Escolar Documentos
Profissional Documentos
Cultura Documentos
I. Introduction
Le protocole IP a t conu, il y a plus dune vingtaine dannes, pour connecter des millions
dordinateurs. Depuis quelques annes, IP est victime de son succs et ne permet plus de rpondre la
demande de connexion de milliards de machines informatises dont disposeront les internautes de
demain.
La nouvelle gnration de IP, IPng (next generation), ou IPv6 va offrir de nouvelles capacits
dadressage, des options de scurit, et bien dautres fonctionnalits qui vont faciliter les interconnexions
globales.
IPv6 a t recommand par les responsables de la nouvelle gnration du protocole Internet de lIETF
(Internet Engineering Task Force) au cours du meeting de lIETF de juillet 1994 Toronto et
dfinitivement spcifi par la recommandation RFC 1752.
Il est important de souligner que les changements des protocoles comme TCP ou IP affectent fatalement
les applications existantes. En consquence, de tels changements doivent tre effectus avec prcaution et
seulement quand ils deviennent ncessaires.
- CDIR (Classless Inter-Domain Routing) : routage sans notion de classe ce qui permet une
allocation dadresses plus efficace.
Mme avec ces solutions, les adresses IP vont manquer (prvision entre 2000 et 2018). Par consquent, le
futur dInternet passe par une reconsidration fondamentale de ladressage dans le protocole IP.
146
TLA
(13 bits)
NLA
(32 bits)
SLA
(16 bits)
Id Interface
(64 bits)
147
1111111010
54 bits zro
1111 1110 10
38 bits zro
e) Adresses multicast
148
Une adresse multicast identifie un groupe de nuds (interfaces). Un mme nud peut appartenir
plusieurs groupes multicast.
1111 1111
Flag (4 bits)
Scope (4 bits)
Adresse multicast.
- Flag (drapeau) : contient 0000 pour une adresse permanente (qui est affecte par une autorit
comptente de lIETF) et 0001 pour une adresse temporaire. Par exemple, une adresse multicast est
alloue de manire temporaire un ensemble de participants le temps dune tlconfrence.
- Scope (champ daction de ladresse) = 0 : rserv, 1 : champ daction dfini par le nud local, 2 :
champ daction dfini sur le lien local, 5 : champ daction dfini sur le site local, 8 : champ daction
dfini sur lorganisation locale, E : champ daction global, toutes les autres valeurs ne sont pas encore
assignes. Le champ Scope permet de garantir le confinement des paquets dans une zone dtermine et
viter ainsi que des paquets associs par exemple une tlconfrence se dispersent sur tout le rseau
mondial.
149
permet de ne pas toucher aux entres de DNS (Domain Name Service) pour retrouver les objets, en cas
de mobilit.
Un mobile est toujours identifi par son adresse principale (appele aussi adresse mre). Tant que le
mobile se trouve dans son sous-rseau dorigine (sous-rseau mre), les paquets qui lui sont destins
sont dlivrs en utilisant les mcanismes de routage conventionnels (cest--dire en utilisant le prfixe
de rseau). Lorsque le mobile est rattach un sous-rseau tranger, il devient joignable par une ou
plusieurs adresses temporaires, en plus de son adresse mre. Les adresses temporaires sont obtenues
par le mcanisme dauto-configuration. La liaison entre une adresse mre et une adresse temporaire est
appele association.
Lorsquun mobile envoie un paquet alors quil se trouve hors de son sous-rseau mre, il positionne
gnralement comme adresse source une de ses adresses temporaires et ajoute dans une option
destination son adresse principale.
Pour supporter la mobilit, il est ncessaire de disposer de structures de donnes qui servent
maintenir les associations des mobiles.
Lenvironnement informatique dun mobile est diffrent de celui des environnements informatiques
habituels. En particulier, dans beaucoup de cas, les mobiles sont connects au rseau sans fil, ce qui
les rend particulirement vulnrables aux coutes et aux diffrentes attaques. Il est parfois ncessaire
de cacher la position dun mobile.
Entte IPv6
(40 octets)
Extension de lentte
(0 ou n octets)
.Format
de paquet IPv6.
Indentificateur de flux
(24 bits)
Entte suivant
Nombre de sauts
(8 bits)
(8 bits)
Adresse source
(16 octets)
Adresse Destination
(16 octets)
150
- Nombre de sauts : nombre de sauts (de routeurs) restant pour le paquet avant destruction.
On notera quil ny a plus de bits de contrle (check sum) de lentte du paquet comme dans le cas de
IPv4. La raison est que les rseaux physiques sont de meilleure qualit aujourdhui, ils vrifient euxmmes les erreurs de transmission sur les trames qui contiennent les paquets. Par consquent, supprimer
le contrle des erreurs sur lentte diminue le temps de calcul des paquets par les nuds intermdiaires.
