Master2 RSS

La nouvelle version
d’IP
(IPv6)
Pr : Ahmed Khalifa
 SOMMAIRE
• IPv4
• Introduction - IPv6
• Entête d’IPv6
• Adressage IPv6
• Quelques services de base
• Sécurité
• Gestion de la mobilité

2
 SOMMAIRE
• IPv4
• Introduction - IPv6
• Entête d’IPv6
• Adressage IPv6
• Quelques services de base
• Sécurité
• Gestion de la mobilité

3
 IPv4
Historique
• IPv4 : un protocole finalisé en 1983 et qui
s’adressait à une communauté restreinte.
• 1992 : Ouverture à l’activité commerciale
• Croissance exponentielle
• 1993 : Épuisement de la classe B
• Prévision de l’écroulement du réseau pour
1994!

4
Rappel : Entête IP

5
 IPv4
Caractéristiques
• Internet Protocol
- RFC 791 et RFC 2460
- Protocole de niveau 3 (réseau)
- Équipements identifiés par une adresse
• Internet est un réseau de réseaux
• IP ne fait aucune hypothèse sur le média utilisé

• Données sont envoyées dans des

datagrammes
6
 IPv4
Caractéristiques (suite)
La communication s’établie de bout en bout
• Les extrémités se chargent d’établir, de
maintenir et de gérer les communications.
• Il n’y a pas de position privilégiée et tout
équipement peut potentiellement être client ou
serveur.
• Schéma altéré par l’introduction des NAT

7
 IPv4
Caractéristiques (suite)
IP est « best effort »
• Il ne garanti pas l’acheminement correct des
données
- Les paquets peuvent arriver dans le désordre, être
dupliqués ou perdus
- IP est un protocole non fiable.
- Mais robuste.

• Pas de qualité de service

8
 IPv4
Les classes d’adresse
• Au début, IPv4 était organisé et géré en classes prédéfinies
avec des plages réseau/hôte fixes (Classes A, B, C)

127 classes A de 16 777 214 machines

16128 classes B de 65 534 machines
2 031 616 classes C de 254 machines
Le reste ( 1/8) réservé

9
 IPv4
Les classes d’adresse
Soit l’adresse IP w.x.y.z

Classe Valeur de w ID reseau ID hôte Nbre de réseaux Nbre hotes reseau

A 1 - 126 w x.y.z 27 - 2 / 126 224 - 2 / 16777214

B 128 - 191 w.x y.z 214 / 16384 216 - 2 / 65534
C 192 - 223 w.x.y z 221 / 2097152 28 - 2 / 254
D 224 - 239
Reserve pour un adressage multi destinataire
E 240 - 254

Les adresses pour réseaux privés uniquement :

Classe A : 10.0.0.1 - 10.255.255.255
Classe B : 172.16.0.1 - 172.16.255.255
Classe C : 192.168.0.1 - 192.168.255.255

10
 IPv4
Les adresses IP. D’ou proviennent- elles?

Standards Allocation Allocation Assignation

IETF: Internet Engineering Task Force

IANA: Internet Assigned Numbers Authority

RIRs: Regional Internet Registries

ISP : Internet Service Provider

11
 IPv4
Regional Internet Registries

La communauté Internet a établi les RIRs pour assurer la

distribution équitable et cohérente de la ressource et pour
permettre une inscription exacte de partout dans le monde.

12
 IPv4
Faiblesses
 Une politique d’allocation d’adresse IP inefficace
o niveau de consommation très mal maîtrisé.
o prévision de pénurie de classes B vers 1995
 Table de routage en croissance exponentielle
o allocation de classes C
o temps de convergence de plus en plus élevé dans les zones
sans passerelle par défaut.
o nécessité de routeur plus performant et plus coûteux
 Émergence de nouveaux services et de nouvelles contraintes
o Visioconférence et téléphonie
o Mobilité
o Confidentialité, intégrité et authentification
o Espaces Numériques de travail
o Multihoming
o Zéro configuration
o Débit et bande passante 13
 IPv4
Pénurie du nombre d’adresses
• Les adresses d’IPv4 ont une longueur de 32 bits
- 2³² adresses = environ 4.2 milliards d’adresses.
• Adresses déjà allouées par l’IANA

Allocations de l’IANA

14
 IPv4
Pénurie du nombre d’adresses

15
 IPv4
Pénurie du nombre d’adresses

16
 IPv4
Pénurie du nombre d’adresses
Répartition géographique des allocations d’adresses

Cette répartition est basée sur la population mondiale de 6.710.029.070 au début

de l’année 2009 et les 1.581.571.589 utilisateurs d’Internet estimés.

