestion de la pénurie d’adresses Politiques drastiques d’attribution d’adresses (RIR) CIDR (Classless Inter Domain Routing) :
Agrégation de classes IP contiguës Retarder la croissance des tables de routage => 5 ans
NAT (Network Address Translation) : Alourdit la gestion des réseaux et entraîne un surcoût (30 à 35%) : tps
de traitements augmentent et QoS se dégrade Un frein au développement des applications temps réels et P2P
Ipv4 les faux problèmes Sécurité
IPSec, L2TP, SSL, ... QoS
RSVP, Intserv, Diffserv, ... Mobilité
Mobile IP, Cellular IP, ... Ipv6 = traitement natif
IPSec de bout en bout QoS mieux intégré Mobile IP chez le client Avantages non significatifs
Adressage IPv6
128 bits – 16 octets IPv4 : 4 milliards d'adresses IPv6 : 256 milliards de milliards de milliards de
milliards d'adresses Adressage hiérarchique
simplifie d'agrégation d'adresses ISP Géographique
réduit les routes de coeur de réseau Auto-configuration (adresse MAC incluse)
Unicast, Multicast et Anycast
Objectifs IPv6 Conserver ce qui a fait le succès d’IP en améliorant les défauts !
(Un passage à IPv6 est il vraiment nécessaire)
Adressage à 128 bits (16 octets)
Routage multicast
Adresse Anycast
Entête d’extension
Source Routing
Transition simple et flexible d’IPv4 vers Ipv6
Coût de démarrage faible
Support de la mobilité
Possibilité de capacité de service
Authentification
Confidentialité
En principe IPv6 aucun rapport avec QoS
Entête IPv6
Champs d'entête Plus de fragmentation Plus de checksum Plus d'IHL Traffic Class
De 0 à 7 , pas de perte mais ralentissement possible De 8 à 15, pas de ralentissement mais perte possible
Next Header Option d'entête protocole de niveau 4
Entête d'extensions
Hop by Hop options header Destination options header-1 Source routing header Fragmentation header Authentification IPv6 encryption header Destination options header-2
Adresse IPv6
128 bits : 8 mots de 16 bits notation en hexa :2001:066B:3201:0000:0000:0000:6543:021F on peut supprimer les 0 en début de
chaque mot2001:66B:3201:0:0:0:6543:21F on peut remplacer une suite de 0 par ::2001:66B:3201::6543:21F
Format d'adresse IPv6
Partie IANA découpé en :TLA (Top Level Aggregator) 13 bitsNLA (Next Level Aggregator) 32 bits
Préfixe
8000 :: /3 = adresses géographiques d’utilisateurs (100) 4000 :: /3 = adresses d’ISP (010) 2000 :: /3 = adresses de tests (001) FF00 :: /8 = adresses de multicast (1111 1111) exemple :
3FFE :: /16 = 6-bone 3FFE : 0300 :: /24 = G6 3FFE : 0302 :: /32 = G6 Grenoble 3FFE : 0302 : 0003 :: /48 = CNRS G6 Grenoble
Les adresses spéciales loopback => ::1 local => FE80::/10
link local : SLA = 0 site local : SLA = SLA du site concerné
6bone => 3FFE::/16 officielle => 2001::/16 IPv4 mappé => ::FFFF:a.b.c.d IPv4 compatible => ::a.b.c.d 6to4 => 2002::/16
Adresse de multicast
FF00::/8 Flag
0 : permanent, 1 : temporaire Scope
1 node local, 2 link local, 5 site local, 8 global
Interface ID (IID)
64 bits Possibilité de la créer à partir de la MAC MAC Ethernet 48 bits (6 octets)
00:A0:24:E4:56:2B 3 octets : code constructeur 00:A0:24 3 octets : n° de série carte E4:56:2B
IID IPv6 64 bits (8 octets)00:A0:24:FF:FE:E4:56:2B
Neighbor Discovery Nouveau protocole utilisé sur le Link local
Router discovery MTU Link discovery Prefix discovery Adress resolution Duplicate adresse detection Redirect Neighbor unreachability detection
Remplace ARP, ICMP, DHCP
Neighbor discovery 5 messages
RS (Router Solicitation) Multicast : ff02 ::2, demande de RA
RA (Router Advertisement) périodique, Link MTU, Préfix
NS (Neighbor Solicitation) Adresse de niveau 2, duplication d'adresse, accessibilité
NA (Neighbor Advertisement) Réponse NS, changement d'adresse
Redirect identique ICMP Redirect
Autres protocoles DHCPv6
Autoconfiguration stateless DHCP statefull
ICMPv6 packet size too large
Mobile Ipv6 Binding Update
Protocole de routage RIPng, OSPFng, BGP4+
Intérêts IPv6
Économiques Équipementiers
Ipv6 : un levier de croissance. Renouvellement des matériels
