Introduction IPv6

I. Introduction
Le protocole IP a t conu, il y a plus dune vingtaine dannes, pour connecter des millions
dordinateurs. Depuis quelques annes, IP est victime de son succs et ne permet plus de rpondre la
demande de connexion de milliards de machines informatises dont disposeront les internautes de
demain.
La nouvelle gnration de IP, IPng (next generation), ou IPv6 va offrir de nouvelles capacits
dadressage, des options de scurit, et bien dautres fonctionnalits qui vont faciliter les interconnexions
globales.
IPv6 a t recommand par les responsables de la nouvelle gnration du protocole Internet de lIETF
(Internet Engineering Task Force) au cours du meeting de lIETF de juillet 1994 Toronto et
dfinitivement spcifi par la recommandation RFC 1752.
Il est important de souligner que les changements des protocoles comme TCP ou IP affectent fatalement
les applications existantes. En consquence, de tels changements doivent tre effectus avec prcaution et
seulement quand ils deviennent ncessaires.

II. Classes dadresses IPv4

Parmi les diffrentes insuffisantes que lon pourrait attribuer IPv4, cest essentiellement sa politique des
gestion des adresses qui est la plus cruciale et qui a motiv le passage IPv6.
Une adresse IPv4 est reprsente sur 4 octets, soit une capacit, en thorie, de coder un peu plus de quatre
milliards dadresses.
Cest le modle de structuration des adresses qui est lorigine des limites de IPv4. En effet, le champ
adresse est compos de trois champs : classe dadresse, numro (prfixe) de rseau et numro de hte. On
parle de classes A, B, C et D. Les adresses IP ne sont pas alloues de manire efficace : il y a eu du
gaspillage. Par exemple, un rseau qui contient 256 stations ncessite des adresses de classe B qui
monopolise 216 adresses au lieu de 28 (sil avait 255 stations, un rseau de classe C aurait suffit, sans
aucun gaspillage).
Le second problme de IPv4 est li la taille des tables de routage. Les routeurs fdrateurs doivent
maintenir des tables de routage ncessitant des tailles mmoire normes. Malheureusement, le problme
du routage ne peut pas tre rsolu simplement en augmentant la taille mmoire alloue aux tables de
routage. Il faut aussi tenir compte du temps de traitement des tables qui peut influer considrablement sur
le temps de routage (donc sur le temps de transit des paquets).
Deux solutions ont t recommandes pour faire face aux insuffisances de IPv4 tout en gardant la mme
longueur pour les adresses :
- Subnetting (cration de sous-rseaux) en dcomposant le champ Numro Rseau en deux, Prfixe
Rseau et Prfixe Sous-rseau

- CDIR (Classless Inter-Domain Routing) : routage sans notion de classe ce qui permet une
allocation dadresses plus efficace.
Mme avec ces solutions, les adresses IP vont manquer (prvision entre 2000 et 2018). Par consquent, le
futur dInternet passe par une reconsidration fondamentale de ladressage dans le protocole IP.

III. Principales extensions apportes par IPv6

IPv6 a t conu comme une volution de IPv4 et non comme un changement radical du protocole IP. Par
consquent, les applications fonctionnant sous IPv4 devraient fonctionner normalement sous IPv6.
Les changements entre IPv4 et IPv6 peuvent tre classes de la manire suivante :
- capacits dadressage et de routage tendues : la taille des adresses passe de 32 128 bits ;
- introduction dun nouveau type dadressage appel anycast permettant didentifier un groupe de
machines et un paquet envoy une adresse anycast est dlivr une des machines appartenant au
groupe dsign par ladresse ;
- simplification du format de lentte de paquet : pour rduire le cot de traitement des enttes,
certains champs ont t supprims et dautres sont rendus optionnels ;
- possibilits de dfinition de la qualit de service demande par certains types dapplications (les
applications temps rel notamment) ;
- capacits dauthentification et de confidentialit.

IV. Systme dadressage

IV.1. Types dadresses
IPv6 dfinit trois types dadresses :
- Unicast : une adresse pour chaque interface (quipement). Un paquet envoy une adresse unicast
est dlivr une seule interface.
- Anycast : une adresse dsigne un groupe dinterfaces. Un paquet envoy une adresse anycast est
dlivr une des interfaces identifies par ladresse anycast.
- Multicast : une adresse dsigne un groupe dinterfaces. Un paquet envoy une adresse multicast
est dlivr toutes les interfaces identifies par ladresse multicast.
Une interface (cest--dire un quipement, un ordinateur, ) peut avoir plusieurs adresses de types
ventuellement diffrents (unicast, anycast et multicast).
Il ny a pas dadresses Broadcast, comme dans IPv4, car leur fonction est ralise par les adresses
multicast. De plus, la fonction broadcast est pnalisante, car elle ncessite un certain traitement pour
chaque nud, mme si celui-ci va ignorer le paquet diffus en broadcast. Le multicast cible certains
nuds seulement, ce qui est plus conomique.
Ladressage IPv6 permet de regrouper les adresses hirarchiquement, par rseau, par fournisseur daccs
Internet, gographiquement, par socit, etc. De tels regroupements devraient permettre de diminuer la
taille des tables de routage et dacclrer le traitement au niveau des routeurs.
Le type spcifique dune adresse est indiqu par les premiers bits de cette adresse. Par exemple, les
prfixes suivants sont dfinis :

