You are on page 1of 54

DIS

Division Intgration de Systmes


Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 1/54

Migration IPv6

Etude du protocole IPv6

Ce document, proprit de EI-RSI, est remis titre confidentiel et ne peut tre utilis, communiqu, donn ou
reproduit, mme partiellement, sans son autorisation crite.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 2/54

GRILLE DE GESTION

Type de diffusion

Livrable Consultable X Priv

Diffusion contrle Exemplaire N

Mode daccs

Serveur DIS : \Stages\IPv6.ML\Documents\Dossiers\Protocole.doc

Conservation

Responsable : CJ Lieu : DIS

A
Ind. Nom Visa Nom Visa Nom Visa Date

REDACTION VERIFICATION APPROBATION

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 3/54

GRILLE DE REVISION

La prsente Grille de rvision indique l'objet et la localisation des modifications gnratrices du changement
d'indice.

N Objet Localisation

1 Corrections mineures (orthographe, prcisions, ) -

2 Ajout des adresses IPv4-translated Types


dadresses

3 Simplification de IPSec IPSec

4 Reprise intgrale de QoS QoS

5 Modification de la conclusion Conclusion

6 Rappels sur IPv4 Protocole

10

11

12

13

14

15

16

17

18

19

20

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 4/54

SOMMAIRE

1 INTRODUCTION 10

1.1 Objet du projet 10

1.2 Objet du document 10

2 PRSENTATION DU PROTOCOLE IPV6 11

Rappels sur len-tte IPv4 11

2.2 Diffrences par rapport IPv4 11

2.3 Format 12

2.4 Extensions 13
2.4.1 Proche en proche (hop-by-hop) 13
2.4.2 Destination 14
2.4.3 Routage 14
2.4.4 Fragmentation 14
2.4.5 Scurit 14

2.5 Checksum 14

3 ADRESSAGE 15

3.1 Taille de ladresse IP 15

3.2 Notation 15

3.3 Plans dadressage 15

3.4 Autres types dadresses 16


3.4.1 Ladresse indtermine 16
3.4.2 Ladresse de bouclage 16
3.4.3 Les adresses lien-local 16
3.4.4 Les adresses site-local 17

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 5/54

3.4.5 Les adresses IPv4 mappes 17


3.4.6 Les adresses IPv4-translated 18
3.4.7 Les adresses IPv4 compatibles 18
3.4.8 Les adresses NSAP et IPX 19
3.4.9 Les adresses multicast 19
3.4.10 Les adresses broadcast 20
3.4.11 Les adresses anycast [WIP] 20

3.5 Espace dadressage 21

3.6 Etat des adresses 21

3.7 Renumrotation 21

3.8 Affectation des adresses 22

3.9 Serveur de noms 22


3.9.1 Les enregistre ments AAAA 22
3.9.2 Les enregistrements A6 23
3.9.3 Les enregistrements PTR 23
3.9.4 Les enregistrements DNAME 23
3.9.5 Mise jour dynamique [WIP] 23

4 ICMPV6 24

4.1 Gestion des erreurs 24

4.2 Information 24

4.3 Dcouverte de voisins 24


4.3.1 Sollicitation dun routeur 25
4.3.2 Annonce du routeur 25
4.3.3 Sollicitation dun voisin 25
4.3.3.1 Dtection dadresse duplique 25
4.3.3.2 Recherche de ladresse physique 25
4.3.4 Annonce dun voisin 26
4.3.5 Indication de redirection 26

4.4 Autres Fonctions 26


4.4.1 Renumrotation des routeurs [WIP] 26
4.4.2 Node Information Query / Response [WIP] 26

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 6/54

5 CONFIGURATION AUTOMATIQUE 27

5.1 Dcouverte des paramtres rseaux 27


5.1.1 Dtermination de ladresse lien-local 27
5.1.2 Recherche du routeur 27
5.1.3 Autoconfiguration sans tat 27
5.1.4 Autoconfiguration avec tat (DHCPv6) 27

5.2 Optimisation de la table de routage 28

5.3 Dcouverte du PMTU 29

6 SCURIT : IPSEC 30

6.1 Prsentation 30
6.1.1 Ce que fait IPSec 30
6.1.2 Comment fonctionne IPSec 31
6.1.3 Quels sont les algorithmes utilisables par IPSec 31
6.1.4 Comment est configur IPSec 31

6.2 Extensions de scurit 31


6.2.1 AH Authentification Header 31
6.2.2 ESP Encapsulation Security Payload 32

6.3 Les associations de scurit 32


6.3.1 Prsentation 32
6.3.2 Bases de donnes 33
6.3.2.1 SPD Security Policy Database 33
6.3.2.2 SAD Security Association Database 34
Exemple : SAD Trafic Sortant 34
6.3.3 Traitement des paquets 34
6.3.3.1 Paquets sortants 34
6.3.3.2 Paquets entrants 35

6.4 Gestion des Associations de Scurit 35


6.4.1 Introduction 35
6.4.2 Gestion manuelle 35
6.4.3 Gestion automatique 35
6.4.3.1 IKE 35
6.4.3.2 Autres protocoles 36

6.5 Multicast 36

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 7/54

7 MOBILIT 37

7.1 Introduction 37

7.2 Options de lextension Destination 38

7.3 Fonctionnement du Correspondant 38


7.3.1 Fonctionnalits requises 38
7.3.2 Rception de paquets en provenance dun mobile 38
7.3.3 Rception dun message de mise jour de lassociation 38
7.3.4 Envoi dune demande de mise jour dune association 39
7.3.5 Envoi de paquets un mobile 39

7.4 Fonctionnement de lAgent mre 39


7.4.1 Fonctionnalits requises 39
7.4.2 Rception des messages dannonce des routeurs 39
7.4.3 Dcouverte dynamique de ladresse dun agent mre 39
7.4.4 Enregistrement de ladresse temporaire primaire dun mobile 39
7.4.5 Dsenregistrement de ladresse temporaire primaire dun mobile 40
7.4.6 Interception et tunnelage des paquets destination dun mobile 40
7.4.7 Renumrotation du sous-rseau mre 40

7.5 Fonctionnement du Mobile 40


7.5.1 Fonctionnalits requises 40
7.5.2 Envoi dun paquet (mobile hors de son rseau) 40
7.5.3 Rception dun paquet (mobile hors de son rseau) 40
7.5.4 Dtection de mouvement 41
7.5.5 Envoi dun message Mise jour de lassociation son agent mre 41
7.5.6 Dcouverte dynamique de ladresse de lagent mre 41
7.5.7 Envoi de message Mise jour de lassociation aux correspondants 41
7.5.8 Demande de Forwarding par le prcdent rseau temporaire 41
7.5.9 Rception des acquittements de lassociation 41
7.5.10 Rception dune demande de mise jour 41
7.5.11 Utilisation de plusieurs adresses temporaires 42
7.5.12 Retour dans le sous rseau mre 42

7.6 Multicast 42

7.7 Scurit 42

8 QUALIT DE SERVICE (QOS) 43

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 8/54

8.1 Introduction 43

8.2 DiffServ 43
8.2.1 Structure 43
8.2.2 Traitements possibles 44
8.2.2.1 Classifier 44
8.2.2.2 Meter 44
8.2.2.3 Marker 45
8.2.2.4 Dropper 45
8.2.2.5 Shaper 45
8.2.2.6 Mirroring Element 45
8.2.2.7 Mux 45
8.2.2.8 Enqueueing Element 46
8.2.2.9 Monitor 46
8.2.3 Valeurs du champ DSCP 46
8.2.4 PHB particuliers 47
8.2.4.1 Expedited Forwarding PHB 47
8.2.4.2 Assured Forwarding PHB 47

8.3 Utilisation 48
8.3.1 Contrat de Service 48
8.3.2 Exemples dutilisation 49

9 CONCLUSION 50

10 ANNEXE 1 : BIBLIOGRAPHIE 51

10.1 Prsentations dIPv6 51

10.2 Protocole 51

10.3 Adressage 51

10.4 ICMPv6 51

10.5 Configuration automatique 52

10.6 Scurit 52

10.7 Mobilit 52

10.8 Qualit de Service 53

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 9/54

11 ANNEXE 2 : SERVICES DE SCURIT 54

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 10/54

1 Introduction

1.1 Objet du projet


Le projet porte sur ltude de migration des rseaux IP de la version v4 la version v6. Cette volution
( prvoir dans les annes venir) va poser un certain nombre de problmes, mais va galement permettre de
proposer de nouvelles fonctionnalits (mobilit, routage, scurit, ). Le but de ltude est de proposer des
mthodes pour effectuer ce basculement, ainsi quune tude dtaille des nouvelles fonctionnalits.

La finalit du projet est de dfinir un certain nombre doffres de service proposer nos clients pour
quils puissent basculer sans problme vers IPv6.

Ltude est ralise sous la forme dun Projet de Fin dEtude (PFE) entre RSI et lINSA de Lyon. Ce
PFE est effectu en entreprise raison de 2 jours par semaine pendant 6 mois (Novembre Avril) et temps
plein pendant 2 mois (Mai Juin).

1.2 Objet du document


Etude technique du protocole IPv6 permettant de mieux connatre les diffrences avec lancien
protocole, ainsi que ses nouvelles fonctionnalits. Il portera en particulier sur :
Prsentation gnrale
Adressage (technique, obtention des adresses, )
Routage
Scurit (authentification, chiffrement)
Mobilit
Qualit de Service

Note : la prsentation des fonctionnalits dIPv6 contient certains aspects ou protocoles qui ne sont pas
encore standardiss et qui ne le seront peut tre jamais. Ces paragraphes seront indiqus par [WIP] (Work In
Progress).

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 11/54

2 Prsentation du protocole IPv6


La structure de len-tte des trames IPv6 a t revue et simplifie pour combler les lacunes et
problmes dIPv4.

2.1 Rappels sur len-tte IPv4

0 8 16 24 32

1 Vers. Long. TOS Longueur totale

2 Identification Fl. Fragment Offset

3 TTL Protocole Checksum de len-tte Fixe

4 Adresse Source

5 Adresse Destination

Options Alignement

Version : 4.
Long. : Longueur de len-tte en mots de 32bits.
TOS : Type of Service (Precedence + Champ TOS), utilis pour faire de la qualit de service.
Longueur totale : Longueur du paquet (en-tte + donnes) en octets.
Identification : Numro unique permettant de faciliter le rassemblage des paquets aprs lutilisation de la
fragmentation. Chaque fragment comporte le mme numro didentification.
Flags :
0.
DF : Dont fragment (ne pas fragmenter ce paquet).
MF : More Fragments (1 Ce nest pas le dernier fragment).
Fragment Offset : Emplacement du fragment (en mots de 64 bits) dans le message intgral.
Time To Live (TTL) : Dure de vie (en secondes).
Protocole : Protocole utilis dans la couche suprieure (TCP, UDP, ).
Checksum de len-tte : Somme de contrle permettant de dtecter une erreur de transmission.
Adresses (Source/Destination) : Adresses IPv4 (32 bits).
Options : Options facultatives (Scurit, Routage, Horodatage, Flux, ).
Alignement : Octets dalignement pour finir le mot de 32bits.

2.2 Diffrences par rapport IPv4


Le numro de version passe de 4 6.
Les adresses passent de 32bits 128bits (taille pouvant tre considre comme inpuisable).
Len-tte est simplifie pour permettre den rduire la taille et dacclrer son traitement par les routeurs.
Des extensions sont insres dans la trame pour ajouter des options ou traitements supplmentaires.
Par dfaut, la fragmentation nest plus effectue par les routeurs (pour viter de les surcharger dun travail
que peut faire la station mettrice).
Le checksum est dplac dans les niveaux suprieurs (TCP, UDP, ), galement pour allger la charge
des routeurs.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 12/54

2.3 Format
Len-tte IPv6 a une taille fixe de 40 octets (5 mots de 64 bits) auquel on peut ajouter des extensions
(dune taille multiple de 64 bits).

0 8 16 24 32

0 Vers. Classe de trafic Identificateur de Flux

Longueur des donnes En-tte suiv. Nb. de sauts

Adresse Source (128 bits)


2

Adresse Destination (128 bits)


4

Version :
Sa valeur est de 6. Il permet aux quipements de connatre la version du protocole IP utiliser (emplacement
identique dans IPv4 et IPv6) pour pouvoir traiter le paquet correctement.

Classe de trafic :
Le champ classe de trafic permet de faire de la diffrenciation de services. Cela permettra de faire passer une
classe prioritairement par rapport une autre, de fixer une taille limite de trafic allou une classe, Pour
plus de dtail, se reporter au 8 QoS.

Identificateur de flux :
Ce champ contient un numro unique (pour une adresse source donne), choisi par la source et permettant
didentifier le flux de manire unique. Sil est utilis (diffrent de 0), les routeurs peuvent ragir plus rapidement
un paquet. Lidentificateur de flux restera constant tout au long du trajet entre la source et la destination. Il
nest pas uniquement spcifique un trajet entre deux nuds, comme cela est le cas pour les circuits virtuels.
Les routeurs peuvent ensuite garder en mmoire les traitements effectuer sur un flux (en particulier, la route
utiliser et les filtres appliquer). Il nont plus qu utiliser ladresse source et lidentifiant de flux sans avoir
besoin de relire toutes les options avant de router un paquet.