17
 IPv4: autres lacunes

 Routage inefficace
o à base de l’adresse de destination
 Problème de gestion de la CoS et de la QoS

 Multicast et mobilité difficiles

 Limites des options de l’entête Ipv4 (40 octets)
 Etc...
Tout ceci associé aux prévisions de pénurie d’allocation
d’adresse IP ont justifiié le besoin d’une nouvelle
génération de protocole IP.

18
 IPv4
Solutions provisoires
• L’IETF inventa au milieu des années 90 l’architecture
d’adressage
• CIDR (RFC 1519)
- Classless Internet Domain Routing
- Disparition de la notion de classe (A, B, C, etc.. )
- Moins de gaspillage d’adresses
- Agrégation
• Adresses privées (RFC 1918)
• NAT (RFC 1631, 2663, 2993)
- Translation / Traduction d’une adresse privée en une
adresse publique
- Introduction de trous noirs dans le réseau

19
 IPv4
Solutions provisoires (suite)
NAT (RFC 1631, 2663, 2993)

Avantages

- Réduit l’utilisation des adresses publiques

- Transparent pour certaines applications

- Gestion de site plus facile

- Une apparence de sécurité

20
 IPv4
Solutions provisoires (suite)
NAT (RFC 1631, 2663, 2993)
Inconvénients
- Translation parfois complexe
- Empêche les communications de bout en bout
- Mécanismes de sécurité point à point impossible (IPSec)
- Téléphonie, visioconférence difficile ou impossible
- L’établissement des connections ne peut se faire que de
l’intérieur (sens unique)
- Single point of failure, bottleneck
- Peu extensible

21
 IPv4
Conclusion
• Les adresses d’IPv4 (32 bits) sont épuisables.
- Seule13% des adresses restent.
• La demande d’adresses ne cesse d’augmenter.
- Les nouveaux équipements utilisent adresses IP.
- Les pays émergents ont besoin de plus d’adresses à l’ instar des pays
développés.
• Les 13% d’adresses restantes ne sont pas assez
suffisants pour supporter de telles demandes.
• Les solutions provisoires ont donné le temps de
développer, d’expérimenter et de déployer une nouvelle
version du protocole IP
• IP version 6 conserve les grands principes d’IP
• Et corrige les défauts d’IPv4
22
 SOMMAIRE
• IPv4
• Introduction - IPv6
• Entête d’IPv6
• Adressage IPv6
• Quelques services de base
• Sécurité
• Gestion de la mobilité

23
 IPv6
• Des travaux ont été lancé au début des années
90 pour améliorer IP en général
– IPng.
• Milieu 90, IPv6 a été retenu comme nouvelle
version de IP (RFC 1752) et adoption vers la fin
des années 90.
• Le nouveau protocole va aller au-delà du
problème du nombre d’adresse et s’attaque
aux lacunes de IPv4
24
 IPv6
Les caractéristiques clés de IPv6
• Extension de la plage d’ adressage
– 32 bits 128 bits
– 3,4.1038 possibilités d’adresses théoriques
– Plus de niveaux d’hiérarchisation
• Amélioration du routage multicast avec la notion de "scope"
(étendu) aux adresses multicast.
• Un nouveau type d’adresse appelé anycast
• Mécanisme d’auto configuration intégré
– NDP
• Simplification du format des entêtes
– 40 octets
25
 IPv6
Les caractéristiques clés de IPv6 (suite)
• Mobilité
– Intégration des fonctions mobiles
• Classification des paquets
• Amélioration de la gestion des extensions et des options de
paquets
– Entête suivante (Next Header)
• Extension des fonctionnalités d’authentification et de
confidentialité
– Sécurité de Communication
– Point à Point (pas de NAT)
– Intégration de IPSEC dans IPv6

26
 SOMMAIRE
• IPv4
• Introduction - IPv6
• Entête d’IPv6
• Adressage IPv6
• Quelques services de base
• Sécurité
• Gestion de la mobilité

27
 Structure de l’entête IPv6
• Entête IPv6
o Taille fixe
 40 octets dont 32 sont réservés pour les adresses source et destination
 8 pour les autres données