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

146

- Adresses globales de fournisseurs daccs : prfixe = 010

- Adresses globales gographiques : prfixe = 100
- Adresses unicast sur lien local : prfixe = 1111 1110 10
- Adresses multicast : prfixe = 1111 1111
Actuellement, prs de 85% de tout lespace dadressage reste disponible pour le futur.
Les adresses IP peuvent tre crites de trois manires :
- une forme hexadcimale complte : X :X :X :X :X :X :X :X o chaque X reprsente une valeur sur
16 bits ;
- une forme hexadcimale abrge qui ressemble la forme prcdente mais dans laquelle les valeurs
X gales 0 sont condenses comme dans lexemple suivant (attention labrviation :: ne peut
apparatre quune seule fois dans une adresse) :
1 :0 :0 :0 :0 :0 :0 :15 scrit en forme condense 1 ::15 ;
- une forme permettant le rapprochement entre adresses IPv4 et adresses IPv6 qui scrit sous la forme
: X :X :X :X :X :X :d.d.d.d o chaque X reprsente une valeur sur 16 bits et chaque d reprsente
une valeur sur 8 bits. Par exemple au lieu dcrire ladresse IPv4 0 :0 :0 :0 :0 :0 :194 :12 :5 :01 avec
des zros on lcrit de la manire suivante ::194.12.5.01
Une adresse IPv6 qui contient une adresse IPv4 commence par une srie de 96 bits zro.
0 :0 :0 :0 :0 :0 :0 :0 (ou ::) est appele adresse non spcifie. Elle ne doit tre assigne aucun nud et
ne peut tre utilise comme adresse de destination.
0 :0 :0 :0 :0 :0 :0 :1 (ou ::1) est appele adresse de loopback (bouclage) et peut tre utilise par nud
pour senvoyer un paquet lui-mme. Cette adresse est lquivalent de ladresse 127.0.0.1 dans IPv4.

IV.2. Plan dadressage

a) Adresses globales densemble unicast
Plusieurs manires de hirarchiser les adresses IP ont t proposes. La dernire propose lIETF est
dite Aggregatable Global Unicast Address Format ou plan dadressage agrg. Ce plan hirarchise une
adresse IP de la manire suivante :
010

TLA
(13 bits)

NLA
(32 bits)

SLA
(16 bits)

Id Interface
(64 bits)

Plan dadressage agrg.

- un champ gal 010 (pour indiquer une adresse unicast)

- TLA (Top Level Aggregator) : les TLA identifient les grands oprateurs internationaux,
- NLA (Next Level Aggregation) : les NLA identifient les oprateurs intermdiaires changeant leur
interconnectivit en des points dinterconnexion. NLA constitue un identificateur de site (ou
domaine),
- SLA (Site Level Aggregator) : permet de hirarchiser le plan dadressage de site (dfinir les sousrseaux),
- identificateur dinterface.

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

147

b) Adresses unicast de lien local

Ces adresses sont destines lutilisation sur un lien unique pour des tches telles que la
dcouverte des voisins ou lorsquil ny a pas de routeur. Leur utilisation est donc restreinte un
lien (par exemple, lensemble des machines relies par un rseau Ethernet). Les routeurs ne
doivent pas transmettre les paquets contenant ce type dadresses.

1111111010

54 bits zro

Id dinterface (64 bits)

Adresse lien local.

c) Adresses unicast de site local

Ces adresses sont destines lutilisation sur un site unique sans lutilisation dun prfixe global.
Par exemple, un site non encore connect Internet peut utiliser ces adresses, ce qui lui vitera de
demander un prfixe de rseau. Cest en quelque sorte des adresses IP prives. Les routeurs ne
doivent pas transmettre des paquets avec ce type dadresse en dehors du site concern. Plusieurs
sous-rseaux peuvent tre identifis dans un site.