Longueur des donnes (payload) :


Ce champ contient la taille des donnes utiles (sans prendre en compte la longueur de len-tte, contrairement
IPv4) Pour des paquets de taille suprieure 65 535 octets, ce champ vaut 0 et loption jumbogramme est
utilise.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 13/54

En-tte suivant :
Ce champ indique le type de bloc qui suit. Il peut sagir dun protocole de niveau suprieur (TCP, UDP,
ICMP, ) ou dun champ dextension. Cela permet de chaner les extensions avant le bloc TCP (ou UDP, )
que contient le paquet.

Valeur Extension Valeur Protocole


0 Proche en proche 6 TCP
43 Routage 17 UDP
44 Fragmentation 41 IPv6
50 Confidentialit 58 ICMPv6
51 Authentification
59 Fin des en-ttes
60 Destination

Nombre de saut :
Ce champ est similaire au champ TTL (Time To Live) dIPv4. Cependant, il ne sagit plus de secondes mais de
nombre de sauts (la dure dun saut tant difficilement mesurable). Il est dcrment de un chaque nud
travers. Lorsque sa valeur arrive 0, il est dtruit et un message derreur ICMPv6 est envoy la source (cf.
4.1).

2.4 Extensions
Une extension commence par un champ en-tte suivant qui indique le type de bloc qui suivra, puis la longueur
de lextension en mots de 8 octets (la taille dune extension doit tre multiple de 64 bits).

Exemple dinsertion des extensions :

En-tte IPv6 En-tte TCP + donnes

Suivant = TCP

En-tte IPv6 Routage En-tte TCP + donnes

Suivant = Routage Suivant = TCP

2.4.1 Proche en proche (hop-by-hop)


Cette extension est toujours situe en premire position et est traite par tous les routeurs que le paquet
traverse. Elle contient une suite doptions qui sont prendre en compte par le routeur. Pour chacune, on
indique le traitement effectuer si le routeur ne connat pas loption (ignore, rejette, ).

Pour linstant, seules quatre options ont t dfinies :


Pad1 : Utilise pour introduire un octet dalignement
PadN : Utilise pour introduire plus dun octet dalignement
Jumbogramme : Permet la transmission de bloc de donnes de plus de 65 535 octets
Router Alert : Demande au routeur dexaminer le contenu des donnes quil relaie. Utile pour la gestion des
groupes de multicast avec ICMPv6 ou la signalisation des flux avec RSVP.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 14/54

2.4.2 Destination
Cette extension est identique lextension Proche en proche mis part quelle ne sadresse qu lquipement
destinataire. Elle peut entre autre contenir les options dalignement Pad1 et PadN, des informations sur la
mobilit,

2.4.3 Routage
Lextension de routage permet de spcifier une suite dquipements par lequel le paquet doit passer. Cela
correspond au routage libral de IPv4 (il ny a plus de routage strict). Chaque routeur enverra le paquet vers le
nud suivant sur la liste, jusqu atteindre la machine finale. Pour cela, on indique dans le champ adresse
destination le premier nud atteindre. Puis, chaque nud actualisera ce champ avec la prochaine
destination, jusqu atteindre la destination finale.

2.4.4 Fragmentation
La fragmentation est utilise par la machine source dans le cas de programmes qui produisent des messages
de grande taille. Nanmoins, il faut viter son usage et adapter la taille des paquets lmission. Pour cela, on
peut utiliser les techniques de dcouverte du MTU 1 (cf. 5.3) pour dterminer la taille des paquets que lon
peut transmettre.

Lextension de fragmentation permet dindiquer lordre des paquets pour pouvoir les rassembler par la suite.

2.4.5 Scurit
On dispose de deux extensions de scurit :
Authentification/Intgrit
Confidentialit

2.5 Checksum
Le contrle de checksum a t supprim au niveau IP, en partie parce que les supports physiques
actuels sont de meilleure qualit et quils possdent souvent un moyen de dtecter les erreurs (Ethernet, PPP,
). Cependant, pour se prmunir dventuelles erreurs, il a t dcid que tous les protocoles au-dessus
dIPv6 devaient utiliser une somme de contrle. Le contrle du checksum est donc ralis uniquement sur la
machine destination, ce qui dcharge les routeurs de ce travail.

Pour le calcul du checksum, on doit prendre en compte la fois les donnes du protocole concern, ainsi que
les adresses de source et de destination, la longueur des donnes et le champ en-tte suivant.

1 Maximum Transport Unit : Taille maximale du paquet IP

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 15/54

3 Adressage

3.1 Taille de ladresse IP


La taille de ladresse IPv6 a t fixe 128bits pour tre sr que lon ne tomberait jamais cours
dadresses comme cela aurait t le cas avec IPv4 si lon navait pas mis en place des solutions de
remplacement (CIDR1, NAT2). Pour bien se rendre compte, il faut savoir quavec cette taille le nombre
dadresses IP est de 3.4x1038 et que chaque habitant de la plante pourrait ainsi avoir un Internet de la taille
actuelle dInternet.

Bien entendu, on ne peut pas affecter toutes les adresses IP (et cela est dautant plus vrai avec IPv6), mais
mme avec les prvisions les plus pessimistes daffectation, on disposerait de 1564 adresses IP par m de
surface terrestre (ocan compris). La prvision la plus optimiste tant de plusieurs millions de milliards
dadresses IP par m. On peut donc considrer le pool dadresse IPv6 comme inpuisable, mme trs long
terme.

3.2 Notation
La notation utilise est la notation hexadcimale, spare tous les 16 bits par le caractre : . Dans
un souci de simplification, il nest pas ncessaire dcrire les zros placs en tte dun groupe et plusieurs
champs conscutifs peuvent tre abrgs en :: (utilisable quune seule fois).

Par exemple :
FEDC:0000:0000:0000:0400:A987:6543:0210F devient FEDC::400:A987:6543:210F

Tout comme IPv4, on peut reprsenter un prfixe IPv6 de la manire suivante : adresse/longueur-prfixe
Par exemple, 3EDC:BA98:765:3210::/64 ou FE80::/10

3.3 Plans dadressage


Un certains nombre de plans dadressage ont t envisags. Parmi les plans tudis, on a un plan
dadressage gographique (8000::/3) divis en continent, pays, et un plan dadressage fournisseur
(4000::/3) organis hirarchiquement entre les fournisseurs daccs et les clients.

Le plan retenu est le plan dadressage agrg (2000::/3) dont les adresses sont dcoupes de la manire
suivante :

3 bits 45 bits 16 bits 64 bits


001 Adresse Publique Topo Site Identifiant dinterface
13 8 24

La topologie publique est constitue par lensemble des prestataires et des points dchange de connectivit
IP. Le dcoupage est le suivant :
Une unit dagrgation haute (TLA : Top Level Aggregator) sur 13 bits.
Une partie rserve sur 8 bits : elle pourra servir par la suite agrandir les champs dunits dagrgation
(haute ou basse) en fonction des besoin (celui qui sera plein le plus vite).

1 CIDR : Classless Inter-Domain Routing


2 NAT : Network Address Translation

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 16/54

Des units dagrgation basse (NLA : Next Level Aggregator) dont la longueur totale est 24 bits et dont le
dcoupage est libre.
Pour plus de dtail sur les units dagrgation, se reporter au 3.8.

La topologie du site (SLA : Site Level Aggregator) sur 16 bits est sous la responsabilit du responsable du site
qui peut hirarchiser son rseau comme il le souhaite.

Lidentifiant dinterface devrait thoriquement tre construit pour tre globalement unique. Pour cela, la machine
peut se servir dadresses MAC IEEE 802, IEEE EUI-64, numro de srie, gnration alatoire, De cette
manire, il ny a que trs peu de chance de se retrouver avec deux identifiants identiques sur le mme lien. De
plus, en cas de conflit, il sera dtect lors de linitialisation de ladresse lien-local de linterface (cf. 5.1.1).

Certaines personnes considre que lutilisation dun identifiant de la machine dans ladresse IPv6 pourrait
permettre de pister encore plus les machines sur Internet, ce qui soulve des polmiques sur la prservation
de lanonymat. Il est toujours possible dutiliser des adresses IP fixes ou de se baser sur une gnration
alatoire de lidentifiant, nanmoins, cela aura des consquences sur la configuration automatique des
adresses IP (cf. 5.1.3).

3.4 Autres types dadresses


3.4.1 Ladresse indtermine
Ladresse indtermine est utilise comme adresse source par un nud du rseau pendant son initialisation,
avant dacqurir une adresse. Sa valeur est 0:0:0:0:0:0:0:0, en abrg ::. Elle ne doit jamais tre
destination dun paquet IPv6.

3.4.2 Ladresse de bouclage


Ladresse de bouclage vaut ::1. Cest lquivalent de ladresse 127.0.0.1 dIPv4. Elle sert senvoyer des
paquets IPv6 sans passer par un rseau.

7
6
5
::1 4
IP 3
2
1

3.4.3 Les adresses lien-local


Cest une nouveaut dIPv6. Il sagit dadresses qui ne sont valides que sur un lien (brin ethernet, liaison srie,
). Ces adresses sont configurs automatiquement car il suffit dajouter lidentifiant au prfixe FE80::/64.
Cela permet aux machines situs sur un mme lien de communiquer entre elles. Ces adresses sont utiliss
pour la configuration, la dcouverte de voisins ou de routeurs,

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 17/54

A B

FE80::ID_D FE80::ID_B

C D

3.4.4 Les adresses site-local


Ce sont des adresses prives qui peuvent tre utiliss lintrieur dun mme site et qui ne seront pas routes
sur Internet. Cela correspond aux adresses 10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16 dIPv4. Les adresses
site-local seront toujours disponibles, mais on pourra galement utiliser des adresses IPv6 globales si on a
obtenu un prfixe auprs dun organisme daffectation.
Une adresse site-local est constitue du prfixe FEC0::/48, dun champ de 16 bits qui permet de dfinir des
sous-rseaux et de lidentifiant dinterface sur 64 bits.

A B

FEC0::2:ID_D
FEC0::1:/64

C D
FEC0::2:ID_D
FEC0::2:/64

3.4.5 Les adresses IPv4 mappes


Les adresses IPv4 mappes servent, aux logiciels utilisant des adresses IPv6, communiquer avec des
machines IPv4. Dans ce cas, il faut une double pile IP qui fera la conversion entre un paquet IPv6 et une
interface IPv4 mappe (fourni par le logiciel) et un paquet IPv4 (qui sera envoye sur le rseau). Inversement, la
double pile transformera un paquet IPv4 en un paquet IPv6 pour lenvoyer au logiciel. On peut galement utiliser
ces adresses sur le rseau IPv6 pour que la conversion soit effectue distance par une machine spcialise.

Elles sont reprsentes sous la forme ::FFFF:a.b.c.d o a.b.c.d est une adresse IPv4. On peut aussi
lcrire sous la forme ::FFFF:XXXX:YYYY o XXXXYYYY est la reprsentation hexadcimale de a.b.c.d.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 18/54

A B

Dest=::FFFF:192.168.2.3 192.168.2/24

IPv6 IPv4 A : IPv6/IPv4 [192.168.1.2]


R B : IPv4 [192.168.2.3]
192.168.2.3
192.168.1/24

A B

Src=::FFFF:192.168.2.3 192.168.2/24

IPv6 IPv4 A : IPv6/IPv4 [192.168.1.2]


R B : IPv4 [192.168.2.3]
192.168.1.2
192.168.1/24

3.4.6 Les adresses IPv4-translated


Les adresses IPv4-translated sont des adresses IPv6 particulires contenant une adresse IPv4. Dans le cas o
lon utilise un traducteur de paquets IPv4/IPv6 distant, il faut trouver un moyen de lui indiquer ladresse IPv4
utiliser comme source du paquet. On utilise alors une adresse IPv4-translated. Le paquet est envoy avec une
adresse source IPv4-translated et une adresse destination IPv4 mappe. On procde de la mme faon dans le
sens inverse.

Elles sont reprsentes sous la forme ::FFFF:0:a.b.c.d o a.b.c.d est une adresse IPv4. On peut aussi
lcrire sous la forme ::FFFF:0:XXXX:YYYY o XXXXYYYY est la reprsentation hexadcimale de a.b.c.d.

A [v6] Routeur B [v4]


v4/v6

::ffff:0:134.22.3.5 134.22.3.5
::ffff:134.27.1.2 134.27.1.2

3.4.7 Les adresses IPv4 compatibles


Les adresses IPv4 compatibles permettent deux machines IPv6 de communiquer par lintermdiaire dun
rseau IPv4 (les machines doivent donc avoir chacune une adresse IPv4). Les donnes sont encapsules dans
un paquet IPv4 et ce paquet est ensuite achemin sur le rseau IPv4 puis dsencapsul lautre bout.

