home agent

Commentaires

Transcription

home agent
Mobile IP

Les composants :

Mobile Node

Home Agent

Foreign Agent

Les fonctions :

Agent discovery

L'enregistrement (care-of-address)


Foreign Agent ou Mobile Node
Le tunneling
IGMP
Protocole d'appartenance à un groupe

Internet Group Management Protocol


Gestion des abonnés à un groupe
Routeur multicast

224.0.0.1 – TTL 1

Queries fréquentes (1 mn)

Hôte d'un groupe

Report différé

Report sans querie

IGMPv1, v2 et v3
Protocole de routage Multicast
Dense Mode

Dense (DVMRP, PIM DM)

Flood : envoyé partout

RPF Check : vérifie si on reçoit le même trafic
de 2 routeurs différents

Assert : en cas de routeurs concurrents sur un
même réseau

Prune : élimine les routes redondantes ou innutile

Reflooding : pour les nouveaux arrivants

Graft : A la demande d'un nouveau, annule un
prune
Protocole de routage Multicast
Dense Mode
Protocole de routage Multicast
Sparse Mode

Sparse (PIM SM)

Join Explicit

RP : Point de Rendez Vous

DR : Routeur Désigné

Prune

Graft
La couche Application
HTTP, FTP, POP, SMTP, ...
des protocoles en mode texte !
HTTP

Apache et IIS

Structure d'une adresse

HTML, PHP & ASP, CGI,

Javascript et Applet Java

Cookies

MySQL

Requete : GET /index.htm HTTP/1.1

Option : host: www.esil.univ-mrs.fr

Proxy

Hebergement mutualisé
Retour HTTP

Entête
HTTP/1.1 200 OK
Date: Thu, 20 Dec 2001 17:11:50 GMT
Server: Apache/1.3.19 (Unix) PHP/4.0.6
Last-Modified: Thu, 20 Dec 2001 16:36:22 GMT
ETag: "2cb9e7-61c-3c221386"
Accept-Ranges: bytes
Content-Length: 1564
Connection: close
Content-Type: text/html
X-Pad: avoid browser bug
Corps
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<Body>
...
</html>
FTP

2 ports TCP : 21 et 20

PI : Protocole Interpreter


Client : User PI & Serveur : Server PI
DTP : Data Transfer Process

Client : User DTP & Serveur : Server DTP

FTP à 3 !

Commandes USER, PASS, PORT, RETR,
STOR, ...

Mode Passif : Les Firewalls

PASV
Les réponses
1er chiffre

1xx : réponse préliminaire positive

2xx : réponse positive de réalisation

3xx : réponse intermédiaire positive

4xx : réponse négative de réalisation

5xx : réponse négative permanente
Réponses
2nd chiffre

x0x : syntaxe

x1x : information

x2x : connexion

x3x : authentification

x5x : système de fichier
POP

Port 110

USER & PASS


LIST, RETR, DELE, QUIT


pas de cryptage
Notion de flag et de fin de transaction
IMAP

port 143, vocation webmail

état : login, select

fetch
SMTP

ESMTP : HELO ou EHLO

port 25

Aucune authentification

SMTP Relai

MAIL FROM:<adresse> & RCPT TO:<adresse>

DATA

from: "Nom" <adresse> - to: "Nom" <adresse>
cc: "Nom" <adresse> - bcc: "Nom" <adresse>
date: Wed, 7 Nov 2006 17:39:28 +0200 (CEST)
message-id : numéro unique - subject: titre
contenu - <CRLF>.<CRLF>
Fonctionnement de la messagerie

MUA : Mail User Agent


MTA : Mail Transfert Agent


Serveur POP, IMAP, permet de stocker un mail
MX : Mail eXchanger


Serveur SMTP, permet de transmette un mail
MDA : Mail Delivery Agent


permet d'envoyer et recevoir des mails
MTA et MDA
Remarque : MTA vers MDA = SMTP
Les pièces jointes : MIME
Multipurpose Internet Mail Extension
From:
To:
Subject: envoie d'une piece jointe
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=-=_unique-bondary-number
This is a multi-part message in MIME format.
---=_unique-bondary-number
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
ceci est un message au format texte
il y a un attachement.
---=_unique-bondary-number
Content-Type: application/octet-stream;
name="Image1.jpg"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Image1.jpg"
iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAIAAACQd1PeAAAAL3RFWHRDcmVhdGlvbiBUaW1lAHZl
bi4gMTcgamFudi4gMjAwMyAxMjozMDowNyArMDEwMDJfaQ8AAAAHdElNRQfTARELHzhktoSKAAAA
CXBIWXMAAAsSAAALEgHS3X78AAAABGdBTUEAALGPC/xhBQAAAAxJREFUeNpj+P//PwAF/gL+MxKV
FAAAAABJRU5ErkJggg==
---=_unique-bondary-number
Encapsulation