1111 1110 10

38 bits zro

Id sous-rseau (16 bits)

Id dinterface (64 bits)

Adresse site local.

d) Adresses anycast
Un paquet destin une adresse anycast (donc un ensemble dinterfaces) est dlivr linterface la
plus proche ayant cette adresse selon la mesure de distance (nombre de routeurs traverser, temps de
transmission, etc.) du protocole de routage utilis.
Les adresses anycast sont syntaxiquement indistinguables des adresses unicast. Lorsquune adresse
unicast est attribue plus dune interface, elle devient une adresse anycast et le nud auquel cette
adresse est attribue doit tre configur pour savoir quil sagit dune adresse anycast.
Un usage prvu pour les adresses anycast est lidentification des groupes des routeurs appartenant
une entreprise fournissant un accs Internet, ce qui permet de banaliser laccs aux routeurs de cette
entreprise. Lexprience de lutilisation large des adresses anycast reste pour le moment assez limite.
Prfixe de sous-rseau (n bits)

128 - n bits zro

Adresse anycast pour les routeurs de sous-rseaux.

e) Adresses multicast

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

148

Une adresse multicast identifie un groupe de nuds (interfaces). Un mme nud peut appartenir
plusieurs groupes multicast.

1111 1111

Flag (4 bits)

Scope (4 bits)

Identificateur de groupe (112 bits)

Adresse multicast.

- Flag (drapeau) : contient 0000 pour une adresse permanente (qui est affecte par une autorit
comptente de lIETF) et 0001 pour une adresse temporaire. Par exemple, une adresse multicast est
alloue de manire temporaire un ensemble de participants le temps dune tlconfrence.
- Scope (champ daction de ladresse) = 0 : rserv, 1 : champ daction dfini par le nud local, 2 :
champ daction dfini sur le lien local, 5 : champ daction dfini sur le site local, 8 : champ daction
dfini sur lorganisation locale, E : champ daction global, toutes les autres valeurs ne sont pas encore
assignes. Le champ Scope permet de garantir le confinement des paquets dans une zone dtermine et
viter ainsi que des paquets associs par exemple une tlconfrence se dispersent sur tout le rseau
mondial.

IV.3. Auto-configuration des adresses

Pour sadapter des volutions dinterconnexion pour plusieurs dcennies, IPv6 est conu pour
faciliter la configuration automatique des adresses.
Les capacits dauto-configuration sont importantes, que lallocation dadresses soit gographique ou
base sur des fournisseurs daccs. Il peut tre, par moment, ncessaire de renumroter les adresses
des machines dune organisation (suite une dlocalisation de lentreprise, un changement de
fournisseur daccs, etc.)
Lauto-configuration utilise le protocole ND (Neighbor Discovery) de dcouverte de voisin. Dans un
scnario typique, un hte dbute le processus dauto-configuration par sauto-attribuer une
adresse de lien local pour un usage temporaire. Une fois que cette adresse est forme, lhte
envoie un message ND vers cette adresse pour sassurer quelle est bien unique. Si aucun
message ICMP ne revient en retour, cela signifie que ladresse est bien unique. Dans le cas
contraire, lhte doit essayer une autre adresse. Utilisant cette nouvelle adresse de lien local
comme adresse source, lhte envoie une requte ND de sollicitation de routeur. La
sollicitation est envoye en utilisant le service multicast. Les routeurs rpondent aux requtes
de sollicitation par un paquet qui contient lintervalle des adresses valides pour le sousrseau. Les routeurs envoient galement des annonces (paquets contenant les intervalles
dadresses valides) de manire priodique aux groupes multicast locaux sans avoir reu de
sollicitation. Cela permet aux routeurs de contrler si les htes utilisent ou non lautoconfiguration.

IV.4. Mobilit dans IPv6

La mobilit dans IP sadresse aussi bien la mobilit des ordinateurs de bureau portables, quaux
quipements enfouis (embarqus) dans les voitures, avions, etc.
Pour faciliter la mobilit des quipements, IPv6 offre la possibilit un quipement de maintenir une
connexion avec son adresse de base (adresse mre), tout en se dplaant. Avant de partir en
dplacement, les utilisateurs pourront demander leur routeur de dtourner leur trafic vers une adresse
externe au sous-rseau. Ladresse externe est recalcule pour chaque sous-rseau externe visit. Cela

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

149

permet de ne pas toucher aux entres de DNS (Domain Name Service) pour retrouver les objets, en cas
de mobilit.
Un mobile est toujours identifi par son adresse principale (appele aussi adresse mre). Tant que le
mobile se trouve dans son sous-rseau dorigine (sous-rseau mre), les paquets qui lui sont destins
sont dlivrs en utilisant les mcanismes de routage conventionnels (cest--dire en utilisant le prfixe
de rseau). Lorsque le mobile est rattach un sous-rseau tranger, il devient joignable par une ou
plusieurs adresses temporaires, en plus de son adresse mre. Les adresses temporaires sont obtenues
par le mcanisme dauto-configuration. La liaison entre une adresse mre et une adresse temporaire est
appele association.
Lorsquun mobile envoie un paquet alors quil se trouve hors de son sous-rseau mre, il positionne
gnralement comme adresse source une de ses adresses temporaires et ajoute dans une option
destination son adresse principale.
Pour supporter la mobilit, il est ncessaire de disposer de structures de donnes qui servent
maintenir les associations des mobiles.
Lenvironnement informatique dun mobile est diffrent de celui des environnements informatiques
habituels. En particulier, dans beaucoup de cas, les mobiles sont connects au rseau sans fil, ce qui
les rend particulirement vulnrables aux coutes et aux diffrentes attaques. Il est parfois ncessaire
de cacher la position dun mobile.