28
Structure de l’entête IPv6

29
 Structure de l’entête IPv6
• Version: numéro de version sur 4 bits ici 6
• Traffic class (Classe de trafic) sur 8 bits.
Ce champ est composé de deux parties:
DScp (6 bits) : identifie la priorité de distribution.
– selon le type de flux (ex : data, vidéo, audio, etc.) :
– le temps réel exige que les paquets soient quasiment traités immédiatement, d'autres
moins exigeant peuvent être retardés en cas d'engorgement, le réseau doit prendre des
décisions .
Exemple : suppression progressive de paquet en éliminant les moins importants en
priorité ou en supprimant ceux des utilisateurs dépassant leur contrat de service (quota
d'octets transmis pour un temps donné) . La différenciation des services permet de
mettre en œuvre tous ces mécanismes.
CU sur 2 bits.
Ce champ est réservé pour un futur usage, mais utilisé par les routeurs, il devrait servir
à prévenir d'une congestion.

30
 Structure de l’entête IPv6
• Identificateur de flux (Flow label ) sur 20 bits
– Ce champ est remplit par la source et représente un numéro unique conservé
pendant tout l'acheminement du paquet au travers du réseau jusqu'au destinataire
pour le flux concerné.
– Il identifie le type de flux qu'il est possible d'utiliser comme référence. Ainsi, les
routeurs peuvent l'utiliser pour définir un contexte qui leur permet de commuter les
paquets beaucoup plus rapidement. Le gain de performance est indéniable.

• Longueur des données (Payload length) sur 16 bits

– Ce champ indique en octet la taille du champ de données
– La longueur des en-têtes n'est pas comprise.
– Si la taille des données devait être supérieure à 65535 octets, ce champ prendrait la
valeur 0 et l'option jumbogramme de l'extension de proche en proche serait utilisé.

31
 Structure de l’entête IPv6
• En-tête suivante (Next Header) sur 16 bits
- Ce champ spécifie le protocole transporté par IPv6, similaire au champ
"protocole" d'IPv4.
- les valeurs 06=TCP, 17=UDP, 58=ICMPv6, etc.

• Nombre de sauts (Hop Limit) sur 8 bits

- C'est la source (émetteur du paquet) qui rempli ce champ au départ.
- Lorsqu'un paquet IPv6 traverse un routeur, ce champ est décrémenté de 1,
si la valeur atteint 0 le paquet est détruit. Ainsi un paquet ne peut s'éterniser
dans le réseau. Lorsque le routeur détruit le paquet, il en avertit la source
par un message ICMPv6.

• Adresse IPv6 Source sur 128 bits

• Adresse IPv6 Destination sur 128 bits

32
Format d’un datagramme IPv6

33
 Les extensions de l’entête IPv6

• Les extensions d'IPv6 peuvent être vues comme un

prolongement de l'encapsulation d'IP dans IP.

• Une extension
- Longueur, un multiple de 8 octets.
- Commence par un champ en-tête suivant d'un octet qui
définit le type de données qui suit l'extension(une autre
extension ou un protocole de niveau 4 )
Pour les extensions à longueur variable, l'octet suivant
contient la longueur de l'extension en mots de 8 octets, le
premier n'étant pas compté.

34
 Les extensions de l’entête IPv6

• La notion des Entête-Suivante/Extension d’entête permet aux

équipements de prendre rapidement une décision sur le
traitement d’un paquet en transit sans avoir à examiner en
profondeur le paquet.

o Par exemple, seuls les paquets avec l’extension d’entête=0 (hop-by-hop)

vont être traités par les routeurs intermédiaires.

• Les extensions doivent être disposées en suivant un ordre.

35
 Les extensions de l’entête IPv6
L’ordre de disposition des extensions
1. L’entête d’extension de proche en proche (Hop-by-Hop)
2. L’extension de destination (pour les routeurs
intermédiaires quand l’ext. de routage est présente)
3. L’entête d’extension de routage (par la source)
4. L’extension de fragmentation
5. L’entête Authentication header (AH)
6. L’entête Encapsulating Security Payload (ESP)
7. L’extension de destination (pour le routeur de
destination finale).

36
 Les extensions de l’entête IPv6
Structure de l’entête d’extension d’options Hop-
by-Hop

Entête-Suivante
Longueur de l’extension
Les Options ...