Encapsulation classique


exemple HTTP
Encapsulation IP over IP

GRE

Adressage privé over Internet

Encapsulation Sécurisé


IPSec
Cumul d'encapsulation
Notions de VPN

Sécurisé ou non

Tunneling de niveau 3


Tunneling de niveau 2


IPSec
PPTP, L2F, L2TP
Tunneling de niveau 5

SSL / TLS
Chiffrement

Chiffrement symétrique

ROT13,DES, TripleDES, AES, RC4

1 clef unique

Chiffrement asymétrique

DSA, RSA

1 clef publique, 1 clef privée

Hachage

MD4, MD5, SHA

irréversible
Confidentialité

Chiffrement symétrique

secret partagé pour crypté les données

client et serveur connus

ou bien ...



client crypte, serveur crypte
client décrypte, serveur décrypte
Chiffrement asymétrique

clé publique du serveur crypte

clé privée du serveur décrypte
Authentification

Méthode du challenge

MD5 Password => attaque de rejeu

MD5 Password + challenge unique

Signature

Clé publique décrypte

Clé privé crypte

Entête = login

Corps = crypté avec privé

Attention : pas confidentiel, tout le monde décrypte
Intégrité

Hachage du message


Echantillon représentatif
Cryptage privé du hachage

Signature d'un document en clair

Si modif du doc = signature incohérente

Intégrité et Authentification

Intégrité + Confidentialité

Hachage

Cryptage privé

Cryptage publique

Document

Nom

Prénom

Adresse

...

Clef publique

Certificat
Signé (Intégrité + Authentification)

Non modifiable

Distribuable par le client lui même

Autorité de certification

Seules les Clefs publiques des CA sont connues
QoS

Débit

Délai

Gigue

Taux de perte

Fiabilité

Surdimentionnement

Gestion des flux

DiffServ

IntServ et RSVP

Trafic engineering
VoIP

Numérisation de la voix

codec

débit 2 à 64 kbps

Signalisation

H323 : Standard de téléphonie

SIP : HTTP Like

Passerelle et PABX IP ou IPBX

Nécessite de la QoS

VoIP sur du LAN

VoIP sur Internet
Exemple
Exemple de gain intersite
Exemple avec une seule passerelle
Exemple avec un centrex IP
Exemple avec un centrex IP

Pourquoi ?

Internet double tous les ans



IPv6
épuisement des adresses IP
explosion des tables de routage
Adressage :
 IPv4 = 232 adresses
(~ 4,3 milliards)


Répartition inégale
 74% États Unis,
17% Europe et 9% Asie
Pénurie d’adresses
IPv4 les problèmes

Explosion des besoins

Applications consommatrices d’adresses permanentes :




Services mobiles GPRS et UMTS
Accès haut débit et mode « always on »
Électronique connectée et véhicules communicants
Applications domotiques et réseaux de capteurs
IPv4 les fausses solutions

Adressage : gestion de la pénurie d’adresses

Politiques drastiques d’attribution d’adresses (RIR)

CIDR (Classless Inter Domain Routing) :


Agrégation de classes IP contiguës

Retarder la croissance des tables de routage => 5 ans
NAT (Network Address Translation) :

Alourdit la gestion des réseaux et entraîne un surcoût (30 à 35%) : tps
de traitements augmentent et QoS se dégrade

Un frein au développement des applications temps réels et P2P
Ipv4 les faux problèmes

Sécurité


QoS


RSVP, Intserv, Diffserv, ...
Mobilité


IPSec, L2TP, SSL, ...
Mobile IP, Cellular IP, ...
Ipv6 = traitement natif

IPSec de bout en bout

QoS mieux intégré

Mobile IP chez le client

Avantages non significatifs
Adressage IPv6

128 bits – 16 octets

IPv4 : 4 milliards d'adresses

IPv6 : 256 milliards de milliards de milliards de
milliards d'adresses

Adressage hiérarchique

simplifie d'agrégation d'adresses





ISP
Géographique
réduit les routes de coeur de réseau
Auto-configuration (adresse MAC incluse)
Unicast, Multicast et Anycast
Objectifs IPv6

Conserver ce qui a fait le succès d’IP en améliorant les défauts !