V. Format de paquet et fonctionnalits de IPv6

Les paquets IPv6 ont la forme gnrale suivante :

Entte IPv6
(40 octets)

Extension de lentte
(0 ou n octets)
.Format

PDU niveau transport

de paquet IPv6.

Lentte IPv6 a la forme suivante :

Version
Priorit
(4 bits)
(4 bits)
Longueur de donnes (16 bits)

Indentificateur de flux
(24 bits)
Entte suivant
Nombre de sauts
(8 bits)
(8 bits)
Adresse source
(16 octets)
Adresse Destination
(16 octets)

Format de lentte IPv6.

- Version : gale 6 pour IPv6,
- Priorit : valeur de la priorit du paquet,
- Indentificateur de flux : utilis pour marquer les paquets pour lesquels un traitement spcial doit tre
fait par les routeurs,
- Longueur de donnes : longueur du reste du paquet (extension de lentte et donnes de niveau
transport),
- Entte suivant : identifie le type de lentte qui suit lentte IPv6,

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

150

- Nombre de sauts : nombre de sauts (de routeurs) restant pour le paquet avant destruction.
On notera quil ny a plus de bits de contrle (check sum) de lentte du paquet comme dans le cas de
IPv4. La raison est que les rseaux physiques sont de meilleure qualit aujourdhui, ils vrifient euxmmes les erreurs de transmission sur les trames qui contiennent les paquets. Par consquent, supprimer
le contrle des erreurs sur lentte diminue le temps de calcul des paquets par les nuds intermdiaires.
Pour se prmunir contre des paquets routs par erreur (erreur non dtecte par le rseau physique) un
contrle doit tre fait au niveau transport. La solution retenue actuellement consiste effectuer un
contrle (en utilisant des bits de contrle calculs par la source et contrls par la destination) par la
couche transport.

V.1. Le champ Priorit

Deux classes de trafics peuvent tre gnrs par les applications : un trafic sujet contrle de congestion
et un trafic non sujet contrle de flux. Le champ Priorit permet de fixer la priorit de transmission du
paquet. En cas de congestion du rseau (saturation des tampons de rception de routeur), les paquets
moins prioritaires sont carts. Il y a 6 catgories de trafic avec contrle de congestion classes par ordre
de priorit dcroissant :
- Trafic de contrle Internet (priorit 7) : cest le trafic le plus important distribuer.
- Trafic interactif (priorit 6) : utilis pour les sessions interactives comme Telnet, X-window, etc.
Le dlai de communication doit tre minimis pour ce type de trafic,
- Trafic de masse assist (priorit 4) : un exemple des applications qui gnre ce type de trafic
(sporadique, mais important en volume) est FTP ou NFS. Cest un type de trafic o lutilisateur
attend la fin du transfert pour poursuive son travail
- Trafic de donnes non assist (priorit 2) : un exemple des applications qui gnrent ce type de
trafic est le courrier lectronique. Cest un type de trafic o lutilisateur nattend pas la fin de
transfert pour continuer son travail.
- Trafic de remplissage (priorit 1) : trafic pour applications en tche de fond, comme les news ;
- Trafic non caractris (priorit 0) : aucune information nest connue sur le type de trafic.
Le trafic sans contrle de flux est un trafic pour lequel un dbit constant de donnes, un dlai de
distribution constant ou non sont dsirs. Les exemples dapplications gnrant ce type de trafic rentrent
dans le domaine de laudio et de la vido en temps rel. Huit niveaux de priorits sont dfinis pour cette
classe de trafic (du trafic le plus facile dtruire jusquau trafic le plus difficile dtruire). Par exemple,
pour le trafic basse fidlit (conversations tlphoniques, par exemple), la perte de quelques paquets
perturbe la communication. Par contre, la perte de plusieurs paquets pour le transfert dun signal vido
haute fidlit ne perturbe pas normment la communication. Les valeurs de priorits associes ces
types de trafics sont suprieures 7.
Il ny a pas de relation de priorit entre trafics appartenant aux deux classes. La priorit sapplique
lintrieur dune mme classe de trafic.

V.2. Le champ Identificateur de flux

Lchange entre deux quipements, pour raliser une tche donne (par exemple, lenvoi dun film, une
tlconfrence, etc.) est modlis par un flux de donnes ayant certaines caractristiques. Un flux est
identifi par une adresse source et un numro de flux. Les caractristiques dun flux conditionnent le
routage des paquets correspondant ce flux. Un traitement spcial doit tre dclar pour chaque flux de
paquets. Les traitements associs aux flux particuliers sont gnralement dfinis au moyen des extensions
de lentte.