Pour se prmunir contre des paquets routs par erreur (erreur non dtecte par le rseau physique) un
contrle doit tre fait au niveau transport. La solution retenue actuellement consiste effectuer un
contrle (en utilisant des bits de contrle calculs par la source et contrls par la destination) par la
couche transport.
151
Les routeurs doivent mmoriser les numros des Identificateurs de flux qui les traversent pour servir, le
plus possible, de la mme manire les paquets associs un mme flux.
Le champ Priorit et Identificateur de flux devraient tre pris en compte par les routeurs pour garantir une
certaine qualit de service selon les besoins des applications.
V.4. Extensions
Plusieurs options dextension peuvent tre intgres un paquet. Chaque extension commence par un
champ qui indique lemplacement de lextension suivante. Le champ Entte suivant dans lentte IPv6
indique lexistante ou non des extensions. Chaque extension est dfinie par un entte. Le RFC 1883
recommande lordre suivant pour les extensions :
- option Proche-en-Proche,
- option Destination (trait par les routeurs),
- option Routage,
- option Fragmentation,
- option Authentification,
- option Scurit,
- option Destination (informations optionnelles examines par le nud de destination).
a) Option Proche-en-proche
La partie optionnelle Proche-en-proche (hop-by-hop en anglais) de lentte transporte, quand elle est
prsente, les informations qui doivent tre examines par chaque routeur le long du chemin vers la
destination. Ce champ comporte une ou plusieurs dfinitions. Chaque dfinition contient : le type
doption (8 bits), la longueur (8 bits) du champ Donnes de loption et les Donnes de loption. Le type
doption dsigne lun des cas suivants :
- ignorer loption et continuer le traitement de lentte,
- dtruire le paquet,
- dtruire le paquet et envoyer un message ICMP dinaccessibilit la source,
- dtruire le paquet et envoyer un message ICMP dinaccessibilit la source, si ladresse de
destination nest pas une adresse multicast.
Les dfinitions doptions sont en cours dtude.
b) Option Routage
Cette extension permet dimposer un paquet une route (ventuellement) diffrente de celle offerte par
les politiques de routage prsentes dans le rseau. Le routage par la source peut tre utilis des fins de
scurit ou pour accrotre les performances (temps de transit) pour garantir certaines exigences en terme
de qualit de service.
152
Lentte de routage contient la liste dun ou de plusieurs nuds intermdiaires traverser avant darriver
au nud de destination. Le format de lentte de routage est le suivant :
Entte suivant
(8 bits)
Longueur
Entte (8 bits)
Type de routage
(8 bits)
Segments restants
(8 bits)
Entte suivant
(8 bits)
Rserv
(8 bits)
Longueur
Entte (8 bits)
00000000
Carte bits strict/souple
(24 bits)
Segments restants
(8 bits)
.
Adresse n (16 octets)
Les bits du champ Carte bits strict/souple doivent tre considrs de gauche droite. Chaque bit
correspond un saut dans le routage. Si le bit considr est gal 1 (strict), cela signifie que le prochain
routeur doit tre un voisin directement accessible partir du nud actuel. Si le bit considr est gal 0
(souple), il nest pas ncessaire que la prochaine destination soit voisine de nud actuel.
Quand le routage utilis est de type 0, la source ne place pas ladresse de destination finale dans lentte
IPv6. Dans ce cas, ladresse de destination est la dernire adresse liste dans lentte de routage (adresse n
dans le format prcdent) et lentte IPv6 contient alors ladresse du premier nud traverser. Lentte
de routage ne sera pas examin tant que le paquet na pas atteint le nud spcifi dans lentte IPv6.
Quand le paquet atteint le nud spcifi comme destination dans lentte IPv6, le contenu du paquet et
son entte de routage sont actualiss, cela consiste placer la prochaine adresse visiter dans lentte
IPv6 et dcrmenter le champ Segments restants.
c) Option Fragmentation
Avec IPv4, la fragmentation peut seffectuer nimporte quel endroit du chemin entre la source et la
destination dun paquet. Avec IPv6, la fragmentation, devrait seulement tre accomplie par les nuds
153
source et les routeurs. En utilisant un algorithme de dcouverte de chemin, une source peut dterminer la
plus petite valeur des MTU (Maximum Transmission Unit) supporte par chaque rseau se trouvant entre
cette source et la destination. Cela permet la source deffectuer, de manire plus efficace, la
fragmentation la source et de rduire, par consquent, le travail des routeurs intermdiaires.