Elles sont reprsentes sous la forme ::a.b.c.d o a.b.c.d est une adresse IPv4. On peut aussi lcrire
sous la forme ::XXXX:YYYY o XXXXYYYY est la reprsentation hexadcimale de a.b.c.d.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 19/54

A B

Dest=::192.168.2.3 Src=::192.168.1.2

IPv6 IPv4 IPv6 IPv4

192.168.2.3
192.168.2/24
192.168.1/24

3.4.8 Les adresses NSAP et IPX


Les adresses NSAP (Network Service Access Point) et IPX (Novell) sont en cours de dfinition. Leurs prfixes
sont respectivement 200::/7 et 400::/7.

3.4.9 Les adresses multicast


Les adresses multicast permettent, comme sous IPv4 daccder directement un groupe de machines. Lenvoi
dun paquet vers une adresse multicast sera reu par toutes les machines qui appartiennent ce groupe. Pour
la gestion des groupes, il suffit dutiliser les messages ICMPv6 (IGMP a t intgr dans ICMPv6) appropris
pour sinscrire ou se dsinscrire dun groupe.

Le prfixe utilis pour les adresses multicast est FF00::/8. Le format des adresses est le suivant :

8 bits 4 bits 4 bits 112 bits


FF00 Flags Scope Group Id

Le champ Flags se dcoupe de la manire suivante :


0 rserv (=0)
1 rserv (=0)
2 rserv (=0)
3 Validit de ladresses (0-Permanente, 1-Temporaire)
Les adresses permanentes doivent tre attribues par une autorit comptente de lInternet. Les adresses
temporaires sont par exemple utilises pour des visioconfrences, qui ont une dure limite dans le temps.

Le champ Scope permet de donner le niveau de diffusion de ladresse. Les valeurs possibles sont :
0 rserv
1 nud (node-local scope)
2 lien (link-local scope)
5 site (site-local scope)
8 organisation (organization-local scope)
E global (global scope)
F rserv
Cela permet par exemple, de confiner des paquets sensibles lintrieur dun site et dtre sr quils ne se
propageront pas sur Internet.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 20/54

Un certain nombre de groupes standards ont t dfinis1 pour permettre certains protocoles (par exemple les
protocoles de routages) de dialoguer entre eux. Lutilisation du champ Scope permettant de slectionner le
niveau de diffusion (tous les niveaux ne sont pas forcement utilisables).

Le groupe 0x01 correspond tous les nuds IPv6. Cela permet par exemple, daccder toutes les
machines situes sur un mme lien en utilisant ladresse FF02::1.
Le groupe 0x02 correspond aux routeurs IPv6. FF05::2 correspond donc tous les routeurs du site.
Le groupe 0x09 correspond au protocole RIP.
Les groupes 0x10002 0x10004 sont utilis par le protocole DHCP (agents, serveurs, relais).
Etc

Chaque nud IPv6 doit galement construire (et adhrer ) une adresse multicast sollicit (solicited node
address) pour chaque adresse unicast ou anycast dont il dispose. Ladresse multicast sollicit est form en
utilisant le prfixe FF02::1:FF00:0/104 et en ajoutant les 24 derniers bits de ladresse unicast ou anycast.
Par exemple, ladresse sollicit correspondant ladresse 4037::01:800:200E:8C6C est
FF02::1:FF0E:8C6C. Cette adresse sera utilise entre autre lors de la dcouverte des voisins.

3.4.10 Les adresses broadcast


La notion de broadcast a disparu dans IPv6. On peut dsormais se servir de certaines adresses multicast pour
effectuer le mme travail (par exemple FF02::1 pour accder toutes les machines sur un mme lien).

3.4.11 Les adresses anycast [WIP]


Les adresses anycast sont une nouveaut dIPv6 et permettent denvoyer un paquet une machine parmi un
groupe. Pour cela, on utilise une adresse anycast (situe dans lespace dadressage des adresses unicast) et
le systme de routage va lacheminer vers la machine du groupe la plus proche (la notion de distance
correspond celle utilise par le protocole de routage).

Adresses anycast particulires :


Adresse de sous-rseau : Elle est forme en concatnant le prfixe du sous-rseau avec le suffixe nul.
Tous les paquets envoys cette adresse iront lun des routeurs du sous-rseau en question. Cela peut
tre utilis par une machine pour trouver le routeur le plus proche permettant daccder un sous-rseau
donn.
Adresse anycast rserve : Certaines adresses anycast dun sous-rseau ont t rserves pour un
usage standard. Elle sont construites de la manire suivante :
Si le prfixe de sous-rseau est de 64 bits, on ajoute ce prfixe 6 bits positionn 1, 1 bit positionn
0, 50 bits positionns 1 et enfin lidentifiant rserv. Note : Le bit positionn 0 correspond au
universal/local bit du format EUI-64 qui indique que lidentifiant est local.
Dans le cas contraire, on ajoute au prfixe de sous-rseau, une srie de bits positionns 1, puis
lidentifiant reserv (7 bits).
Pour linstant, seul un identifiant anycast a t rserv :
126 Agents mres pour les mobiles

En thorie, il serait possible dutiliser les adresses anycast avec nimporte quel groupe de nuds IPv6 situs
en tout point du rseau, mais cela reste encore exprimental. Les seules adresses anycast utilisables sont les
adresses particulires dfinis ci-dessus.

1 http://www.isi.edu/in-notes/iana/assignments/ipv6-multicast-addresses.txt

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 21/54

3.5 Espace dadressage


Prfixe Attribution
0::/8 Rserv
100::/8 Non attribu
200::/7 NSAP (ISO)
400::/7 IPX (Novell)
600::/7 Non attribu
800::/5 Non attribu
1000::/4 Non attribu
2000::/3 Aggregation-Base Unicast Address
4000::/3 Provider-Based Unicast Address (obsolte)
6000::/3 Non attribu
8000::/3 Geographic-Based Unicast Address (obsolte)
A000::/3 Non attribu
C000::/3 Non attribu
E000::/4 Non attribu
F000::/5 Non attribu
F800::/6 Non attribu
FC00::/7 Non attribu
FE00::/9 Non attribu
FE80::/10 Link Local Use Addresses
FEC0::/10 Site Local Use Addresses
FF00::/8 Multicast Addresses

3.6 Etat des adresses


Une machine dispose souvent de plusieurs adresses IP qui peuvent tre dans des tats diffrents. Ces
tats ont t dfinis pour faciliter la renumrotation ou la mobilit. En effet, dans ces cas prcis, il faut un
mcanisme permettant aux applications de passer dune adresse une autre sans interruption de service.

3 tats ont t dfinis :


Prfr : ladresse peut tre choisi pour amorcer une communication
Dprci : ladresse ne doit plus tre choisie pour amorcer une communication mais elle peut tre utilise
dans une communication dj en cours.
Invalide : ladresse ne doit plus tre utilise

Lorsque lon doit utiliser une nouvelle adresse, on la met dans ltat prfr et on passe lancienne adresse
dans ltat dprci. De cette faon, les anciennes communications peuvent continuer pendant que les
nouvelles utilisent la nouvelle adresse.

3.7 Renumrotation
Un des problmes dIPv4 a t une mauvaise gestion de lespace dadressage, qui a conduit un
accroissement certain des tables de routage. Cela est d entre autre deux phnomnes :
Lorsquune entreprise change de prestataire, elle garde souvent ses adresses IP (pour viter de tout
renumroter), et il faut donc rajouter des entres dans les tables de routage pour continuer router vers
cette entreprise.
Lorsquun prestataire fait plusieurs demandes (spars dans le temps) pour des adresses IP, il nobtient
pas des plages dadresses contigus et il faut donc rajouter des entres dans les tables de routage pour
que toutes ces adresses lui arrivent.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 22/54

Il a donc t dcid que les adresses IPv6 nappartenaient pas aux personnes qui les avait demandes et que
lon pouvait leur demander de les rendre. De cette manire, lIANA sassurera que lespace dadressage reste
bien utilis pour viter le gaspillage et augmenter lagrgation et lefficacit des tables de routage.

Pour cela, IPv6 a t conu pour permettre la renumrotation sans interruption de service dun site entier. Le
basculement entre lancienne adresse et la nouvelle est effectu grce aux diffrents tats que peuvent prendre
les adresses (cf. 3.6). Pour amorcer le basculement, il y a deux systmes :
Pour les routeurs, on peut utiliser les fonctions de renumrotation des routeurs de ICMPv6 (cf. 4.4.1)
Pour les nuds terminaux, le protocole de dcouverte des voisins (cf. 5.1) permet de prendre
connaissance du nouveau prfixe (une fois que les routeurs sont renumrots).

3.8 Affectation des adresses


LIANA (Internet Assigned Numbers Authority) et son remplaant lICANN (Internet Corporation for
Assigned Names and Numbers) ont la charge daffecter les nombres, mots-cls et paramtres devant tre
uniques sur Internet. Ils ont donc galement la charge de grer laffectation globale des adresses IP.

Pour cela, ils sappuie sur des organismes rgionaux (Regional Internet Registries) qui ont leur disposition
une partie de lespace dadressage affecter. Il ny a pour linstant que 3 Regional Internet Registries :
ARIN (American Registrery for Internet Numbers) pour lAmrique du Nord, du Sud, les Carabes, et
lAfrique sub-Saharienne.
RIPE NCC (Rseaux IP Europens) pour lEurope, le Moyen-Orient et une partie de lAfrique.
APNIC (Asia Pacific Network Information Centre) pour lAsie et le Pacifique.

Les plages disponibles actuellement sont les suivantes :


2001:0::/23 IANA
2001:200::/23 APNIC
2001:400::/23 ARIN
2001:600::/23 RIPE NCC

Les organismes rgionaux peuvent ensuite affecter des sub-TLA (Top Level Aggregator) dautres organismes,
qui doivent tre de gros prestataires de service. En effet, les prrequis sont les suivants :
Avoir une connectivit avec au moins 3 autres organismes (disposant eux mme dun sub-TLA)
Satisfaire un des deux points suivants :
Avoir dj allou au moins 40 NLA (Next Level Aggregator) des sites clients.
Etre en mesure de prouver que lorganisme est capable de fournir des services IPv6 dans un dlai
infrieur 12 mois.

Les organismes qui possde des sub-TLA peuvent ensuite affecter des adresses leurs clients (NLA) qui
peuvent eux-mmes en affecter dautre,

3.9 Serveur de noms


Comme pour IPv4, le serveur de nom doit pouvoir rpondre au requtes permettant de connatre
ladresse IP correspondant un nom et inversement. Ce service de DNS est dautant plus ncessaire que
lutilisation directe des adresses IP dans les logiciels risque de ne pas tre toujours autoris.

3.9.1 Les enregistrements AAAA


Lenregistrement AAAA indique ladresse IPv6 correspondant un nom.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 23/54

Exemple : pirae-v6 IN AAAA 3FFE:306:1130:1100:1:0:C0FE:EF2

3.9.2 Les enregistrements A6


Pour faciliter la renumrotation, on prfre ne pas indiquer ladresse entire correspondant chaque machine
mais plutt son identificateur et le nom de son prfixe. En cas de renumrotation, il suffit de changer le prfixe
et toutes les machines sont mises jour.
Exemple :
pirae-v6 IN A6 64 ::1:0:C0FE:EF2 net1.ipv6.inrialpes.fr.
net1.ip6.inrialpes.fr. IN A6 48 0:0:0:1100:: net.ipv6.inrialpes.fr.
net.inrialpes.fr. IN A6 24 0:6:1130:: net.ipv6.provider.com.
net.ip6.provider.com IN A6 0 3FFE:0300::

3.9.3 Les enregistrements PTR


Pour faire la correspondance entre ladresse IP et le nom DNS, on utilise un enregistrement PTR dans la zone
ip6.int.
Exemple :
2.f.e.0.e.f.0.c.0.0.0.0.1.0.0.0.0.0.1.1.0.3.1.1.6.0.3.0.e.f.f.3.ip6.int.
IN PTR pirae-v6.ipv6.inrialpes.fr.

On peut galement donner la correspondance dans une sous-zone :


$ORIGIN 0.3.1.1.6.0.3.0.e.f.f.3.ip6.int.
2.f.e.0.e.f.0.c.0.0.0.0.1.0.0.0.0.0.1.1 IN PTR pirae-v6.ipv6.inrialpes.fr.

3.9.4 Les enregistrements DNAME


Pour faciliter la renumrotation, on utilise les enregistrements DNAME pour permettre des alias sur les zones.
On cre donc des zones dans ip6.int (associes un prfixe) o on donne la relation entre le suffixe et le nom.
Exemple :
0.3.1.1.6.0.3.0.e.f.f.3.ip6.int IN DNAME ip6.inrialpes.fr.

$ORIGIN ip6.inrialpes.fr.
2.f.e.0.e.f.0.c.0.0.0.0.1.0.0.0.0.0.1.1 IN PTR pirae-v6.ipv6.inrialpes.fr.