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

151

Les routeurs doivent mmoriser les numros des Identificateurs de flux qui les traversent pour servir, le
plus possible, de la mme manire les paquets associs un mme flux.
Le champ Priorit et Identificateur de flux devraient tre pris en compte par les routeurs pour garantir une
certaine qualit de service selon les besoins des applications.

V.3. Nombre de sauts

Ce nombre est appel dure de vie (ou Time to Live) dans IPv4. Il est dcrment par chaque routeur que
le paquet traverse. Quand la valeur atteint 0, le paquet est rejet avec lmission dun message ICMP vers
la source. La valeur initiale de ce nombre nest pas encore fixe, mais certaines implantations prennent la
valeur 64.

V.4. Extensions
Plusieurs options dextension peuvent tre intgres un paquet. Chaque extension commence par un
champ qui indique lemplacement de lextension suivante. Le champ Entte suivant dans lentte IPv6
indique lexistante ou non des extensions. Chaque extension est dfinie par un entte. Le RFC 1883
recommande lordre suivant pour les extensions :
- option Proche-en-Proche,
- option Destination (trait par les routeurs),
- option Routage,
- option Fragmentation,
- option Authentification,
- option Scurit,
- option Destination (informations optionnelles examines par le nud de destination).

a) Option Proche-en-proche

La partie optionnelle Proche-en-proche (hop-by-hop en anglais) de lentte transporte, quand elle est
prsente, les informations qui doivent tre examines par chaque routeur le long du chemin vers la
destination. Ce champ comporte une ou plusieurs dfinitions. Chaque dfinition contient : le type
doption (8 bits), la longueur (8 bits) du champ Donnes de loption et les Donnes de loption. Le type
doption dsigne lun des cas suivants :
- ignorer loption et continuer le traitement de lentte,
- dtruire le paquet,
- dtruire le paquet et envoyer un message ICMP dinaccessibilit la source,
- dtruire le paquet et envoyer un message ICMP dinaccessibilit la source, si ladresse de
destination nest pas une adresse multicast.
Les dfinitions doptions sont en cours dtude.

b) Option Routage

Cette extension permet dimposer un paquet une route (ventuellement) diffrente de celle offerte par
les politiques de routage prsentes dans le rseau. Le routage par la source peut tre utilis des fins de
scurit ou pour accrotre les performances (temps de transit) pour garantir certaines exigences en terme
de qualit de service.

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

152

Lentte de routage contient la liste dun ou de plusieurs nuds intermdiaires traverser avant darriver
au nud de destination. Le format de lentte de routage est le suivant :

Entte suivant
(8 bits)

Longueur
Entte (8 bits)

Type de routage
(8 bits)

Segments restants
(8 bits)

Donnes de type spcifique

Format gnral de lextension de routage.

- Entte suivant : identifie lentte qui suit immdiatement,

- Longueur entte : indique la longueur de lentte en multiple de 8 octets,
- Type de routage : indique la variante de routage. Si un routeur ne connat pas la variante de
routage, il dtruit le paquet,
- Segments restants : nombre de nuds intermdiaires explicitement spcifis visiter avant
datteindre la destination finale (ce nombre est dcrment par chaque nud travers).
Pour le moment, seul lentte de type 0 est dfini, il a la forme suivante :

Entte suivant
(8 bits)
Rserv
(8 bits)

Longueur
Entte (8 bits)

00000000
Carte bits strict/souple
(24 bits)

Segments restants
(8 bits)

Adresse 1 (16 octets)

.
Adresse n (16 octets)

Format de lextension de routage de type 0.

Les bits du champ Carte bits strict/souple doivent tre considrs de gauche droite. Chaque bit
correspond un saut dans le routage. Si le bit considr est gal 1 (strict), cela signifie que le prochain
routeur doit tre un voisin directement accessible partir du nud actuel. Si le bit considr est gal 0
(souple), il nest pas ncessaire que la prochaine destination soit voisine de nud actuel.
Quand le routage utilis est de type 0, la source ne place pas ladresse de destination finale dans lentte
IPv6. Dans ce cas, ladresse de destination est la dernire adresse liste dans lentte de routage (adresse n
dans le format prcdent) et lentte IPv6 contient alors ladresse du premier nud traverser. Lentte
de routage ne sera pas examin tant que le paquet na pas atteint le nud spcifi dans lentte IPv6.
Quand le paquet atteint le nud spcifi comme destination dans lentte IPv6, le contenu du paquet et
son entte de routage sont actualiss, cela consiste placer la prochaine adresse visiter dans lentte
IPv6 et dcrmenter le champ Segments restants.