Difficultés à justifier le passage à Ipv6 auprès des clients
Opérateurs Pouvoir fournir des adresses en nombres Fin de la domination des grands opérateurs => abon-
dance d’adresses Prêts mais attitude attentiste face à l’arrivée d’Ipv6
Intérêts IPv6
Économiques ISP
ISP plus faibles moins dépendants Affectation de préfixes et adresses permanentes =>
facilite applications P2P Utilisateurs
Plus grande indépendance vis à vis des prestataires Nouvelles applications simplifiées (VoIP, Visioconf…) Utilisateurs pourraient être le moteur inconscient
d’IPv6
Transition
Basculement rapide Croissance très forte des connexions Internet et
explosion des nouveaux services Forte demande de services mobiles (3G, WLAN) et
services sur réseaux fixes (jeux en ligne…) Problèmes de coûts en cœur de réseau et de
mise en conformité pour les entreprises Difficultés financières importantes sauf pour les domi-
nants Trop optimiste et donc à faible probabilité
Transition
Multimédia mobile Basé sur une demande importante et des investisse-
ments des opérateurs mobiles en Ipv6 Croissance des technologies 2,5G/3G et percée des réseaux
WLAN Profitable à : filière mobile, équipementiers, fournisseurs
de services mais pas aux réseaux fixes Démarrage des services sur réseaux 2,5G/3G plus lents
que prévu, probabilité moyenne
Transition
Transition modérée Anticipation sur demande en nouveaux services sur ré-
seaux fixes et mobiles raisonnable D’abord via les opérateurs mobiles puis fixes avec convergence
des réseaux Donne aux acteurs un temps suffisant pour s’adapter
Difficultés financières importantes sauf pour les dominants A probabilité élevée
Passage IPv4 à IPv6
3 familles de méthodes: Mécanisme Dual Stack
Dual Stack Mécanisme par Tunnel
DSTM, 6over4, Tunnel Broker, 6to4 Mécanisme par translation
NAT-PT / SIIT BIS SOCKS
Dual Stack Piles IPv4 et IPv6 chez un hôte ou un routeur. Utilisation possible de tunnels Avantages
Déploiement aisé
Inconvénients Ne résout pas la pénurie d’adresse IPv4
DSTM : Dual Stack Transition Method
Assigne une adresse globale IPv4 temporaire Utilisation de AIIH : Assignment of IPv4 global adresses to IPv6
host
Utilisation des tunnels dynamiques DTI : Dynamic Tunneling Interface
DSTM
Supporte IPv4 de bout en bout Incompatible NATPT Risque attaque DoS
6to4
Connecter deux hôtes IPv6 à travers un réseau IPv4 Utilisation de routeurs possédant une double pile Tunnel statique ou dynamique
6to4 tunnel dynamique
Utilisation d'un préfixe Ipv6 Host en dual stack Net avec un routeur de bordure
Adresse réseau 6to4
Tunnel Broker
Connecter deux hôtes IPv6 à travers un réseau IPv4. Création d’un tunnel par un serveur Utilisation d’une page web
6 over 4
Transmettre des paquets IPv6 au travers d’un réseau IPv4 Pas vraiment de tunnels Utilisation du multicast IPv4 Inconvénients
Le réseau IPv4 doit supporter le multicast Existence d’un routeur 6over4 dans chaque réseau Ipv6
NAT - PT
Permet la communication d’un hôte IPv4 avec un hôte IPv6, et vice-versa
Utilisation d’adresses globalement routables Translation des adresses et entêtes Translation de port Transparent aux utilisateurs finaux
Bump In the Stack Utilisation de la double pile Trafic Ipv4 translaté en IPv6 Facilité de déploiement
Socks Utilisation d'un proxy Se base sur les couches supérieures
Les applications doivent être « sockifiées » Les connexions doivent être établies par l’hôte
se trouvant dans le réseau possédant la passe-relle SOCKS
Freins au déploiement Ipv6
IPv4 séduit encore Les NAT vus comme un rempart sécuritaire La pénurie d’adresses IP ne se fait pas encore
sentir Les applications tournent très bien sous Ipv4
IPv6 : la poule ou l'oeuf Pas d'opérateur = pas de transition
(le client ne peut pas faire sans l'opérateur) Pas de client = pas d'opérateur
(l'opérateur met en place un service pour le client)
IPv6 de test
6 Bone : 1996 réseau d'expérimentation (pas de production) au dessus d'IPv4 terminé le 6 juin 2006
G6 groupe francais de recherche sur IPv6 CNRS, ENST, INRIA