3.9.5 Mise jour dynamique [WIP]


Certaines volutions permettant de mettre jour le DNS dynamiquement sont ltude et permettront au DNS
dtre jour sans avoir rentrer toutes les adresses la main (surtout que lautoconfiguration automatique des
machines (cf. 5) rend ce travail quasi-impossible). Plusieurs propositions sont envisages :
Mise jour dynamique o une machine envoie au serveur DNS son adresse et les noms auxquels elle veut
rpondre. Dans le cas o on utilise un serveur DHCP pour lattribution des adresses, celui-ci pourra se
charger de cette tche.
Mise jour des serveurs secondaires. Dans le cas o le serveur primaire est remis jour (par exemple,
quand une machine a t rajoute), il faut mettre jour les serveurs secondaires pour quils puissent
propager cette information.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 24/54

4 ICMPv6
Le protocole ICMP a galement t revu et amlior. En plus des fonctions dj prsentes dans IPv4
(dtection derreur, test, configuration automatique), ICMPv6 intgre galement les fonctions de gestion des
groupes de multicast (effectue par IGMP auparavant) et les fonctions du protocole ARP.

4.1 Gestion des erreurs


Les messages derreurs sont envoys par un routeur ou par la machine destination lorsquun paquet ne
peut tre achemin. Le type derreur a une valeur infrieure 127 et le dbut du paquet fautif est envoy avec le
message.

Destination inaccessible [Type=1]


Aucune route vers la destination (0)
La communication avec la destination est administrativement interdite (1)
La destination nest pas un voisin (2)
Ladresse est inaccessible (3)
Le numro de port est inaccessible (4)
Paquet trop grand [Type=2]
Temps dpass [Type=3]
Limite du nombre de sauts atteinte (0)
Temps de rassemblage dpass (1)
Erreur de paramtre [Type=4]
Champ den-tte erron
Champ den tte suivant non reconnu
Option non reconnue

4.2 Information
Ce sont les messages utiliss pour tester la connectivit (ping) et pour grer les groupes multicast.

Demande dcho [Type=128]


Rponse dcho [Type=129]
Demande de gestion de groupe multicast [Type=130]
Rapport de gestion de groupe multicast [Type=131]
Rduction dun groupe multicast [Type=132]

4.3 Dcouverte de voisins


Ce sont les messages utiliss par une machine pour communiquer avec les autres. Ils permettent de
trouver les routeurs, les adresses physiques des voisins (remplace ARP), et de vrifier et doptimiser les tables
de routage.

Sollicitation dun routeur [Type=133]


Annonce du routeur [Type=134]
Sollicitation dun voisin [Type=135]
Annonce dun voisin [Type=136]
Indication de redirection [Type=137]

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 25/54

4.3.1 Sollicitation dun routeur


Ce message est mis par une machine dsirant avoir des informations sur les routeurs prsents sur le lien. Il
est donc envoy ladresse multicast FF02::2 (routeurs sur le lien). Si lquipement ne connat pas encore
son adresse source, il peut utiliser ladresse non spcifie.

La machine peut inclure son adresse physique en option.

4.3.2 Annonce du routeur


Ce message est mis priodiquement par les routeurs ou en rponse un message de sollicitation. Il permet
aux quipements de connatre le routeur ainsi que les paramtres de configuration utiliser.

Paramtres pouvant tre contenus dans le message :


Nombre de saut max. utiliser dans les paquets
Si ladresse dun quipement doit tre obtenue avec un protocole de configuration (DHCPv6)
Si le routeur peut tre utilis comme agent mre pour un nud mobile
La dure de vie du routeur
La dure daccessibilit (dure pendant laquelle une information contenue dans le cache peut tre
considre comme valide)
La temporisation de retransmission (priode entre deux missions non sollicites de lannonce du routeur)
Ladresse physique du routeur
La taille du MTU utiliser
Le prfixe correspondant au rseau
Si un quipement peut utiliser ce prfixe pour construire son adresse
La dure de validit du prfixe
etc

4.3.3 Sollicitation dun voisin


Ce message permet davoir des informations sur une machine situe sur le mme lien. Il est surtout utilis pour
dtecter une adresse duplique et pour connatre ladresse physique dune machine (remplaant dARP). Un
champ adresse cible permet dindiquer ladresse dont on veut obtenir des informations. Le message peut tre
envoy directement ou vers une adresse multicast.

4.3.3.1 Dtection dadresse duplique

Lorsquune machine veut utiliser une adresse, elle doit imprativement vrifier quelle nest pas dj utilise.
Pour cela, elle envoie un message de sollicitation vers ladresse multicast sollicite (adresse constitue du
prfixe FF02::1:FF00:0/104 suivi des 24 derniers bits de ladresse unicast sollicite) et attend une
rponse. Si aucune rponse nest reu au bout dune seconde (valeur par dfaut), la machine peut considrer
quaucun quipement nutilise cette adresse et peut donc lutiliser. Si une machine rpond, on ne peut pas
utiliser cette adresse, une intervention humaine sera srement ncessaire.

4.3.3.2 Recherche de ladresse physique

Pour connatre ladresse physique dune machine situe sur le mme lien, une machine envoie un message de
sollicitation vers ladresse multicast sollicite (adresse constitue du prfixe FF02::1:FF00:0/104 suivi des
24 derniers bits de ladresse unicast sollicite) et attend une rponse. La rponse contiendra ladresse
physique, ce qui permettra de commencer la communication directement (sans passer par le multicast).

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 26/54

4.3.4 Annonce dun voisin


Ce message est mis (le plus souvent) en rponse une sollicitation de voisin. Il peut aussi tre mis
spontanment pour indiquer un changement dadresse physique.

Les paramtres contenus dans la rponse sont :


Ladresse physique de la source
Si lquipement est un routeur (peut indiquer le fait quun routeur redevienne une station normale)
Si lannonce est faite en rponse une sollicitation
Si cette annonce doit remplacer des informations dj contenu dans le cache

4.3.5 Indication de redirection


Ce message est envoy par un routeur pour indiquer une machine quelle peut optimiser sa table de routage
(sil existe une route plus courte). Cela peut tre le cas sil existe un routeur plus appropri ou si la machine
destination est situe sur le mme lien physique. Cf. 5.2.

4.4 Autres Fonctions


Certaines nouvelles fonctionnalits sont encore exprimentales, il sagit de :
Renumrotation des routeurs [Type=138]
Node Information Query [Type=139]
Node Information Response [Type=140]

4.4.1 Renumrotation des routeurs [WIP]


Le protocole de renumrotation des routeurs permet dindiquer les changements de prfixes un routeur pour
effectuer une renumrotation (une fois que le routeur sera renumrot, les quipements terminaux se
renumroteront grce aux messages de dcouverte de voisin). Cela permet de renumroter un site en quelques
messages.

Le message contient un prfixe de test (pour dterminer le ou les prfixes remplacer), une opration (ajout,
remplacement, ) et les nouveaux prfixes.

Les messages devront bien entendu utiliser lextension dauthentification pour viter quune machine ne
dclenche une renumrotation sans autorisation.

4.4.2 Node Information Query / Response [WIP]


Ce protocole permet de demander des informations sur un nud. Les informations pouvant tre demandes
sont les suivantes :
Types dinformations supports (donc pouvant tre demands)
Nom DNS (avec la dure pendant laquelle le nom est valide)
Adresse IPv6
Adresse IPv4

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 27/54

5 Configuration automatique
Un des grands avantages dIPv6 est sa capacit automatiquement configurer les postes clients.
Dans la pratique, il suffit de brancher le poste sur le rseau pour quil se configure automatiquement (il trouve
son adresse, les routeurs, les paramtres rseaux utiliser, ). On peut galement utiliser la nouvelle version
de DHCP pour avoir une configuration plus fine et transmettre dautres paramtres (serveur de noms, )

Note : Cela nest valable que pour les postes clients. Les routeurs doivent bien entendu tre configurs la
main.

5.1 Dcouverte des paramtres rseaux


5.1.1 Dtermination de ladresse lien-local
La machine commence par crer son adresse lien-local (prfixe FE80::/64) en utilisant lidentifiant de
linterface. Avant toute utilisation de cette adresse, elle vrifie quaucune machine ne lutilise dj en utilisant le
mcanisme de dtection dadresse duplique (cf. 4.3.3.1). Si un machine lutilise, le processus de
configuration sarrte et une intervention humaine sera ncessaire pour la configuration.

5.1.2 Recherche du routeur


La machine envoie un message de sollicitation du routeur sur le lien ( ladresse FF02::2). Si un routeur est
prsent, sa rponse contiendra la mthode utiliser pour la configuration :
Autoconfiguration sans tat (pas de gestion de ladressage)
Autoconfiguration avec tat (gestion de ladressage DHCPv6)

Si aucun routeur ne rpond, la machine peut tenter une autoconfiguration avec tat sil y a un serveur DHCPv6.
Dans le cas contraire, elle ne pourra communiquer quavec les machines situes sur le mme lien en utilisant
son adresse lien local.

5.1.3 Autoconfiguration sans tat


Dans ce cas, la machine se sert des paramtres fournis par lannonce du routeur pour se configurer. Elle peut
rcuprer le prfixe utiliser pour crer son adresse globale, ainsi que certains paramtres (nombre de sauts
max, MTU, ). Avec son adresse globale et ladresse du routeur, la machine est dsormais capable de
communiquer en dehors de son lien.

5.1.4 Autoconfiguration avec tat (DHCPv6)


La configuration avec tat est effectu en utilisant un serveur DHCPv6 qui affecte les adresses globales
utiliser. Tout comme son prdcesseur (DHCP), il peut galement renvoyer dautres paramtres de
configuration comme ladresse du serveur de nom, du serveur WINS, etc

Configuration DHCP :
Sollicitation DHCP, message mis vers un serveur ou relais DHCP. Pour cela, on utilise ladresse
multicast des agents DHCP situs sur le lien (FF02::1:2).
Annonce DHCP en rponse la sollicitation. Contient ladresse IPv6 du serveur DHCP.
Requte DHCP pour demander les paramtres de configuration.
Rponse DHCP contenant les paramtres de configuration.

Autre messages DHCP


Libration DHCP mis par le client pour informer le serveur quil libre des ressources.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 28/54

Reconfiguration DHCP mis par le serveur pour informer le client quil a de nouvelles informations de
configuration. Le client doit alors effectuer une requte de configuration.

Quand la machine a obtenu son adresse, elle doit vrifier que celle-ci est unique en utilisant le mcanisme de
dtection dadresse duplique (cf. 4.3.3.1). Si elle est unique, elle peut commencer lutiliser.

5.2 Optimisation de la table de routage


Lors de la configuration automatique, les machines utilisent le routeur qui rpond la sollicitation
comme leur routeur par dfaut. Toutes les communications avec une machine qui nest pas situ sur le lien
(qui na pas le mme prfixe) sera donc dirig vers ce routeur.

Cependant, il y a des cas o la table de routage pourrait tre optimise pour prendre en compte la topologie du
rseau :
Il y a un routeur plus appropri qui est situ sur le mme lien
La machine joindre est situe sur le mme lien (mme si elle a un prfixe diffrent)

Dans ce cas, le routeur peut envoyer un message ICMPv6 de redirection la machine pour lui indiquer de
mettre jour ses tables de routage.

Exemple :

R1 R2

ICMPv6 B

La machine A veut envoyer un paquet B. Comme B nest pas sur son rseau, elle lenvoie son routeur par
dfaut : R1. R1 lenvoie alors R2 qui est le routeur capable datteindre directement B. Comme R2 est sur le
mme lien que A, la machine A pourrait directement passer par R2 pour atteindre la machine B. Le routeur R1
envoie donc un message ICMPv6 de redirection A.

La table de routage de A est alors la suivante :

Destination Passerelle
Default F0C0::1:ID_R1
F0C0::2:ID_B F0C0::1:ID_R2

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 29/54

R1 R2

5.3 Dcouverte du PMTU


Le PMTU (Path Maximum Transmission Unit) correspond la taille maximale utiliser pour passer un
ensemble de nuds. Pour envoyer un message, un quipement doit donc dterminer le PMTU appropri pour
que ses datagrammes soient les plus grands possibles mais galement pour quils puissent transiter par tous
les liens (les routeurs ne font plus de fragmentation, cest aux machines terminales de le faire).

Principe :
Initialement, on considre que le PMTU est gal au MTU du lien sur lequel on se trouve.
Si le paquet traverse un lien avec un MTU infrieur, le routeur dtruit le paquet et envoie un message
derreur ICMPv6 de type message trop grand . La taille du MTU utiliser tant envoy en paramtre du
message derreur, lquipement met jour son PMTU.
On recommence envoyer jusqu ce que le paquet arrive destination.
De temps en temps, lquipement peut envoyer un paquet plus grand pour vrifier que le PMTU na pas
augment (grce un changement de route).

Note : La valeur minimum du PMTU est de 1280 octets.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 30/54

6 Scurit : IPSec
La plupart des logiciels voulant communiquer avec une gestion de la scurit ont dvelopp leurs
propres mcanismes/protocoles (SSH, Secure HTTP, PGP, ). IPSec (IP Security) a t cr pour intgrer
tous ces mcanismes directement au niveau de la couche IP. Comme IPSec sera obligatoire dans toutes les
implmentations dIPv6 1, la scurit pourra tre prsente sur tous les quipements rseaux. Les services de
scurit fournis sont la confidentialit, l'authentification et l'intgrit des donnes, la protection contre le rejeu et
le contrle d'accs 2. Ces services sont bass sur des mcanismes cryptographiques qui leur confrent un
niveau de scurit lev lorsqu'ils sont utiliss avec des algorithmes forts.