(Un passage à IPv6 est il vraiment nécessaire)

Adressage à 128 bits (16 octets)

Routage multicast

Adresse Anycast

Entête d’extension

Source Routing

Transition simple et flexible d’IPv4 vers Ipv6

Coût de démarrage faible

Support de la mobilité

Possibilité de capacité de service

Authentification

Confidentialité

En principe IPv6 aucun rapport avec QoS
Entête IPv6
Champs d'entête

Plus de fragmentation

Plus de checksum

Plus d'IHL

Traffic Class

De 0 à 7 , pas de perte mais ralentissement possible

De 8 à 15, pas de ralentissement mais perte possible

Next Header

Option d'entête

protocole de niveau 4
Entête d'extensions

Hop by Hop options header

Destination options header-1

Source routing header

Fragmentation header

Authentification

IPv6 encryption header

Destination options header-2
Adresse IPv6

128 bits : 8 mots de 16 bits

notation en hexa :
2001:066B:3201:0000:0000:0000:6543:021F

on peut supprimer les 0 en début de
chaque mot
2001:66B:3201:0:0:0:6543:21F

on peut remplacer une suite de 0 par ::
2001:66B:3201::6543:21F
Format d'adresse IPv6
Partie IANA découpé en :
TLA (Top Level Aggregator) 13 bits
NLA (Next Level Aggregator) 32 bits
Préfixe

8000 :: /3 = adresses géographiques d’utilisateurs (100)

4000 :: /3 = adresses d’ISP (010)

2000 :: /3 = adresses de tests (001)

FF00 :: /8 = adresses de multicast (1111 1111)

exemple :

3FFE :: /16 = 6-bone

3FFE : 0300 :: /24 = G6

3FFE : 0302 :: /32 = G6 Grenoble

3FFE : 0302 : 0003 :: /48 = CNRS G6 Grenoble
Les adresses spéciales

loopback => ::1

local => FE80::/10

link local : SLA = 0

site local : SLA = SLA du site concerné

6bone => 3FFE::/16

officielle => 2001::/16

IPv4 mappé => ::FFFF:a.b.c.d

IPv4 compatible => ::a.b.c.d

6to4 => 2002::/16
Adresse de multicast

FF00::/8

Flag


0 : permanent, 1 : temporaire
Scope

1 node local, 2 link local, 5 site local, 8 global
Interface ID (IID)

64 bits

Possibilité de la créer à partir de la MAC

MAC Ethernet 48 bits (6 octets)
00:A0:24:E4:56:2B

3 octets : code constructeur
00:A0:24

3 octets : n° de série carte
E4:56:2B

IID IPv6 64 bits (8 octets)
00:A0:24:FF:FE:E4:56:2B
Neighbor Discovery

Nouveau protocole utilisé sur le Link local

Router discovery

MTU Link discovery

Prefix discovery

Adress resolution

Duplicate adresse detection

Redirect

Neighbor unreachability detection

Remplace

ARP, ICMP, DHCP
Neighbor discovery

5 messages

RS (Router Solicitation)


RA (Router Advertisement)


Adresse de niveau 2, duplication d'adresse, accessibilité
NA (Neighbor Advertisement)


périodique, Link MTU, Préfix
NS (Neighbor Solicitation)


Multicast : ff02 ::2, demande de RA
Réponse NS, changement d'adresse
Redirect

identique ICMP Redirect
Autres protocoles

DHCPv6

Autoconfiguration stateless

DHCP statefull

ICMPv6


Mobile Ipv6


packet size too large
Binding Update
Protocole de routage

RIPng, OSPFng, BGP4+
Intérêts IPv6

Économiques

Équipementiers



Ipv6 : un levier de croissance. Renouvellement des
matériels
Difficultés à justifier le passage à Ipv6 auprès des
clients
Opérateurs



Pouvoir fournir des adresses en nombres
Fin de la domination des grands opérateurs => abondance d’adresses
Prêts mais attitude attentiste face à l’arrivée d’Ipv6
Intérêts IPv6