c) Option Fragmentation

Avec IPv4, la fragmentation peut seffectuer nimporte quel endroit du chemin entre la source et la
destination dun paquet. Avec IPv6, la fragmentation, devrait seulement tre accomplie par les nuds

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

153

source et les routeurs. En utilisant un algorithme de dcouverte de chemin, une source peut dterminer la
plus petite valeur des MTU (Maximum Transmission Unit) supporte par chaque rseau se trouvant entre
cette source et la destination. Cela permet la source deffectuer, de manire plus efficace, la
fragmentation la source et de rduire, par consquent, le travail des routeurs intermdiaires.
Le format de lentte de fragmentation est le suivant :

Entte suivant
(8 bits)

Rserv
(8 bits)

Dcalage Fragment
(13 bits)

Rserv
(2 bits)

M
(1 bit)

Identification (32 bits

Format de lextension de fragmentation.

- Dcalage Fragment : indique lemplacement (en multiples de 8 octets) o se trouvent les donnes
dans le paquet original,
- M : = 0 (cest le dernier fragment), = 1 (dautres fragments vont suivre),
- Identification : identifie de manire unique le paquet original entre une source et une destination.

d) Option Destination

Des informations supplmentaires peuvent tre rajoutes dans un paquet et nont de sens que pour le
nud de destination. Cette extension nest pas encore clairement dfinie.

VI. Mcanismes de scurit

La communaut Internet a dvelopp des mcanismes de scurit spcifiques aux applications, par
exemple, pour le courrier lectronique (Privacy Enhanced Mail), ladministration de rseaux (SNMPv2
security), laccs au web (secure HTTP), etc. Malgr cela, les utilisateurs continuent craindre pour leurs
donnes. En intgrant des mcanismes de scurit au niveau IP, on renforce davantage la scurit de
laccs de ou vers les organisations.
La scurit au niveau IP englobe lauthentification et la confidentialit. Les mcanismes
dauthentification assurent quun paquet reu a bien t mis par la partie identifie comme source dans
lentte. Les mcanismes de confidentialit permettent aux nuds qui communiquent de crypter leurs
donnes, pour viter lespionnage par une tierce partie.
Le concept cl de la scurit dans IPv6 est celui dassociation de scurit. Une association de scurit est
une relation unidirectionnelle entre un metteur et un rcepteur. Une association de scurit est dfinie
par une adresse de destination et un Indice de paramtres de scurit (SPI, security parameters index).
Gnralement les paramtres qui dfinissent une association de scurit sont :
- un algorithme dauthentification et un algorithme de modes utiliss avec lauthentification IP,
- une ou plusieurs cls utilises par lalgorithme dauthentification et lentte dauthentification,
- un algorithme de chiffrement, un algorithme de mode et des transformations utilises avec lentte
ESP (Encapsulating Security Payload),
- une ou plusieurs cls utilises par lalgorithme de chiffrement et lESP,
- la prsence ou labsence dun champ dinitialisation ou de synchronisation dun vecteur de
chiffrement pour lalgorithme de chiffrement,
- la dure de vie de la cl ou temps au bout duquel un changement de cl devrait intervenir,

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

154

- la dure de vie de lassociation de scurit,

- la ou les adresses source de lassociation de scurit (ladresse source doit tre gnrique si
plusieurs metteurs partagent la mme association de scurit avec le rcepteur),
- un niveau de sensibilit (secret, top secret, etc.).

VI.1. Authentification
Lentte dauthentification fournit un mcanisme pour lauthentification de paquets. Lmetteur calcule,
avec une cl secrte, une signature numrique et lmet avec le paquet. Le rcepteur rcupre la signature,
la dchiffre, avec une cl secrte. Si le rsultat du dchiffrement est bon, le paquet est authentifi. Le
mcanisme dauthentification ne permet pas une tierce personne dusurper lidentit dun metteur. Par
contre une tierce personne peut intercepter les paquets et les lire.
Le format de lentte dauthentification est le suivant :

Entte suivant
(8 bits)

Longueur
Rserv
entte (8 bits)
(16 bits)
Indice de paramtres de scurit (32 bits)
SPI
Donnes dauthentification
(nombre variable de mots de 32 bits

Format de lentte dauthentification.

Entte suivant : identifie lentte qui suit immdiatement,

Longueur entte : longueur du champ Donnes dauthentification en mots de 32 bits,
Indice paramtres de scurit : identifie lassociation de scurit,
Donnes dauthentification : nombre variable de mots de 32 bits pour lauthentification.

Le contenu du champ Donnes dauthentification dpend de lalgorithme dauthentification spcifi.