Pour l'instant, seules quatre options, dont deux de bourrage, sont

définies

37
 Les extensions de l’entête IPv6
Structure d’une option
Type de l’option
Longueur de l’option
Données
...
Les deux premiers bits de poids fort du type définissent le comportement
du routeur quand il rencontre une option inconnue :
•00 : le routeur ignore l'option ;
•01 : le routeur rejette le paquet ;
•10 : le routeur rejette le paquet et retourne un message ICMPv6 d'inaccessibilité ;
•11 : le routeur rejette le paquet et retourne un message ICMPv6 d'inaccessibilité
si l'adresse de destination n'est pas multicast.

Le 3ème bit indique que le routeur peut modifier le contenu de l'option (si 1) ou non (si
0).

38
 Les extensions de l’entête IPv6
Les options de l’extension "hop by hop"
􀂄 Pad1 (type =0, 1 octet de bourrage)
Une option de bourrage peut être utilisée pour aligner une extension sur un multiple
de 8 octets.
􀂄 PadN (type =1, plus de 2 octets de bourrage)
􀂄 Jumbogramme (194,0xc2) RFC 2675:
Option utilisée quand la taille du paquet IPv6 est supérieure à 65535. Dans ce cas, le
"payload length" de l'entête IPv6 est à 0, et la partie "option" de l'extension est la
longueur du paquet IPv6 codée sur 32 bits.
􀂄 Router alert (5) RFC 2711:
Si cette option est utilisée, chaque routeur (mais pas la destination) va
analyser le paquet. Si la valeur de l'extension vaut:
0: le datagramme contient un message "Multicast Listener Discovery"
1: le datagramme contient un message "ReSerVation Protocol"
2: le datagramme contient un message "Active Networks"
3-65535: réservé pour des usages futurs par le IANA

39
IPv4 vs. IPv6

40
 IPv4 vs. IPv6
Champs d’entête IPv4
Version
Internet Header Length (IHL)
Type of Service ( ToS )
Total Length
Identification
Fragmentation Flags
Fragment Offset
Time to Live (TTL)
Protocol
Header Checksum
Adresse Source
Adresse Destination
Options
Changent en IPv6
Nouvelle valeur = 6
Supprimé
Remplacé par Traffic Class
Payload Length
L’extension de fragmentation
L’extension de fragmentation
L’extension de fragmentation
Hop Limit
Next Header
Supprimé
Même, nouvelle longueur 128 bits
Même, nouvelle longueur 128 bits
Supprimées (Entêtes Extensions)
41
 SOMMAIRE
• IPv4
• Introduction - IPv6
• Entête d’IPv6
• Adressage IPv6
• Quelques services de base
• Sécurité
• Gestion de la mobilité

42
 Format des adresses IPv6
􀂄 Adresse sur 128 bits découpée en 8 mots de 16 bits.

􀂄 Exemple :
FEDC :0000 :0000 :0210 :EDBC :0000 :6543 :210F
ou
FEDC:0:0:210:EDBC:0:6543:210F (compression des 0 d'en tête)
ou
FEDC::210:EDBC:0:6543:210F (suppression d'une succession de 0)
mais
FEDC::210:EDBC::6543:210F est incorrect

􀂄 Exemple d’utilisation:

http://[2001:1234:12::1]:8080

􀂄 Cohabitation v4/v6

0:0:0:0:0:FFFF:192.168.16.1 ou ::FFFF:192.168.16.1

43
 Adressage IPv6
E E
􀂄Types d'adresse:
- Unicast (un à un)
r1 r1
- Multicast (un à plusieurs)
- Anycast (un à un parmi plusieurs) r2 r2

R1 R2 R3 R4 R1 R2 R3 R4
Transmission Unicast Transmission Multicast
􀂄Plan d’adressage

44
Adressage IPv6
Plan d’adressage

45
 Adressage IPv6
Adresse IPv6
􀂄 Un équipement dispose en général de plusieurs adresses IPv6
(contrairement à IPv4).
# ifconfig

eth1 Link encap:Ethernet HWaddr 00:30:48:2E:3D:7D

inet addr:193.49.200.59 Bcast:193.49.200.255 Mask:255.255.255.0
inet6 addr: 2001:660:7105::10/0 Scope:Global
inet6 addr: fe80::230:48ff:fe2e:3d7d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3684332 errors:0 dropped:0 overruns:0 frame:0
TX packets:2395860 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:460322611 (438.9 Mb) TX bytes:2578239647 (2458.8 Mb)
Base address:0x3040 Memory:fc220000-fc240000

46
 Adressage IPv6
Adresse ’’lien local’’

􀂇 Une adresse "lien local" n'est valide que sur un lien (elle ne traverse pas les
routeurs).