6.1 Prsentation
6.1.1 Ce que fait IPSec
En offrant des services de scurit au niveau de la couche transport, IPSec permet nimporte quelle
application dutiliser ses services.

IPSec permet deux sortes de protection :


Une protection bout en bout entre deux machines. Ce sont les machines qui grent IPSec (utilis dans ce
cas l en mode transport)
Une protection sur un bout de segment. On utilise dans ce cas des passerelles de scurit qui rajoutent la
protection sur les paquets qui transitent par elles. On utilise dans ce cas la le mode tunnel o les paquets
sont encapsuls dans un paquet protg. La protection peut se faire entre deux passerelles de scurit o
entre une machine et une passerelle de scurit

Connexion de deux
machines entre elles Internet

Mode transport ou tunnel


Machine A Machine B

Protection d'un site


(utilisation d'une
passerelle de scurit)

Mode tunnel
A Site priv

Machine extrieure
Passerelle de scurit

1 On peut galement lutiliser avec IPv4.


2 Cf. Annexe 2 pour la dfinition des diffrents services de scurit

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 31/54

Connexion de deux sites


privs par l'intermdiaire
Internet
d'Internet
Site A (rseau non Site B
sr)
Mode tunnel

Lgende
Passerelle de
Trafic non scuris
scurit
Trafic scuris

6.1.2 Comment fonctionne IPSec


IPSec utilise deux extensions (cf. 2.4) du protocole IPv6 : AH (Authentification Header) et ESP
(Encapsulation Security Payload). AH est utilis pour lintgrit et lauthentification, alors que ESP est utilis
pour la confidentialit. Ces deux services ont t spars pour permettre dutiliser des algorithmes diffrents
pour chacun dentre eux (la lgislation de certains pays permet par exemple dutiliser des cls plus fortes dans
le cas de lauthentification).

6.1.3 Quels sont les algorithmes utilisables par IPSec


IPSec a t conu pour ne pas tre dpendant de tel ou tel algorithme. Tous les algorithmes peuvent donc tre
implments dans IPSec, ce qui permet lutilisation des algorithmes les plus appropris en fonction des
circonstances (lgislation du pays, niveau de scurit requis, arme, ). Nanmoins, certains algorithmes
seront implments en standard pour faciliter la communication entre les machines sur Internet : DES-CBC et
3DES-CBC pour le chiffrement et HMAC-MD5 et HMAC-SHA-1 pour l'authentification.

6.1.4 Comment est configur IPSec


IPSec se sert du concept dassociation de scurit pour fonctionner. Une association de scurit contient tous
les paramtres appliquer une communication. Pour grer ces associations, IPSec dispose de deux bases
(SPD et SAD cf. 6.3.2) qui lui indiquent quels sont les paramtres de scurit (type, algorithme, cls, )
appliquer un paquet en fonction de ses paramtres (source, destination, ports, ). Cette configuration peut
tre effectue soit en statique (par ladministrateur), soit en dynamique (par les applications) dans le cas o il y
a des cls gnres automatiquement ou distribues par un serveur de cls. Note : Lutilisation de deux bases
pour grer IPSec nest quune recommandation. La manire dimplmenter ces deux bases est laiss la
charge des dveloppeurs.

6.2 Extensions de scurit


6.2.1 AH Authentification Header
Le principe de l'AH est d'ajouter au paquet IP classique un identificateur permettant la rception de vrifier
l'intgrit des donnes contenues dans le paquet. De plus, lintgrit de ladresse source permet dauthentifier
celle-ci et un numro de squence permet de dtecter les tentatives de rejeu.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 32/54

Lextension AH contient les donnes suivantes :


SPI (Security Parameters Index) : Il permet (associ avec ladresse de destination) didentifier de manire
unique lassociation de scurit1 utilise.
Numro de squence : Il est incrment par la source lors de lenvoi de chaque nouveau paquet. Il permet
donc de dtecter les rejeux de paquet IP.
Donnes dauthentification : Champ de longueur variable contenant lidentificateur (ICV Integrity Check
Value) calcul par la source et permettant de prouver lintgrit du paquet.

Protection assure en fonction du mode :


Mode Transport : La protection est assure uniquement sur les donnes de la couche transport et sur les
champs qui ne subissent pas de modification pendant le transport.
Mode Tunnel : La protection est assure sur lensemble du paquet.

6.2.2 ESP Encapsulation Security Payload


Le principe de l'ESP est de gnrer, partir d'un paquet IP classique, un nouveau paquet IP dans lequel les
donnes et ventuellement l'en-tte originale, sont chiffrs.

Note : ESP peut galement assurer l'authenticit des donnes par ajout d'un bloc d'authentification et la
protection contre le rejeu par le biais d'un numro de squence. Dans ce cas, lauthentification porte sur
lensemble des donnes chiffres.

Lextension ESP contient les donnes suivantes :


SPI (Security Parameters Index) : Il permet (associ avec ladresse de destination) didentifier de manire
unique lassociation de scurit utilise.
Numro de squence : Il est incrment par la source lors de lenvoi de chaque nouveau paquet. Il permet
donc de dtecter les rejeux de paquet IP (optionnel).
Donnes chiffres plus ventuellement des donnes de synchronisation (en fonction de lalgorithme utilis)
Octets dalignement + longueur
En-tte suivant
Donnes dauthentification (en fonction de lalgorithme utilis)

Protection assure en fonction du mode :


Mode Transport : La protection est assure uniquement sur les donnes de la couche transport et
ventuellement sur lextension destination.
Mode Tunnel : La protection est assure sur lensemble du paquet. Dans le cas de deux sites relis
laide de passerelles de scurit, cela permet de chiffrer certaines donnes de len-tte pouvant tre
confidentielles (adresses sources et destination des machines communicantes).

6.3 Les associations de scurit


6.3.1 Prsentation
Un concept cl qui revient la fois dans les mcanismes d'authentification et de confidentialit dans IP est
l'association de scurit. Une association de scurit dfinit les paramtres de scurit appliquer sur une
communication (on utilise une association par sens, on a donc besoin de deux associations pour une
communication bidirectionnelle).

1 Association de scurit : Cf. 6.3. Contient tous les paramtres de scurit qui seront appliqus une
communication.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 33/54

Une association de scurit est dfinie de manire unique par une adresse de destination, un indice (SPI
Security Parameters Index) et lextension de scurit (AH ou ESP). Cela permet de retrouver les traitements
effectuer sur un paquet sans avoir accs aux autres champs (en effet, dans le cas du chiffrement, certains
champs, comme les ports, ne sont pas accessibles en clair).

Une association de scurit contient entre autres les paramtres suivants :


Les paramtres de lalgorithme utilis (type dalgorithme, cls de chiffrement, etc)
La dure de vie de lassociation de scurit
Le mode du protocole IPsec : tunnel, transport ou wildcard (le mode sera dtermin par lapplication)
Les paramtres de protection contre le rejeu (numro de squence, numro de squence maximal, )

6.3.2 Bases de donnes


Pour plus de clart, on utilise deux bases de donnes, ce qui permet de sparer la slection des paramtres
de scurit et les paramtres de scurit en eux-mmes.
La base de donnes SPD (Security Policy Database) permet de trouver lassociation de scurit utiliser
sur un paquet entrant ou sortant.
La base de donnes SAD (Security Association Database) contient lensemble des associations de
scurit avec leurs paramtres (algorithmes, cls, ). Cest cette base qui est utilise pour authentifier,
vrifier lauthentification, chiffrer ou dchiffrer un paquet.

6.3.2.1 SPD Security Policy Database

Cette base contient une liste ordonne dentre qui permettent de choisir les types dassociations utiliser sur
tel ou tel trafic. Il y a deux bases SPD pour chaque interface (une pour le trafic entrant, une pour le trafic
sortant). On utilise pour cela des selectors :
Adresse IP source
Adresse IP de destination
Port source
Port destination
Protocole de niveau transport (obtenu par le champ en-tte suivant)
Identit de lutilisateur
Identit de lquipement (par exemple DNS)
Niveau de sensibilit des donnes (tiquettes normalises IPSO/CIPSO1)

Note : Certains selectors ne sappliquent pas forcement sur des champs contenus dans un paquet IP. En
particulier, le nom de lutilisateur local peut tre utilis pour viter de donner la mme cl deux utilisateurs
connects sur une mme machine (ils pourraient ventuellement la trouver en analysant ce quils envoient et ce
qui passe sur le rseau).

Pour chacun, on peut utiliser une valeur fixe, un intervalle ou un joker.

Chaque entre du SPD contient :


Selectors
Action effectuer :
Discard : le paquet est jet (il na pas le droit de passer).
Bypass IPSec : le paquet peut passer sans que IPSec ne le traite.
Apply IPSec : on applique une association de scurit au paquet.
Spcifications de Scurit : mode (tunnel, transport, joker), type (AH, ESP, ESP+AH), algorithme
(hmacdes, blowfish, )

1 cf. RFC1108. Options de scurit dfinies par lArme Amricaine

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 34/54

Pointeur sur un groupe dassociations de scurit (base SAD)

La liste des entre de la SPD est parcourue jusqu la premire entre qui satisfait les paramtres dun paquet.
Cette entre nous indique un groupe (zro, une ou plusieurs) dassociations de scurit contenus dans la base
SAD. On recherche ensuite lentre SAD qui satisfait les paramtres du paquet et on lutilise sur le paquet. Sil
ny a pas dassociation qui correspond, on en cre une nouvelle et on la chane avec les autres.

Exemple : SPD Trafic Sortant

N Selectors Specif. Sec. Action Pointeur


Addr. Dst. Addr. Src. Protocole Port Dst. Port Src. AS
1 FE80::/64 * * * * - Bypass Null
2 FEC0::/48 * * * * - Bypass Null
3 * * TCP 23 * Transp AH+ESP IPSec 3
hmacdes+blowfish
4 * * * * * Transp AH hmacdes IPSec 1

Dans cet exemple, on nutilise pas IPSec pour tout le trafic interne (FE80::/64 et FEC0::/48). Par contre, on
utilise lauthentification en mode transport pour tous les autres trafics (algo. hmacdes). Dans le cas du telnet
(port TCP 23), on ajoute galement le chiffrement des donnes par blowfish.

6.3.2.2 SAD Security Association Database

Cette base contient toutes les associations de scurits, ventuellement chanes entre elles dans le cas o
elles sont associes la mme entre de la base SPD. On accde une entre de la base SAD, soit par
chanage depuis la base SPD, soit avec un triplet (adresse destination, type (AH/ESP), SPI) qui identifie de
manire unique lassociation.

Exemple : SAD Trafic Sortant

N Selectors SPI Proto Mode Param. Pointeur


Addr. Dst. Addr. Src. Proto. Port Dst. Port Src. Securit* Suivant
1 @A @IP TCP 110 4569 100 AH Transport XXXX* 2
2 @B @IP UDP 80 4531 200 AH Transport XXXX* 4
3 @B @IP TCP 23 4523 300 AH+ESP Transport XXXX* Null
4 @C @IP TCP 80 4576 400 AH Transport XXXX* 5
5 @C @IP TCP 25 4521 500 AH Transport XXXX* Null

* Paramtres de scurit : Algorithme, cl, dure de vie, numro de squence, etc

6.3.3 Traitement des paquets


6.3.3.1 Paquets sortants

La base SPD est parcourue dans lordre jusqu trouver un lment qui satisfasse les paramtres du
paquet. Si on doit appliquer IPSec sur ce paquet, on utilise le groupe dassociations de scurit associ.
On parcourt cette liste (base SAD) jusqu trouver une association qui satisfasse les paramtres du
paquet.
Si on nen trouve pas, on la cre (avec les paramtres de la base SPD) et on linsre dans la liste (cf.
6.4.3).
On applique ensuite les paramtres de lassociation de scurit sur le paquet avant de lenvoyer sur le
rseau.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 35/54

6.3.3.2 Paquets entrants

On utilise ladresse destination, type (AH/ESP) et le SPI pour rechercher lassociation de scurit utiliser
dans la base SAD.
On applique les paramtres de cette association pour vrifier/dchiffrer le paquet.
On recherche sil existe bien une entre dans la base SPD qui satisfasse les paramtres du paquet et qui
contienne bien lassociation qui a t utilis. Dans le cas contraire, le paquet est refus.

6.4 Gestion des Associations de Scurit


6.4.1 Introduction
On a besoin dun systme de gestion des associations de scurit pour pouvoir les crer avant de commencer
une communication. Il faut galement prendre en compte la gestion des cls (cls statiques, cls partages,
cls publiques/prives) pour que deux machines puissent utiliser les mcanismes de IPSec. Il est donc
ncessaire, soit de pouvoir les saisir manuellement (gestion manuelle), soit dutiliser des protocoles de gestion
des associations entre les machines (gestion automatique).