Économiques

ISP



ISP plus faibles moins dépendants
Affectation de préfixes et adresses permanentes =>
facilite applications P2P
Utilisateurs



Plus grande indépendance vis à vis des prestataires
Nouvelles applications simplifiées (VoIP, Visioconf…)
Utilisateurs pourraient être le moteur inconscient
d’IPv6
Transition

Basculement rapide

Croissance très forte des connexions Internet et
explosion des nouveaux services


Problèmes de coûts en cœur de réseau et de
mise en conformité pour les entreprises


Forte demande de services mobiles (3G, WLAN) et
services sur réseaux fixes (jeux en ligne…)
Difficultés financières importantes sauf pour les dominants
Trop optimiste et donc à faible probabilité
Transition

Multimédia mobile

Basé sur une demande importante et des investissements des opérateurs mobiles en Ipv6

Croissance des technologies 2,5G/3G et percée des réseaux
WLAN

Profitable à : filière mobile, équipementiers, fournisseurs
de services mais pas aux réseaux fixes

Démarrage des services sur réseaux 2,5G/3G plus lents
que prévu, probabilité moyenne
Transition

Transition modérée

Anticipation sur demande en nouveaux services sur réseaux fixes et mobiles raisonnable


Donne aux acteurs un temps suffisant pour s’adapter


D’abord via les opérateurs mobiles puis fixes avec convergence
des réseaux
Difficultés financières importantes sauf pour les dominants
A probabilité élevée
Passage IPv4 à IPv6

3 familles de méthodes:

Mécanisme Dual Stack


Mécanisme par Tunnel


Dual Stack
DSTM, 6over4, Tunnel Broker, 6to4
Mécanisme par translation



NAT-PT / SIIT
BIS
SOCKS
Dual Stack

Piles IPv4 et IPv6 chez un hôte ou un routeur.

Utilisation possible de tunnels

Avantages


Déploiement aisé
Inconvénients

Ne résout pas la pénurie d’adresse IPv4
DSTM : Dual Stack Transition Method

Assigne une adresse globale IPv4 temporaire


Utilisation de AIIH : Assignment of IPv4 global adresses to IPv6
host
Utilisation des tunnels dynamiques

DTI : Dynamic Tunneling Interface
DSTM

Supporte IPv4 de bout en bout

Incompatible NATPT

Risque attaque DoS
6to4

Connecter deux hôtes IPv6 à travers un réseau IPv4

Utilisation de routeurs possédant une double pile

Tunnel statique ou dynamique
6to4 tunnel dynamique

Utilisation d'un préfixe Ipv6

Host en dual stack

Net avec un routeur de bordure

Adresse réseau 6to4
Tunnel Broker

Connecter deux hôtes IPv6 à travers un réseau IPv4.

Création d’un tunnel par un serveur

Utilisation d’une page web
6 over 4

Transmettre des paquets IPv6 au travers d’un réseau IPv4

Pas vraiment de tunnels

Utilisation du multicast IPv4

Inconvénients

Le réseau IPv4 doit supporter le multicast

Existence d’un routeur 6over4 dans chaque réseau Ipv6
NAT - PT

Permet la communication d’un hôte IPv4 avec un hôte
IPv6, et vice-versa

Utilisation d’adresses globalement routables

Translation des adresses et entêtes

Translation de port

Transparent aux utilisateurs finaux
Bump In the Stack

Utilisation de la double pile

Trafic Ipv4 translaté en IPv6

Facilité de déploiement
Socks

Utilisation d'un proxy

Se base sur les couches supérieures

Les applications doivent être « sockifiées »

Les connexions doivent être établies par l’hôte
se trouvant dans le réseau possédant la passerelle SOCKS
Freins au déploiement Ipv6

IPv4 séduit encore

Les NAT vus comme un rempart sécuritaire

La pénurie d’adresses IP ne se fait pas encore
sentir

Les applications tournent très bien sous Ipv4

IPv6 : la poule ou l'oeuf

Pas d'opérateur = pas de transition


(le client ne peut pas faire sans l'opérateur)
Pas de client = pas d'opérateur

(l'opérateur met en place un service pour le client)
IPv6 de test

6 Bone : 1996

réseau d'expérimentation (pas de production)

au dessus d'IPv4

terminé le 6 juin 2006

G6

groupe francais de recherche sur IPv6

CNRS, ENST, INRIA