􀂇 Tout équipement dispose automatiquement d'une adresse lien-local qui va

permettre de découvrir les voisins.

􀂇 Ce type d'adresse permet à 2 machines sur le même lien de communiquer

et peut aussi être utilisée pour une connexion PPP ou pour les extrémités
d'un tunnel.

􀂇 Construction d'une adresse lien local (préfixe FE80::/64):

47
 Adressage IPv6
Construction d'un identifiant d'interface
􀂇 Un identifiant d'interface est construit à partir de l'adresse physique

􀂇 u (Universal) vaut 1 si l'identifiant est unique ou 0 si l'adresse a été générée

par un algorithme.

􀂇 g (Groupe) vaut 0 si l'adresse est individuelle ou 1 si c'est une adresse de

groupe (multicast).

48
 Adressage IPv6
Identifiant d’interface à base d’adresse MAC (suite)

• En inversant le bit u et en ajoutant les deux valeurs hexadécimal 0xff

et 0xfe

49
 Adressage IPv6
Exemple : Soit l’adresse MAC suivante:

00:30:48:2E:3D:7D

Voila l’adresse “lien local”

FE80::0230:48FF:FE2E:3D7D

50
 Adressage IPv6
Adresse "Unique Local Address"
􀂇 Anciennement adresse de site local.

􀂇 Une adresse ULA est routée à l'intérieur d'un périmètre donné (tel un
site ou un ensemble de sites) mais pas à l'extérieur.

􀂇 Préfixe d'une adresse ULA: FC00::/7

51
 Adressage IPv6
Adresse "Unique Local Address"
􀂄 Adresse ULA auto assignée (L=1):
􀂇FD00::/8
􀂇Préfixe global pseudo aléatoire généré localement:
trunc ( SHA-1 (local time, local EUI 64), 40 bits )
􀂇probablement unique mais pas de garantie.

􀂄 Adresse ULA assignée officiellement (L=0):

􀂇FC00::/8
􀂇Préfixe global attribué par une autorité.
􀂇Unicité de l'adresse garantie.

52
 Adressage IPv6
Adresse Unicast
Topologie publique Format Prefix
Top Level Aggregator
Next Level Aggregator
Site Level Aggregator

􀂇 http://www.iana.org/assignments/ipv6-tla-assignments
IPv6 Prefix FP TLA Binary Value TLA Hex Assignment
----------- --- ---------------- ------- ------------------
2000::/16 001 0 0000 0000 0000 0x0000 Reserved
2001::/16 001 0 0000 0000 0001 0x0001 Sub-TLA Assignments [RFC2450]
2002::/16 001 0 0000 0000 0010 0x0002 "6to4" [RFC3056]
2003::/16 001 0 0000 0000 0011 0x0003 Global Unicast [RFC3513]
3FFE::/16 001 1 1111 1111 1110 0x1FFE 6bone Testing [RFC2471] To be phased out 06/06/2006
3FFF::/16 001 1 1111 1111 1111 0x1FFF Reserved

53
 Adressage IPv6
Allocation d’ adresse Unicast
􀂇 L’ IANA délègue des blocs d'adresses IPv6 aux RIR en /23

􀂇 Les RIR délèguent aux LIR des blocs d'adresses IPv6 en /32

􀂇 Les LIR assignent des préfixes aux utilisateurs en /48

Exemple:

􀂇 RIPE NCC 2001:0600::/23

􀂇 RENATER TLA 2001:0660::/32
􀂇 ENSICAEN 2001:0660:7105::/48

54
 Adressage IPv6
Adresse unicast particulière

􀂇 Adresse locale (localhost):

0:0:0:0:0:0:0:1 ou ::1

􀂇 Adresse non spécifiée (utilisée pendant des processus

d'initialisation):

0:0:0:0:0:0:0:0 ou ::

55
 Adressage IPv6
Adresses Multicast
􀂇 Une adresse multicast désigne un ensemble d'interfaces.
􀂇 Le préfixe d'une adresse multicast est FF00::/8
􀂇 Format d'une adresse multicast:

􀂇 flags: 3 premiers bits à 0; dernier bit à 0 indique une validité

permanente (exemple: routeur) ou 1 pour une validité temporaire
(exemple: visioconférence).
􀂇 scope: portée de la diffusion:
- 0: réservé - 1: noeud - 2: lien (FF02::/8)
- 3: sous-réseau - 5: site - 8: organisation
- E: global - F: réservé

56
 Adressage IPv6
Quelques préfixes multicast

􀂇 ff02::1 Tous les nœuds du lien

􀂇 ff02::2 Tous les routeurs du lien

􀂇 ff02::3 Toutes les machines du lien

􀂇 ff05::2 Tous les routeurs du site

Liste complète:

http://www.iana.org/assignments/ipv6-multicast-addresses

57
 Adressage IPv6
Adresses multicast sollicité
􀂇Une adresse multicast sollicité est construite en concaténant
le préfixe FF02::1:FF00:0/104 aux derniers 24 bits de
l'adresse IPv6 de la machine.
􀂇 Exemple:
- Adresse IPv6:
2001:660:7105:1000:20e:cff:fe30:7b3a
- Adresse multicast sollicité:
FF02::1:FF30:7b3a

􀂇Ces adresses peuvent être utilisées par les protocoles

d'adresses dupliquées (DAD) et de découverte de voisins.

􀂇Au démarrage, un nœud IPv6 s'abonne au groupe multicast

FF02::/1 et au groupe multicast sollicité FF02::1:FFxx:xxxx

58
 Adressage IPv6
Adresses Anycast
 Une adresse destination de type anycast désigne une
interface parmi un ensemble de machines bien défini.
 Format d'une adresse anycast (RFC 2526):
 Adresses de type EUI-64

 Autres types d’adresses

59
 SOMMAIRE
• IPv4
• Introduction - IPv6
• Entête d’IPv6
• Adressage IPv6
• Quelques services de base
• Sécurité
• Gestion de la mobilité

60
 Quelques services de base
Rappel du protocole ICMP v4
Format de message

Les messages ICMP sont émis en utilisant l'en-tête IP de base. Le

premier octet de la section de données du datagramme est le champ
de type ICMP; Sa valeur détermine le format du reste des données
dans le datagramme ICMP.

61
 Quelques services de base
Rappel du protocole ICMP v4
Résumé des types de Message
0 Réponse Echo
3 Destination non accessible
4 Contrôle de flux
5 Redirection
8 Echo
11 Durée de vie écoulée
12 Erreur de Paramètre
13 Marqueur temporelle
14 Réponse à marqueur temporel
15 Demande d'information
16 Réponse à demande d'information

62
 Quelques services de base
Rappel du protocole ICMP v4
Codes du Message "destinataire non accessible"

0 = réseau inaccessible;
1 = hôte inaccessible;
2 = protocole non disponible;
3 = port non accessible;
4 = fragmentation nécessaire mais interdite;
5 = échec d'acheminement source.

63
 Quelques services de base
Le protocole ICMPv6
 Protocole redéfini par la RFC 2463.
 Il permet:
 gestion des erreurs
 test (Ping)
 configuration automatique des équipements
 découverte des voisins ("neighbour discovery")
 gestion de groupes multicast (Multicast Listener Discovery)
 reprise des fonctionnalités de ARPv4

64
 Quelques services de base
Format ICMPv6

 Type : nature du paquet ICMPv6

<= 127 message d'erreur
> 127 message d'information

 Code: cause du message ICMPv6

 Checksum: somme de contrôle

65
 Quelques services de base
Message d’erreur ICMPv6
 1 Destination inaccessible :
 0 * aucune route vers la destination
 1 * la communication avec la destination est
administrativement interdite
 2 * hors portée de l'adresse source
 3 * l'adresse est inaccessible
 4 * le numéro de port est inaccessible
 2 Paquet trop grand :
 3 Temps dépassé :
 0 * limite du nombre de sauts atteinte
 1 * temps de réassemblage dépassé
 4 Erreur de parametre:
 0 * champs d’entête erroné
 1 * champs d’entête suivant non reconnu
 2 * option non reconnue
66
 Quelques services de base
Message d’information ICMPv6
 Message d’information :
 128 Demande d’écho
 129 Réponse d’écho
 Message de gestion de groupe multicast (MLD) :
 130 Requête d'abonnement
 131 Rapport d'abonnement
 132 Fin d'abonnement
 Message de découverte de voisin :
 133 Sollicitation du routeur
 134 Annonce du routeur
 135 Sollicitation d’un voisin
 136 Annonce d’un voisin
 137 Redirection
 Message de gestion de mobilité :
 144 Découverte d’agent mère (requête)
 134 Découverte d’agent mère (réponse)
 135 Sollicitation de préfixe mobile