6.4.2 Gestion manuelle


La gestion manuelle est la solution la plus simple pour saisir les paramtres de scurit. Cest ladministrateur
qui configure manuellement chaque quipement avec les paramtres appropris. Si cette approche s'avre
relativement pratique dans un environnement statique et de petite taille, elle ne convient plus pour un rseau de
taille importante. De plus, elle implique une dfinition totalement statique des paramtres et un non-
renouvellement des clefs. Cela peut nanmoins tre utilis pour distribuer les cls utilises dans les
passerelles de scurit dun rseau virtuel priv (si le nombre de sites nest pas trop important).

6.4.3 Gestion automatique


Un systme de gestion automatique des associations de scurit et des cls associes est ncessaire pour
tous les cas o la configuration manuelle nest pas possible : gnration de cls la demande (cls pour un
utilisateur, cls de session, ), distribution de cls publiques, change de cls, IPSec recommande
dutiliser IKE pour faire ce travail mais nimporte quelle autre protocole de gestion dassociations (et de cls)
peut tre utilis.

6.4.3.1 IKE

IKE (Internet Key Exchange) est un systme dvelopp spcifiquement pour IPsec et qui vise fournir des
mcanismes d'authentification et d'change de clef adapts l'ensemble des situations qui peuvent se
prsenter sur l'Internet. Il sagit dun protocole de haut niveau (couche applicative). Il est compos de deux
lments :
ISAKMP (Internet Security Association and Key Management Protocol) qui est utilis pour la ngociation,
la mise jour et la suppression des associations de scurit.
Oakley et SKEME qui sont utiliss pour faire de lchange/cration de cls.
Pour le moment, il ny a pas de protocole de distribution de cls publiques dans IKE, mais plusieurs solutions
sont ltude.

IKE est utilis dans le cas o IPSec a dtermin quil fallait appliquer des mcanismes de scurit mais quil
ny a pas encore dassociation de scurit correspondante. Dans ce cas IKE va tablir une connexion
scurise avec la machine distante et ngocier les paramtres de scurit. Une fois ces paramtres connus,
IKE cre la nouvelle association de scurit, qui va pouvoir tre utilise par IPSec pour envoyer son paquet.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 36/54

Modifie IKE Applications

Demande
cration Assoc.
de Securit Transport [TCP / UDP]

Pointe
SAD vers SPD Consulte IP + IPSec

Liaison
Configure
Physique

Administrateur

6.4.3.2 Autres protocoles

IPSec noblige pas utiliser IKE comme systme de gestion de cls. On peut donc utiliser dautres
protocoles, comme :
Kerberos
SKIP (Simple Key Management for Internet Protocol)

6.5 Multicast
La scurisation du trafic multicast pose les problmes suivants :
Tous les membres du groupe devraient utiliser la mme association de scurit. Cela implique quil nest
pas possible dauthentifier la machine source de manire sre : Si toutes les machines du groupe
possdent la cl, on ne peut pas tre sr que ladresse source indique dans le paquet est la bonne. Un
membre du groupe peut donc se faire passer pour un autre membre.
Il faut utiliser des techniques de distribution de cls entre les machines du groupe. Certains protocoles
sont ltude, mais ne sont pas encore assez matures pour tre standardiss.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 37/54

7 Mobilit
La mobilit sous IPv6 est un concept assez nouveau, il permet un ordinateur de conserver son
adresse IP quel que soit le rseau sur lequel il est reli physiquement. Le mobile peut donc tre joint avec son
adresse mre (home address) alors quil possde une adresse temporaire ou mobile (care-of address), et en
cas de changement de rseau, les communications suivent automatiquement, sans interruption de service et
en optimisant le routage (les paquets nont pas forcement besoin de passer par le rseau mre).

7.1 Introduction
Pour quun mobile puisse tre joint par son adresse principale (ou adresse mre) quelque soit
ladresse quil utilise, il a besoin dun agent mre qui se chargera de router les paquets dans le cas o les
correspondants ne connaissent pas ladresse mobile. Voici une synthse simplifie de lutilisation de la
mobilit :
Le mobile cherche un agent mre (sur son rseau mre) et lui donne son adresse mobile (adresse
temporaire)
Si un correspondant veut joindre le mobile, il utilise ladresse mre du mobile. [1]
Le paquet est intercept par lagent mre et envoy au mobile (tunnel IP). [2] et [3]
Le mobile reoit le paquet et informe le correspondant quil utilise une adresse mobile. [4]
Le correspondant insre cette association dans son cache.
Tant que lassociation est valide, il envoie tous les paquets vers ladresse mobile [5]
Grce ce systme, une fois que le correspondant a pris connaissance de ladresse mobile, plus rien ne
passe par le rseau mre.

[4]

[5]

Correspondant

Mobile
[1]

Routeur

[2] Rseau mre

[3]

Agent mre

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 38/54

7.2 Options de lextension Destination


Pour grer la mobilit, quatre options ont t dfinies dans lextension Destination de IPv6. Il sagit de :
Mise jour de lassociation (Binding Update) : Cette option est envoye par un mobile pour envoyer
un correspondant ou son agent mre son adresse temporaire. Il contient galement un champ indiquant
la dure de validit de lassociation (une valeur de 0 indique que lassociation nest plus valide). Le bit
Enregistrement principal indique que le destinataire du message est dsign comme agent mre du
mobile.
Acquittement de lassociation (Binding Acknowledgement) : Acquittement du message prcdent. Un
champ statut indique si lassociation a t accepte ou non.
Demande de mise jour de lassociation (Binding Request) : Cette option permet une machine de
demander lenvoi dun message de mise jour (pour rafrachir le cache des associations).
Adresse principale : Cette option informe un correspondant de ladresse principale du mobile (les paquets
sont envoys avec ladresse mobile).

Certaines sous-options peuvent tre ajoutes aux messages :


Pad1 et Padn : Ajout doctets dalignement.
Identifiant unique : Utilis pour identifier les demandes de mise jour et les mises jour
correspondantes.
Liste des agents mre : Liste dagent mre susceptibles dtre utiliss par un mobile.
Autre adresse mobile : Permet de donner une autre adresse mobile que ladresse source pour crer une
association.

Ces options peuvent tre envoyes avec un paquet IP quelconque ou dans un paquet ne contenant aucune
donne.

7.3 Fonctionnement du Correspondant


7.3.1 Fonctionnalits requises
Obligatoirement, rception et traitement de loption Adresse principale contenue dans lextension
Destination.
Eventuellement, tre capable de traiter les options de Mise jour dune association et de les acquitter.
Eventuellement, maintenir un cache des associations.

7.3.2 Rception de paquets en provenance dun mobile


Si un paquet provient dun mobile situ en dehors de son rseau mre, il devrait avoir son adresse mobile
comme adresse source et son adresse principale dans loption adresse principale. Ladresse mobile est
indique dans ladresse source du paquet car certains routeurs peuvent tre configurs pour dtruire les
paquets mis avec une autre adresse que ladresse utilise par la machine. La couche IP du correspondant
remplace ensuite ladresse source par ladresse principale avant de le passer aux couches suprieures. De
cette manire, les applications ne savent mme pas quil sagit dun mobile et que le paquet a t envoy avec
une adresse temporaire.

7.3.3 Rception dun message de mise jour de lassociation


Si le paquet est valide, le correspondant met jour son cache en fonction des paramtres. Il peut sagir de :
Nouvelle association entre une adresse principale et une adresse source.
Mise jour dune association (nouvelle adresse mobile ou nouvelle dure de vie).
Destruction de lassociation.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 39/54

Un message dacquittement doit ensuite tre renvoy la machine, en indiquant si la mise a jour a bien t
prise en compte et sinon pourquoi.

7.3.4 Envoi dune demande de mise jour dune association


Lorsquune association est retire du cache car sa dure de vie est dpasse, toute communication en cours
sera nouveau dirige vers le rseau mre, et le mobile enverra ventuellement une nouvelle association pour
que lon puisse nouveau y accder directement. Pour viter tout ce mcanisme de recration dune
association, le correspondant peut envoyer des demandes de mise jour dune association avant que la dure
de vie ne soit expire (en incluant la demande dans un nimporte quel paquet destination du mobile). De cette
manire, le mobile renverra une mise jour de lassociation avec une nouvelle dure de vie.

7.3.5 Envoi de paquets un mobile


Si le correspondant dispose dune adresse temporaire valide pour le mobile, il lutilise pour envoyer
directement le paquet. Ladresse destination contient donc ladresse temporaire, et on rajoute une en-tte
de routage o lon place ladresse permanente. Lorsque le mobile recevra ce paquet, la couche IP
changera ladresse destination et ladresse contenue dans lextension de routage. Il sera alors retransmis
la couche IP qui le fera suivre aux couches suprieures. De cette faon, les applications ne verront pas
que le paquet a t envoy une adresse temporaire.
Si le correspondant ne dispose daucune adresse temporaire, il lenvoie ladresse permanente. Le paquet
sera intercept par lagent mre et envoy au mobile (grce un tunnel IP).

7.4 Fonctionnement de lAgent mre


7.4.1 Fonctionnalits requises
Maintenir un registre des associations des mobiles grs par lagent.
Interception des paquets destination du mobile
Capable dencapsuler les paquets intercepts pour les envoyer ladresse mobile (en utilisant un tunnel
IP)
Acquitter les messages de mise jour de lassociation.
Accepter les messages de mise jour de lassociation envoys ladresse anycast des agents mre et
tre capable de participer la dcouverte de ladresse dun agent mre.

7.4.2 Rception des messages dannonce des routeurs


Dans les messages dannonce des routeurs, il y a un champ indiquant si le routeur peut faire office dagent
mre (avec une prfrence, une dure de vie, ). Chaque routeur doit garder en mmoire la liste des agents
mre pour pouvoir envoyer une liste un mobile cherchant un agent mre.

7.4.3 Dcouverte dynamique de ladresse dun agent mre


Si un mobile ne connat pas son agent mre, il peut envoyer un message de mise jour dune association
ladresse anycast des agents mres (cf. 3.4.11). Lagent mre qui recevra cette requte devra acquitter ce
message en envoyant la liste (tri par ordre de prfrence) des agents mres prsents sur le rseau.

7.4.4 Enregistrement de ladresse temporaire primaire dun mobile


Si un message de mise jour dune association est envoy avec le bit dEnregistrement principal positionn, le
routeur est dsign pour tre lagent mre du mobile. Si le routeur ne dispose pas des fonctions agent mre ou
si le mobile na pas les autorisations ncessaires, un message dacquittement contenant les raisons du refus
est envoy au mobile.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 40/54

Si le message est accept, le routeur devient lagent mre du mobile. Il place son association dans son cache
comme tant une entre principale. Lassociation ne pourra en aucun cas tre supprime du cache avant
lexpiration de sa dure de vie. Comme lagent mre devra intercepter tous les paquets destination du mobile,
il devra envoyer des messages dannonce dun voisin (avec son adresse MAC comme adresse MAC du
mobile). De cette faon, toutes les machines du lien enverront les paquets destination du mobile vers son
agent mre.

7.4.5 Dsenregistrement de ladresse temporaire primaire dun mobile


Lorsquun mobile revient dans son rseau mre, il envoie un message de mise jour de lassociation avec
ladresse mobile gale ladresse mre. Lagent mre doit donc arrter dtre lagent mre du mobile et dtruit
son association du cache. Il doit galement envoyer un message dannonce dun voisin avec la vritable
adresse MAC du mobile.

7.4.6 Interception et tunnelage des paquets destination dun mobile


Lorsque lagent mre reoit un paquet destination dun mobile dont il a la charge, il lenvoie ladresse
temporaire du mobile en lencapsulant dans un nouveau paquet IP (pour ne pas toucher lintgrit du paquet
dorigine).

7.4.7 Renumrotation du sous-rseau mre


Pour permettre la renumrotation du sous-rseau mre lorsquun mobile est en dehors de son rseau, les
agent mres doivent envoyer les annonce des routeurs lorsquun prfixe du rseau change.

7.5 Fonctionnement du Mobile


7.5.1 Fonctionnalits requises
Capable de dsencapsuler un paquet IP contenu dans un autre paquet IP.
Capable denvoyer les mises jour dassociation et de recevoir les acquitements.
Pouvoir dterminer dynamiquement ladresse de son agent mre.
Garder la liste des toutes les machines auquel il a envoy une mise jour de lassociation et dont la dure
de vie na pas expire.
Capable de rpondre aux demande de mise jour dassociation.
Capable denvoyer son adresse permanente dans loption adresse permanente de loption destination.

7.5.2 Envoi dun paquet (mobile hors de son rseau)


Lorsquun mobile est en dehors de son rseau, il peut utiliser soit son adresse permanente, soit son adresse
temporaire. Il utilisera son adresse temporaire pour des communications qui nont pas besoin dun support de
la mobilit (par exemple, une requte DNS). Sil utilise son adresse permanente, il mettra son adresse
temporaire comme adresse source (pour viter que les routeurs dtruisent le paquet car il a une adresse
source qui nappartient pas au rseau) et ajoutera loption adresse permanente de lextension destination.