Le format de lentte de fragmentation est le suivant :
Entte suivant
(8 bits)
Rserv
(8 bits)
Dcalage Fragment
(13 bits)
Rserv
(2 bits)
M
(1 bit)
- Dcalage Fragment : indique lemplacement (en multiples de 8 octets) o se trouvent les donnes
dans le paquet original,
- M : = 0 (cest le dernier fragment), = 1 (dautres fragments vont suivre),
- Identification : identifie de manire unique le paquet original entre une source et une destination.
d) Option Destination
Des informations supplmentaires peuvent tre rajoutes dans un paquet et nont de sens que pour le
nud de destination. Cette extension nest pas encore clairement dfinie.
154
VI.1. Authentification
Lentte dauthentification fournit un mcanisme pour lauthentification de paquets. Lmetteur calcule,
avec une cl secrte, une signature numrique et lmet avec le paquet. Le rcepteur rcupre la signature,
la dchiffre, avec une cl secrte. Si le rsultat du dchiffrement est bon, le paquet est authentifi. Le
mcanisme dauthentification ne permet pas une tierce personne dusurper lidentit dun metteur. Par
contre une tierce personne peut intercepter les paquets et les lire.
Le format de lentte dauthentification est le suivant :
Entte suivant
(8 bits)
Longueur
Rserv
entte (8 bits)
(16 bits)
Indice de paramtres de scurit (32 bits)
SPI
Donnes dauthentification
(nombre variable de mots de 32 bits
155
Non crypt
Crypt
<----------------------------------------------><---------------------------------------------->
Entte IPv6
Autres
enttes IP
Entte ESP
A la source du paquet, la deuxime partie de lESP et le segment de la couche transport sont crypts. A la
rception, un dchiffrement est effectu pour retrouver le segment dorigine. Le mcanisme de ESP mode
transport assure la confidentialit pour toutes les applications.
Pour ESP mode tunnel, tout le paquet est crypt. Ainsi, lESP est plac devant le paquet, puis le paquet et
une partie de lESP sont crypts. Comme les routeurs intermdiaires ne peuvent pas dchiffrer les paquets
IP qui les traversent, il est donc impossible de transmettre un paquet totalement crypt seul. Il est
ncessaire dencapsuler le paquet crypt avec une nouvelle entte IP contenant les informations
ncessaires (et lisibles) pour le routage.
Le mcanisme ESP tunnel est adapt pour nimporte quelle sorte de porte de scurit protgeant un
rseau. On peut implanter, par exemple, ce mcanisme au niveau dun firewall seulement pour allger le
travail de dchiffrement effectu par les htes lintrieur dun rseau protg par le firewall.
Le format de paquet avec ESP mode tunnel est le suivant :
Non crypt
Crypt
<---------------------------------------------------><------------------------------------------------>
Autres
enttes IP
Entte IPv6
Entte IP +
Segment de la couche transport
Entte ESP
<------------------------------------->
Paquet IP intrieur entirement crypt
Toutes les implantations du mcanisme ESP doivent utiliser la mthode de chiffrement DES-CBC (Data
Encryption Standard Cipher Block Chaining).
La figure suivante montre le format de lentte ESP et les donnes :
Bourrage
Longueur de bourrage
(8 bits)
Type de donnes
(8 bits)
156
Enttes
dextension
Entte
dauthentification
Entte ESP
Queue
dencapsulation
<---------------------------------------------------------------------------------------------------------------------->
Champ de lauthentification
Entte
ESP
Entte IP et
Enttes
dextension
Entte
dauthentification
Queue
dencapsulation
<---------------------------------------------------------------------------------------->
Paquet IP intrieur - Champ de lauthentification
Lorsque le chiffrement est effectu avant lauthentification, la totalit du paquet reu est authentifi sur
les parties cryptes et non cryptes. Cette possibilit sapplique aux deux modes de ESP (mode tunnel et
mode transport).
Lorsque lauthentification est effectue avant le chiffrement, lentte dauthentification est plac dans le
paquet intrieur. Le paquet intrieur est la fois authentifi et protg par le mcanisme de chiffrement.
Cette possibilit sapplique au ESP mode tunnel seulement.
Lutilisation de lauthentification avant le chiffrement semble tre prfrable pour diverses raisons.
Notamment, comme lentte dauthentification est protg, il est donc impossible dintercepter le paquet
et daltrer le contenu de lentte dauthentification, sans que cette opration soit dtecte.
157
VII. Routage
Les principes des protocoles de routage nont pas chang avec IPv6. Les travaux ont consist en
ladaptation des protocoles existants au format des adresses. Ces protocoles profitent des proprits
maintenant incluses dans IPv6 comme lauthentification ou le multicast. Comme dans IPv4, on distingue
le routage interne et le routage externe.
158
159
160