67
 Quelques services de base
Quelques nouveaux protocoles
 Auto configuration
 mode "stateless":
l'équipement va s'efforcer de récupérer le préfixe du
site pour construire son adresse (RFC 2462).
 mode "stateful":
les informations sont envoyées par un serveur
DHCP (RFC 3315).
 Découverte du Maximum Transmission
Unit (RFC 1981).
 Découverte des voisins (RFC 2461).
68
 Quelques services de base
Auto configuration mode "stateless"
 L'équipement s'attribue une adresse "lien local".
 Vérification de l'unicité de cette adresse:
 Envoi d'une trame ICMPv6 "sollicitation d'un voisin" (type 135)
sur l'adresse multicast ff02::1
 Aucune réponse après un temps déterminé (1 seconde par défaut),
l'adresse est valide.
 Retour d'un message ICMPv6 "annonce d'un voisin en retour d'une
sollicitation (bit S)" (type 136), l'adresse est déjà utilisée.

 Envoi d'une trame ICMPv6 "sollicitation d'un routeur" (type

133) sur l'adresse multicast ff02::2

 Réception d'une trame ICMPv6 "annonce de routeur" (type

134), le préfixe du site est retourné.

69
 Quelques services de base
Auto configuration mode "statefull"
 Un serveur DHCP peut proposer plus d'informations que
par l'auto configuration sans état (exemple: serveur DNS).
 Un serveur DHCP peut gérer plusieurs liens; un client
DHCP converse soit directement avec le serveur DHCP soit
à travers un proxy DHCP (relais).
 Un serveur DHCP maintient une liste d'associations entre
un client et les paramètres attribués.
 Un client est identifié par un DUID (DHCP Unique
IDentifier) généré et fonction de l'adresse de lien local (pas
nécessairement unique sur 2 liens distincts) et une variable
(qui peut être fonction du temps).
 La découverte d'un serveur DHCP est réalisée par un envoi
d'un message multicast à l'adresse FF02::1:2.
70
 Quelques services de base
Découverte des voisins
 Le protocole de découverte des voisins (Neighbor Discovery)
permet à un équipement de s'intégrer dans l'environnement local,
c'est-à-dire le lien sur lequel sont physiquement transmis les
paquets IPv6.
 Le protocole utilise cinq types de messages ICMPv6 et
réalise les différentes fonctions:
 Résolution d’adresse
 Détection d'inaccessibilité des voisins ou NUD (Neighbor
Unreachability Detection).
 Configuration (découverte des routeurs, des préfixes, détection des
adresses dupliquées, découverte des paramètres).
 Indication de redirection

71
 Quelques services de base
Découverte du Path MTU
 Protocole TCP:
 Envoi d'une demande connexion avec le MTU du lien.
 Si le MTU est trop grand, réception d'un message
ICMPv6 "paquet trop grand" (type 2 contenant une
nouvelle valeur de MTU).
 On essaye à nouveau jusqu'à établissement de la
connexion.
 Protocole UDP:
La segmentation doit être assurée par une couche
supérieure. Il y a souvent nécessité de fragmenter
(extension IPv6).

72
 SOMMAIRE
• IPv4
• Introduction - IPv6
• Entête d’IPv6
• Adressage IPv6
• Quelques services de base
• Sécurité
• Gestion de la mobilité

74
 Sécurité IPv6
La couche IPSec est intégrée à IPv6 sous la forme de deux
extensions:

􀂉 L'extension d'authentification ou extension AH pour

Authentication Header, rend les services d'authentification,
intégrité,. Selon la
méthode d'authentification utilisée, il peut également offrir
le service de non répudiation.