7.5.3 Rception dun paquet (mobile hors de son rseau)


Un paquet peut arriver sous deux formes :
Le paquet IP est encapsul dans un autre paquet. La couche IP desencapsule le paquet et le traite
normalement. On envoie galement une mise jour de lassociation lmetteur pour quil sache o
envoyer les paquets.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 41/54

Le paquet IP arrive ladresse temporaire avec ladresse permanente incluse dans len-tte de routage. La
couche IP change ladresse de destination et ladresse contenue dans len-tte de routage (comme pour
un routage normal). Comme la nouvelle adresse destination (adresse permanente) appartient aussi au
mobile, le paquet est trait normalement.

7.5.4 Dtection de mouvement


Le mobile peut envoyer des messages de sollicitation du routeur ou couter les messages dannonce du
routeur pour dtecter les changement de rseau. Lorsquil dcouvre un rseau, le mobile construit une nouvelle
adresse temporaire utiliser sur le rseau.

7.5.5 Envoi dun message Mise jour de lassociation son agent mre
Si le mobile change dadresse temporaire primaire (par exemple, si la prcdente nest plus oprationnel), il
doit en avertir son agent mre. Pour cela, il envoie un message de mise jour de lassociation avec le bit
Enregistrement principal positionn et contenant son adresse permanente. Il envoie priodiquement ce
message jusqu recevoir un acquittement.

7.5.6 Dcouverte dynamique de ladresse de lagent mre


Si un mobile ne connat pas son agent mre, il peut envoyer un message de mise jour dune association
ladresse anycast des agents mres (cf. 3.4.11). Lagent mre qui recevra cette requte devra acquitter ce
message en envoyant la liste (tri par ordre de prfrence) des agents mres prsents sur le rseau. Le mobile
utilise ensuite cette liste pour trouver lagent mre auquel faire sa demande.

7.5.7 Envoi de message Mise jour de lassociation aux correspondants


Un mobile envoie un message mise jour de lassociation quand il veut ractualiser la dure de vie de
lassociation ou lorsquil change dadresse temporaire. Pour cela, il dispose de la liste des correspondants qui
possdent une association le concernant. Cela vite, en cas de changement dadresse temporaire ou en cas
dexpiration de la dure de vie, que les correspondant repasse par lagent mre.

7.5.8 Demande de Forwarding par le prcdent rseau temporaire


Lors dun changement dadresse temporaire primaire, le mobile envoie un message de mise jour de
lassociation au prcdent routeur. De cette manire, celui-ci va faire suivre tous les paquets qui lui arriveront
en jouant le rle dagent mre le temps que la dure de vie des associations contenus dans le cache des
correspondant expire.

7.5.9 Rception des acquittements de lassociation


Si le message est valide, le mobile met jour sa table de correspondants en fonction du rsultat de la mise
jour :
Si la mise jour a t accepte, il met jour lentre du correspondant dans sa table et arrte denvoyer
des messages de mise jour.
Si la mise jour a t refuse, il supprime lentre du correspondant de sa table.

7.5.10 Rception dune demande de mise jour


En cas de rception dune demande de mise jour, le mobile envoie un message de mise jour pour que le
correspondant puisse mettre jour son cache (et en particulier la dure de vie). Le mobile met galement jour
sa table de correspondants.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 42/54

7.5.11 Utilisation de plusieurs adresses temporaires


Ce nest pas gnant pour un mobile davoir plusieurs adresses temporaires. Au contraire, dans le cas de
rseaux sans fils o le mobile est situ sur le chevauchement de plusieurs zones, le mobile peut accder
plusieurs rseau. Par contre, il ne possde quune seule adresse temporaire primaire (enregistr auprs de son
agent mre) et doit viter la changer trop frquemment.

7.5.12 Retour dans le sous rseau mre


Lorsque le mobile retourne dans son rseau mre, il envoie un message de mise jour de lassociation son
agent mre avec son adresse temporaire gale son adresse permanente. Lagent mre va cesser
dintercepter les paquets du mobile. Le mobile envoie galement des message dannonce du voisin avec son
adresse MAC pour que tous les paquets qui lui sont destins lui arrivent effectivement.

7.6 Multicast
Mme en dehors de son rseau, un mobile peut continuer avoir accs des groupes de Multicast. Pour les
recevoir et envoyer des messages, il a deux possibilits :
Il senregistre aux groupes de son choix avec son adresse temporaire et en utilisant le routeur local. Les
envois se feront galement avec son adresse temporaire.
Il senregistre auprs de son agent mre et le trafic multicast passera par un tunnel entre lagent mre et le
mobile (il peut sagir du seul moyen de recevoir des groupes privs de son site mre).

7.7 Scurit
Les options dauthentifications sont obligatoires pour un certains nombre de messages concernant la
mobilit car il serait aussi non trop facile de court-circuiter le trafic dune machine vers une autre.
Lauthentification est donc obligatoire pour les messages de mise jour de lassociation et dacquittement.

Dans le cas o la position du mobile dans le rseau serait confidentielle, la mise en place des
mcanismes vus dans ce chapitre serait inapplicable et la seule solution resterait le tunneling de tous le
trafic, sans lutilisation des associations.

Dans le cas dun mobile, le trafic peut passer par nimporte quel point dInternet, mme dans le cas dun
dialogue entre deux machines du mme site (mais avec le mobile en dehors du site). On pourra donc
utiliser les extensions de confidentialit pour protger le trafic.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 43/54

8 Qualit de Service (QoS)

8.1 Introduction
Traditionnellement, le protocole IP ne garantit pas de qualit de service. La politique applique est celle
du Best Effort o tous les paquets sont considrs de la mme faon et o le seul but est de les faire
transiter le plus vite possible. Un octet tait cependant rserv dans IPv4 pour faire de la Qualit de Service
(Octet TOS) mais il tait assez limit (la precedence indiquait uniquement limportance dun paquet 1) et na
jamais t vraiment utilis. Le champ DiffServ (Differentiated Services) a t dfini pour permettre dappliquer
des mcanismes de Qualit de Service forts la fois sur IPv4 et sur IPv6, tout en restant compatible avec
lancien mcanisme (notion de precedence du champ TOS). Ce champ permet de donner un meilleur service
certains (et donc un moins bon service dautres) en fonction de ce qui a t dfini (ingalit planifie). La
finalit principale de la Qualit de Service est de fixer par contrat les caractristiques dune ligne et de pouvoir
traiter chaque trafic diffremment.

8.2 DiffServ
8.2.1 Structure
Loctet DiffServ est utilis dans le champ TOS de IPv4 et dans le champ Classe de trafic de IPv6. Il se prsente
sous la forme suivante :

DSCP CU
6 bits 2 bits

Le champ CU Currently Unused, nest pas encore utilis (comme son nom lindique).
Le champ DSCP Differentiated Services Code Point

Le champ DSCP permet de slectionner le traitement appliquer un paquet arrivant sur un quipement (PHB
Per-Hop Behavior). Un quipement faisant de la Qualit de Service doit donc avoir une table de
correspondance entre les DSCP et le PHB appliquer. Cette correspondance est libre et doit tre configurable.
Cependant un certains nombre de correspondances recommandes existent et devraient tre inclues dans la
configuration.

Comme la manire dont un paquet doit tre trait volue au cours du trajet, le champ DSCP peut tre modifi
par nimporte quel quipement en fonction de la nouvelle politique appliquer sur un lien ou en fonction du
comportement dun flux (un flux ne respectant pas son profil prdfini peut avoir son traitement modifi).

1 Precedence : mesure de la nature et de limportance dun datagramme


000 : Routine 001 : Priority 010 : Immediate
011 : Flash 100 : Flash override 101 : Critical
110 : Internetwork Control 111 : Network Control

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 44/54

Paquet Entrant Nud


Correspondance
DSCP=xxxxxx
DSCP PHB Application Traitement :
Filtre
Mesure
PHB = Traitement Modif. DSCP Paquet Sortant
appliquer DSCP=yyyyyy

8.2.2 Traitements possibles


Pour dcrire les traitements effectuer, on utilise des lments atomiques effectuant une unique opration.
Ces lments peuvent permettre de sparer le trafic, le mesurer, le rduire, Lensemble de ces lments
forme un TCB (Traffic Conditioning Blocks) et celui-ci dfinit le service appliquer.

Marker Shaper
Voie A

Shaper
Trafic Entrant Voie B
Classifier
Dropper

Exemple de TCB

8.2.2.1 Classifier

Le Classifier spare le flux de donne entrant en plusieurs flux sortants en fonction de diffrents filtres.
Lutilisation la plus courante est de sparer le trafic en fonction du champ DSCP (ou dune partie de celui-ci)
pour pouvoir ensuite appliquer les traitements fonctions de chaque classe de trafic. On peut galement sparer
le trafic en fonction des adresses IP ou des ports pour pouvoir ensuite le marquer avec un champ DSCP
spcifique (peut tre utile en sortie de site).

Filtre A

Classifier Filtre B

Autre

8.2.2.2 Meter

Le Meter mesure les caractristiques dun flux et le divise en plusieurs trafics sortants en fonction de la
conformit au profil prdfini. Le profil le plus souvent utilis est le dbit moyen que doit respecter un flux. Tous
les paquets qui le respectent passent dun ct et tous les autres passent de lautre (ou sont dtruits). On
peut mme avoir plus de deux sorties lorsque le choix dpend du niveau de conformit (le trafic respecte bien
(vert), un peu (orange), ou pas du tout (rouge)).

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 45/54

Profil : 120 kbps sur 10ms

Meter

Non conforme au profil

8.2.2.3 Marker

Le Marker sert marquer tous les paquets qui arrivent avec un mme numro DSCP. Cela peut servir
marquer un trafic qui na pas de DSCP (sortie dun site sans QoS) ou remarquer un trafic en fonction du lien
sur lequel on va passer.

DSCP = * Marker
DSCP = 010010
DSCP = 010010

8.2.2.4 Dropper

Le Dropper dtruit tous les paquets. On utilise donc les droppers aprs des lments de slection (classifier,
meter) pour ne pas transmettre certains paquets.

Dropper

8.2.2.5 Shaper

Le Shaper est utilis pour forcer un flux respecter son profil. Au lieu de dtourner les paquets qui ne
respectent pas le profil (cf. meter), on les retarde et on les fait passer ds que possible.

Profil Profil
Shaper

8.2.2.6 Mirroring Element

Le Mirroring Element ddouble le trafic entrant en plusieurs trafics sortants. Cela peut tre utilis pour des
besoins de capture de donnes.

Mirroring Paquet A
Paquet A Element Paquet A
Paquet A

8.2.2.7 Mux

Le Mux effectue du multiplexage en regroupant plusieurs trafics entrants en un seul trafic sortant.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 46/54

Trafic A Mux
Trafic A+B
Trafic B

8.2.2.8 Enqueueing Element

Le Enqueueing Element insre les diffrents trafics entrants dans une file dattente. Il peut utiliser plusieurs
sortes dalgorithmes pour dterminer quels sont les paquets rejeter pour ne pas faire dborder la file
dattente : tail drop (on rejette tous les paquets qui arrivent quand la file est pleine), utilisation de niveaux de
destruction diffrents en fonction des paquets (cf. 8.2.4.2),

Trafic A Algo. Enqueueing Element

Queue Trafic Sortant


Trafic B Algo.
Rejet

8.2.2.9 Monitor

Le Monitor est un lment passif qui compte le nombre doctets qui le traversent. Cette mesure de trafic peut
tre ensuite utilise pour faire des statistiques dutilisation, tablir des factures,

Monitor
Compteur

8.2.3 Valeurs du champ DSCP


Les valeurs possibles que peut prendre le champ DSCP ont t divises en trois plages :

xxxxx0 Actions standards


xxxx11 Utilisation Locale ou Exprimentale
xxxx01 Utilisation Locale ou Exprimentale (pourra ventuellement tre
utilise pour des actions standards)

Parmi les actions standards, on distingue certaines valeurs particulires :


000000 est la valeur recommande pour le PHB utiliser par dfaut. Ce PHB est utilis pour tous le trafic
qui na pas de traitement spcifique. La plupart du temps, on utilisera un traitement en FIFO et qui utilisera
le dbit restant. Ce PHB est galement utilis pour tous les DSCP inconnus.
xxx000 : Class Selector Codepoint. Les 8 valeurs possibles sont utilises de la mme faon que les 3 bits
du champ precedence de IPv4 (pour rester compatible). Cest dire que plus la valeur est lev, plus la
probabilit que le paquet soit achemin dans les temps est grande. De plus, les deux valeurs 11x000
doivent en plus avoir une priorit plus leve que le PHB par dfaut. En effet, ces valeurs sont utilises pour
le contrle rseau et les paquets correspondant doivent tre achemins le plus vite possible (et donc plus
vite que le trafic normal).

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 47/54

8.2.4 PHB particuliers


8.2.4.1 Expedited Forwarding PHB

Le PHB EF permet de construire une liaison avec un dbit assur1 entre deux domaines DiffServ et avec des
caractristiques fixes par contrat. Une telle liaison peut tre considre comme une liaison point point ou
encore comme une ligne loue virtuelle. Ce service est galement connu sous le nom de Service Premium.