Lalgorithme de gnration de signature utilis par dfaut est MD5 (Message Digest 5). Lalgorithme
MD5 est excut sur un paquet IP plus une cl prive appartenant la source, puis les donnes sont
insres dans le paquet. A la destination, le mme calcul est excut sur le paquet et la cl prive et le
rsultat est compar au rsultat reu dans le paquet. Le service dauthentification peut tre utilis de
plusieurs manires.

VI.2. Confidentialit des donnes

Le mcanisme ESP (Encapsulating Security Payload) est utilis pour assurer la confidentialit et
lintgrit des donnes. Selon les besoins, ce mcanisme peut tre utilis pour crypter un paquet complet
(on parle de ESP mode tunnel) ou un segment de la couche transport (on parle de ESP mode transport).
Pour ESP mode transport, lentte ESP est insr dans le paquet IP immdiatement avant lentte de la
couche transport (TCP, UDP, ICMP), comme le montre le format suivant :

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

155

Non crypt
Crypt
<----------------------------------------------><---------------------------------------------->
Entte IPv6

Autres
enttes IP

Entte ESP

Segment de la couche transport

ESP en mode transport.

A la source du paquet, la deuxime partie de lESP et le segment de la couche transport sont crypts. A la
rception, un dchiffrement est effectu pour retrouver le segment dorigine. Le mcanisme de ESP mode
transport assure la confidentialit pour toutes les applications.
Pour ESP mode tunnel, tout le paquet est crypt. Ainsi, lESP est plac devant le paquet, puis le paquet et
une partie de lESP sont crypts. Comme les routeurs intermdiaires ne peuvent pas dchiffrer les paquets
IP qui les traversent, il est donc impossible de transmettre un paquet totalement crypt seul. Il est
ncessaire dencapsuler le paquet crypt avec une nouvelle entte IP contenant les informations
ncessaires (et lisibles) pour le routage.
Le mcanisme ESP tunnel est adapt pour nimporte quelle sorte de porte de scurit protgeant un
rseau. On peut implanter, par exemple, ce mcanisme au niveau dun firewall seulement pour allger le
travail de dchiffrement effectu par les htes lintrieur dun rseau protg par le firewall.
Le format de paquet avec ESP mode tunnel est le suivant :

Non crypt
Crypt
<---------------------------------------------------><------------------------------------------------>
Autres
enttes IP

Entte IPv6

Entte IP +
Segment de la couche transport

Entte ESP

<------------------------------------->
Paquet IP intrieur entirement crypt

Format de ESP en mode tunnel.

Toutes les implantations du mcanisme ESP doivent utiliser la mthode de chiffrement DES-CBC (Data
Encryption Standard Cipher Block Chaining).
La figure suivante montre le format de lentte ESP et les donnes :

Indice de paramtres de scurit (SPI) (32 bits)

Vecteur dinitialisation (32 bits)
Donnes (longueur variable)

Bourrage

Longueur de bourrage
(8 bits)

Type de donnes
(8 bits)

Format de lentte ESP.

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

156

- Vecteur dinitialisation : entres de lalgorithme CBC dune longueur multiple de 32 bits,

- Donnes : contient les donnes crypter,
- Bourrage : informations rajoutes pour aligner la taille des champs Longueur de bourrage et Type
de donnes 64 bits ,
- Longueur de bourrage : taille du bourrage non crypt,
- Type de donnes : type du protocole du champ de donnes (IP, TCP, ).

VI.3. Authentification et confidentialit

Les deux mcanismes de scurit peuvent tre combins afin de transmettre des paquets avec un
maximum de scurit. On peut appliquer le chiffrement avant ou aprs lauthentification donnant ainsi les
deux formats suivants :
Non crypt
Crypt
<---------------------------------------------------------><--------------------------------------------------------->
Entte
IP

Enttes
dextension

Entte
dauthentification

Entte ESP

Segment de couche transport

ou paquet IP intrieur

Queue
dencapsulation

<---------------------------------------------------------------------------------------------------------------------->
Champ de lauthentification

Chiffrement avant authentification.

Non crypt
Crypt
<------------------><------------------------------------------------------------------------------------------------>
Entte IP et
Enttes
dextension

Entte
ESP

Entte IP et
Enttes
dextension

Entte
dauthentification

Segment de couche transport

Queue
dencapsulation

<---------------------------------------------------------------------------------------->
Paquet IP intrieur - Champ de lauthentification

Authentification avant chiffrement.

Lorsque le chiffrement est effectu avant lauthentification, la totalit du paquet reu est authentifi sur
les parties cryptes et non cryptes. Cette possibilit sapplique aux deux modes de ESP (mode tunnel et
mode transport).
Lorsque lauthentification est effectue avant le chiffrement, lentte dauthentification est plac dans le
paquet intrieur. Le paquet intrieur est la fois authentifi et protg par le mcanisme de chiffrement.
Cette possibilit sapplique au ESP mode tunnel seulement.
Lutilisation de lauthentification avant le chiffrement semble tre prfrable pour diverses raisons.
Notamment, comme lentte dauthentification est protg, il est donc impossible dintercepter le paquet
et daltrer le contenu de lentte dauthentification, sans que cette opration soit dtecte.