􀂉 L'extension de confidentialité ou extension ESP pour

Encapsulating Security Payload, peut rendre les services
de confidentialité, intégrité, authentification et garantir de
façon limitée la confidentialité du flux.
 Sécurité IPv6
Association de sécurité
Une Association de Sécurité (AS): négociation du
type de sécurité à utiliser (algorithmes et clés de
chiffrement, de hachage )
 Elle est identifiée de façon unique par le triplet
SPI
(Security Parameters Index) ou encore SAID
(Security Association IDentifier), l’@ destinataire
du paquet et le protocole AH ou ESP utilisé.
Si les deux extensions de sécurité AH et ESP sont
utilisées alors il faut deux AS distinctes.
Elle est unidirectionnelle.
 Sécurité IPv6
Association de sécurité
 Une SA contient:
- en fonction du type de sécurité: les algorithmes
d'authentification, de chiffrement, les clés de chiffrement.
- la durée de vie de l'association.
- le mode ISec utilisé (transport, tunnel, wildcard).
 Son choix au niveau de la source peut théoriquement
dépendre des paramètres suivants (appelés sélecteurs):
- l’dresse IP source (unicast, anycast, multicast)
- l’identité des identités (utilisateur, équipement: nom DNS, X500)
- les numéros de ports source et destination (e.g. TCP/UDP).
- le protocole de niveau transport obtenu par le champ en-tête.
- l’dresse IP destinataire (unicast, anycast, multicast)
- le niveau de sensibilité des données (identifié par les étiquettes
normalisées IPSO/CIPSO du RFC 1108).
 Sécurité IPv6
Base de données de sécurité
Deux bases de données permettent, lors de la réception
d'un paquet IP, de déterminer l'association de sécurité à
appliquer :

 Le SPD (Security Policy Database)

 Le SAD (Security Association Database)

Il contient l'ensemble des associations de sécurité et précise pour

chacune d'elles, les services et mécanismes de sécurité à appliquer
 Sécurité IPv6
Le SPD (Security Policy Database)
 Il précise, en fonction du "sélecteur" choisi, les
actions à effectuer sur un paquet. Trois actions
sont possible :
 Soit le trafic n'est pas autorisé : il est donc supprimé
(discard).
 Soit le trafic est autorisé mais ne nécessite aucun
service de sécurité; il est alors ignoré par l'ensemble
des équipements/logiciel implémentant IPsec (bypass
IPsec).
 Soit le trafic nécessite une protection IPsec (apply
IPsec) auquel cas le SPD spécifie pour chaque
sélecteur l'association de sécurité ou les associations
de sécurité à appliquer (précisée(s) dans la base de
données SAD).
 Sécurité IPv6
Le SAD (Security Association Database)

 Il précise, en fonction du "sélecteur" choisi, les

actions à effectuer sur un paquet. Trois actions
sont possible :
 Soit le trafic n'est pas autorisé : il est donc supprimé
(discard).
 Soit le trafic est autorisé mais ne nécessite aucun
service de sécurité; il est alors ignoré par l'ensemble
des équipements/logiciel implémentant IPsec (bypass
IPsec).
 Soit le trafic nécessite une protection IPsec (apply
IPsec) auquel cas le SPD spécifie pour chaque
sélecteur l'association de sécurité ou les associations
de sécurité à appliquer (précisée(s) dans la base de
données SAD).
 Sécurité IPv6
Gestion des associations et des clés
 ISAKMP (Internet SA Key Management Protocol)
Le protocole ISAKMP définit deux phases qui permettent une
séparation entre la négociation des SA pour un protocole donné
comme Ipsec et la protection des données propres à ISAKMP.
 Dans la Phase 1, le protocole constitue une SA ISAKMP,
contrairement à la SA Ipsec , cette association est bidirectionnelle ,
elle a pour but la protection des échanges ISAKMP future. Cette SA
ISAKMP est réalisée par une négociation d’option propre à la
sécurité, les identités des tiers sont authentifiées dans cette phase et
des clés sont générées
Dans la phase 2, la négociation des paramètres de
sécurité relative à une SA précise est négociée, par exemple les
mécanismes AH est ESP sont négociés pour une SA Ipsec.
Les échanges de cette seconde phase sont protégés par la SA
ISAKMP établie pendant la première phase
 Sécurité IPv6
Gestion des associations et des clés
 IKE (Internet Key Exchange )
Dans le cadre de la standardisation d’IPsec, ISAKMP est associé en
partie aux protocoles d'échanges de clés SKEME et Oakley pour
donner un protocole final du nom de IKE
 SKEME
Il présente divers modes d’échange de clés possibles (1-
DH, 2-clé publique sans DH, 3- Pre Shared Key avec DH,
4-un mécanisme d’échange de clé rapide basé uniquement
sur des algorithme symétrique
 OAKLEY
Ce qui le distingue SKEME de Oakley est la possibilité de
négociation des options. Toutes ces options sont définies
dans l’existence de divers modes Oakley.