Pour cela, il faut rserver le dbit ncessaire sur toutes les lignes situes le long du trajet et sassurer que le
trafic aux extrmits ne dpasse pas le dbit fix. De cette manire, il ny aura normalement aucune file
dattente car le trafic entrant pourra forcement tre achemin sans dlai. On vite ainsi les pertes, temps de
latence, congestion, Le fournisseur peut donc garantir le dbit et le temps de propagation sur cette LS
virtuelle.

Le code DSCP recommand pour ce service EF-PHB est 101110.

Limitation 300 kb/s (shaping ou dropping)

Dbit rserv de 300 kb/s B

R
R
R
A
R
R
R

LS virtuelle de 300 kb/s

8.2.4.2 Assured Forwarding PHB

Le PHB AF est utilis pour indiquer dans une mme classe quels sont les paquets dtruire en premier en
cas de congestion ou en cas de dpassement de trafic prdfini. 12 codes DSCP sont rserv au AF-PHB,
mais dautres codes peuvent tre utiliss en local. Ces 12 codes permettent lutilisation de 4 classes
comportant chacune 3 niveaux de destruction.

Classe Niveau de destruction


Classe AF 1 001xx0 Low Drop xx = 01
Classe AF 2 010xx0 Medium Drop xx = 10

1 La dfinition complte est : a low loss, low latency, low jitter, assured bandwidth, end-to-end service.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 48/54

Classe AF 3 011xx0 High Drop xx = 11


Classe AF 4 100xx0

Chaque classe est indpendante des autres, par contre lintrieur dune mme classe, certains paquets
seront dtruits en premier en cas de congestion.

Le Service Olympique utilise AF-PHB en proposant 3 classes (Or, Argent, Bronze) et o la classe en Or
dispose dune charge moins importante (et donc une probabilit dacheminement dans les temps plus
importante) que la classe en Argent. Idem entre la classe en Argent et la classe en Bronze. De plus, on
dispose de 3 niveaux de destruction lintrieur de chacune des 3 classes.

8.3 Utilisation
8.3.1 Contrat de Service
Pour pouvoir faire de la qualit de service, il faut ncessairement tablir un contrat de service entre deux
domaines DS 1 adjacents (le notre et celui du fournisseur daccs). Ce contrat spcifiera les services proposs,
ainsi que les caractristiques des trafics circulants entre les deux domaines, en terme de dbit, temps
dacheminement, taux de perte, Il permettra galement de spcifier les codes DSCP utiliser.

Du ct de notre domaine DS, il faudra sassurer (en fonction du contrat) que le trafic respecte le profil dfini et
il faudra ventuellement marquer celui-ci avec un code DSCP correspondant au service que lon attend. En
fonction du contrat, tous ce travail pourra tre fait uniquement du ct du fournisseur.

Du ct du fournisseur daccs, il vrifiera que le trafic respecte le profil prdfini et appliquera des mesures
restrictives (drop, changement de classe, shaping) dans le cas contraire. Il peut ventuellement remarquer le
trafic avec un nouveau code DSCP en fonction de son rseau. De la mme faon, il ngociera un contrat avec
ses propres fournisseurs pour la transmission de son trafic vers lextrieur.

R
Domaine DS
Domaine DS
Contrat de
R Service

R R

Domaine DS

La succession des contrats de service permet dassurer la qualit de service travers plusieurs domaines DS.
En effet, pour certains services, il faut pouvoir assurer les caractristiques des liens entre tous les domaines
DS. Si lon passe par un domaine sans QoS, on ne peut plus assurer les caractristiques dun trafic. Un

1 Domaine DS = Domaine Differentiated Service = Domaine o il y a une politique de diffrenciation de service


qui est applique.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 49/54

ensemble de domaines DS contigus forment une rgion DS, cest dire une rgion o la diffrentiation de
service est possible.

8.3.2 Exemples dutilisation


Ligne loue virtuelle (Service Premium) avec des caractristiques assures (dbit, dlais, perte, ).
Service Olympique qui dfinit 3 classes de trafic avec des priorits diffrentes ainsi que des niveaux
dimportance lintrieur de chaque classe (pour dterminer les paquets dtruire au cas o).
Priorit de certains paquets en fonction de :
adresse IP (plage)
protocole

Limitation du dbit de certains trafics
Sparation du trafic pour un acheminement diffrent. Cela permet dutiliser une ligne avec QoS pour un
trafic X et envoyer le reste sur une ligne quelconque (et moins chre).
Facturation dune ligne en fonction du volume gnr par un certain trafic.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 50/54

9 Conclusion
Pour favoriser son dploiement, les concepteurs dIPv6 ont d proposer un protocole capable de rsoudre tous
les problmes que l'on rencontre avec IPv4. Parmi les notions importantes dIPv6, on peut noter :
Grer les adresses plus efficacement en gardant lespace dadressage le plus agrg possible (ce qui
facilite le routage) et en ayant un pool dadresse inpuisable, capable de subvenir tous les besoins.
Faciliter le dploiement de postes clients en permettant une configuration automatique de tous les
paramtres rseau.
Dcharger les routeurs en effectuant une partie des traitements sur les machines terminales
(fragmentation, optimisation du routage, vrification des sommes de contrle) et en simplifiant certains
aspects (simplification des en-ttes, identificateur de flux, agrgation des adresses IPv6).
Intgrer les nouvelles technologies qui manquent IPv4 et qui seront essentielles au dveloppement
futur dInternet : Scurit, Mobilit, Qualit de Service, Lintgration par dfaut de ces nouvelles
technologies permet de les utiliser grande chelle et dviter lemploi dune multitude de mcanismes de
substitution.
Faciliter la transition de IPv4 vers IPv6 en dfinissant quelques mcanismes de cohabitation permettant
une migration lente et progressive.

Du ct technique, on peut noter les fonctionnalits suivantes :


Adresses sur 128 bits (pool inpuisable).
Simplification des en-ttes.
Scurit (IPSec) implmente par dfaut (authentification et confidentialit).
Renumrotation automatique.
Pour chaque machine : prsence dune adresse globale, locale, site.
Dmocratisation des adresses Multicast et introduction des adresses Anycast.
Configuration automatique des postes clients.
Optimisation automatique des tables de routage des postes clients.
Mobilit
Le mobile garde ses connexions mme en cas de changement dynamique dadresse.
Le mobile est joignable en permanence et accde son rseau mre, comme sil y tait.
Qualit de Service.

Toutefois, mme sil y a quelques mcanismes censs faciliter la transition, la migration de gros rseaux
risque dtre dlicate et va devoir ncessiter des mises jour tous les niveaux (quipements rseau,
systmes dexploitation et logiciels).

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 51/54

10 Annexe 1 : Bibliographie

10.1 Prsentations dIPv6


[PPUREC1] Internet Protocol version 6 Transparents PowerPoint B. Tuy (UREC) Mars 1999

[PPUREC2] Internet Protocol version 6 Transparents PowerPoint L. Toutain & JL. Richier & T. Noel
Prsentation du G6 Novembre 1999

10.2 Protocole
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.

[RFC2460] Internet Protocol, Version 6 (IPv6) Specification S. Deering & R. Hinden Dcembre 1998
Statut : Draft Standard.

[IANAPAR] IANA : IPv6 Parameters http://www.isi.edu/in-notes/iana/assignments/ipv6-parameters.

10.3 Adressage
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.

[RFC1886] DNS Extensions to support IP version 6 S. Thomson & C. Huitema Dcembre 1995
Statut : Proposed Standard.

[RFC2373] IP Version 6 Addressing Architecture R. Hinden & S. Deering Juillet 1998 Statut :
Proposed Standard.

[RFC2374] An IPv6 Aggregatable Global Unicast Address Format R. Hinden & M. ODell & S. Deering
Juillet 1998 Statut : Proposed Standard.

[RFC2375] IPv6 Multicast Address Assignments R. Hinden & S.Deering Juillet 1998 Statut :
Informational.

[RFC2450] Proposed TLA and NLA Assignment Rule R. Hinden Dcembre 1998
Statut : Informational.

[IETFPRIV] Privacy Extensions for Stateless Address Autoconfiguration in IPv6 T. Narten & R. Draves
Octobre 1999 Work In Progress draft-ietf-ipngwg-addrconf-privacy-01.txt.

[IETFDNS] DNS Extensions to Support IPv6 Address Aggregation and Renumbering M. Crawford & C.
Huitema & S. Thomson Novembre 1999 Work In Progress draft-ietf-ipngwg-dns-lookups-
06.txt.

[ARINASS] Provisional IPv6 Assignment And Allocation Policy Document ARIN, APNIC, RIPE NCC
May 1999 http://www.arin.net/regserv/ipv6/IPv6.txt.

10.4 ICMPv6
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 52/54

[RFC2463] Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) A.
Conta & S. Deering Dcembre 1998 Statut : Draft Standard.

[IETFICMPNA] IPv6 Node Information Queries M. Crawford Octobre 1999 Work In Progress - draft-ietf-
ipngwg-icmp-name-lookups-05.txt.

[IETFICMPRO] Router Renumbering for IPv6 M. Crawford Juin 1999 Work In Progress - draft-ietf-ipngwg-
icmp-router-renum-09.txt.

10.5 Configuration automatique


[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.

[RFC2461] Neighbor Discovery for IP Version 6 (IPv6) T. Narten & E. Nordmark & W. Simpson
Dcembre 1998 Statut : Draft Standard.

10.6 Scurit
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.

[RFC2401] Security Architecture for the Internet Protocols S. Kent & R. Atkinson Novembre 1998
Statut : Proposed Standard.

[RFC2402] IP Authentification Header S. Kent & R. Atkinson Novembre 1998 Statut : Proposed
Standard.

[RFC2406] IP Encapsulating Security Payload (ESP) S. Kent & R. Atkinson Novembre 1998 Statut :
Proposed Standard.

[RFC2409] The Internet Key Exchange (IKE) D. Harkins & D. Carrel Novembre 1998 Statut :
Proposed Standard.

[VEILLEHSC] Veille IPSec - Ghislaine Labouret (Herv Schauer Consultants) Avril/Juin 1999
http://www.hsc.fr/ressources/veille/ipsec/index.html.fr.

10.7 Mobilit
[OREIL99] IPv6 Thorie et pratique Gisle Cizault Edition OReilly Juin 1999.

[RFC2002] IP Mobility Support C. Perkins Octobre 1996 Statut : Proposed Standard.

[RFC2526] Reserved IPv6 Subnet Anycast Addresses D. Johnson & S. Deering Mars 1999 Statut :
Proposed Standard.

[IETFMOB] Mobility Support in IPv6 D. Johnson & C. Perkins Octobre 1999 Work in Progress draft-
ietf-mobileip-ipv6-09.txt.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 53/54

10.8 Qualit de Service


[RFC2474] Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers K.
Nichols & S. Blake & F. Baker & D. Black Decembre 1998 Statut : Proposed Standard.

[RFC2475] An Architecture for Differentiated Service S. Blake & D. Black & M. Carlson & E. Davies &
Z. Wang & W. Weiss December 1998 Statut : Informational.

[RFC2597] Assured Forwarding PHB Group J. Heinanen & F. Baker & W. Weiss & J. Wroclawski
Juin 1999 Statut : Standards Track.

[RFC2598] An Expedited Forwarding PHB V. Jacobson & K. Nichols & K Poduri Juin 1999 Statut :
Standards Track.

[CISCOQOS] Formation Technologique QoS Clarence Filsfils (Cisco Systems) 1999.

[IETFDS] A Framework for Differentiated Services Y. Berner & J. Blinder & S. Blake & M. Carlson &
B. E. Carpenter & S Keshay&E. Daies & B. Ohlman & D. Verma & Z. Wang & W. Weiss
Fvrier 1999 Work in Progress draft-ietf-diffserv-framework-02.txt.

Edit le 14/06/00 17:06


DIS
Division Intgration de Systmes
Auteur Repre
M. Lafon Migration IPv6 IPV6.ML/PROTO
Date Indice Page/NbP
07.06.2000 Etude du protocole IPv6 A 54/54

11 Annexe 2 : Services de scurit

La confidentialit des donnes


La confidentialit des donnes consiste chiffrer les donnes pour quelles ne soient pas comprhensibles par
une machine ne connaissant pas les cls de chiffrement.

La confidentialit du flux de donne


La confidentialit du flux de donne garantit quaucune information portant sur une communication (quantit
dinformation change, frquence, identit des machines, etc) ne peut tre dduite par analyse de trafic.

Lauthentification de lorigine des donnes


Lauthentification de lorigine des donnes permet de garantir que les donnes proviennent bien de la bonne
machine.

Lauthentification mutuelle
Lauthentification mutuelle permet deux entits de se prouver mutuellement leur identit.

Lintgrit des donnes


Lintgrit des donnes permet de garantir que les donnes reues nont pas t modifies pendant leur
parcours sur le rseau.

La prvention contre le rejeu des donnes


La prvention contre le rejeu des donnes permet de garantir que les donnes reues nont pas t dj
envoyes.

La non rpudiation des donnes


La non rpudiation des donnes permet de prouver, en cas de litige, que les donnes ont bien t mises ou
reues par les entits.

Edit le 14/06/00 17:06