VI.4. Gestion de cls

Il existe deux principales approches de gestion des cls de chiffrement sur un rseau. La premire consiste
grer manuellement les cls : chacun cre ses cls et les dtruit selon ses besoins. Cette approche qui est
simple nest pas envisageable long terme du fait de lexpansion que connaissent les rseaux. Do une
deuxime approche qui repose sur une gestion automatique des cls. Plusieurs protocoles ont t proposs
ce sujet. La proposition dominante au sein des lIETF est celle du protocole ISAKMP (Internet Security
Association Key Management Protocol). Ce protocole cre, modifie et dtruit automatiquement les cls.

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

157

VII. Routage
Les principes des protocoles de routage nont pas chang avec IPv6. Les travaux ont consist en
ladaptation des protocoles existants au format des adresses. Ces protocoles profitent des proprits
maintenant incluses dans IPv6 comme lauthentification ou le multicast. Comme dans IPv4, on distingue
le routage interne et le routage externe.

VII.1. Routage interne

Les protocoles dits de routage interne permettent une configuration automatique des tables de routage.
Les routeurs dcouvrent automatiquement la topologie du rseau et dterminent le plus court chemin pour
atteindre un rseau distant. En plus protocoles propres aux constructeurs de routeurs, il existe deux
protocoles conus par lIETF : RIPng et OSPng.
RIPng est trs proche de RIP utilis dans IPv4. Cest un protocole de la famille distant vector. Dans ce
protocole les routeurs schangent priodiquement leurs tables de routage. A la rception dune table de
routage, un routeur met jour sa table sur la base des nouvelles donnes reues. Si un routeur tombe en
panne ou si une ligne tombe en panne, les autres routeurs ne recevant plus dinformations de ce routeur
suppriment lentre correspondante ce routeur de leur table de routage.
Le deuxime protocoles, OSPF (Open Shortest Path First), fait partie des protocoles dits plus court
chemin. Il est plus efficace que le premier, mais il est difficile mettre en uvre. Ce protocole est fond
sur les principes suivants :
- inondation fiable du rseau qui permet chacun des routeurs de possder une copie des
configurations de tous les autres routeurs et peuvent alors calculer le plus court chemin entre deux
points du rseau,
- pour viter le recalcul frquent de toutes les tables de routage, OSPF offre la possibilit de
dcouper le rseau en aires. Une aire principale (appele backbone) doit pouvoir relier toutes les
autres aires. Les modifications de tables de routage se limitent, le plus possible, des aires
particulires.

VII.2. Routage externe

Le terme externe vient du fait quil sagit dun change de tables de routage entre deux domaines
dadministration distincts, gnralement entre un client et un fournisseur, un fournisseur et son
transporteur international ou entre fournisseurs et transporteurs internationaux.
En IPv4, la notion de domaine dadministration est reprsente par un numro de systme autonome (AS :
Autonomous System). Il nest pas clair que cette notion soit utile en IPv6 puisque dans un plan
dadressage hirarchique, le prfixe peut jouer une notion quivalente au numro AS.
Avec un protocole de routage externe, il ne sagit pas de trouver la topologie du rseau, mais dchanger
des informations daccessibilit explicite entre routeurs pour le faire. Toute annonce du rseau par un
domaine implique quil accepte de router les paquets vers cette destination.
Le protocole retenu pour IPv6 est BGP-4+ identique BGP-4 utilis dans IPv4.

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

158

VIII. Incidences de IPv6 sur les protocoles de transport et les applications

Lun des pr-requis la dfinition des fonctionnalits de IPv6 tait de ne pas toucher aux protocoles de
niveau transport. Si on change la fois les protocoles de niveau rseau et les protocoles de niveaux
transport, les utilisateurs seront trs hostiles la migration vers IPv6. Par exemple TCP est utilis par
beaucoup dapplications et labsence de modifications de ce protocole facilitera le passage de IPv4
IPv6. Malgr cela, quelques modifications doivent tre apportes UDP et TCP, notamment pour grer
les erreurs sur les enttes de paquets. Le protocole ICMP devra tre modifi un peu aussi.
Dans les applications, on dfinit des structures de donnes contenant des adresses IP, pour utiliser des
sockets, par exemple. Comme la taille des adresses a chang, il faut changer le code des applications li
aux adresses. Dans le monde Unix, des modifications doivent tre apportes notamment au fichier
sys/socket.h pour redfinir les structures de donnes (AF_INET6, in6_addr, ) afin adapter
linterface de sockets IPv6.

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

159

Cours de Rseaux Universit Paul Sabatier (Toulouse III) Z. MAMMERI

160