home agent
Transcription
home agent
Mobile IP Les composants : Mobile Node Home Agent Foreign Agent Les fonctions : Agent discovery L'enregistrement (care-of-address) Foreign Agent ou Mobile Node Le tunneling IGMP Protocole d'appartenance à un groupe Internet Group Management Protocol Gestion des abonnés à un groupe Routeur multicast 224.0.0.1 – TTL 1 Queries fréquentes (1 mn) Hôte d'un groupe Report différé Report sans querie IGMPv1, v2 et v3 Protocole de routage Multicast Dense Mode Dense (DVMRP, PIM DM) Flood : envoyé partout RPF Check : vérifie si on reçoit le même trafic de 2 routeurs différents Assert : en cas de routeurs concurrents sur un même réseau Prune : élimine les routes redondantes ou innutile Reflooding : pour les nouveaux arrivants Graft : A la demande d'un nouveau, annule un prune Protocole de routage Multicast Dense Mode Protocole de routage Multicast Sparse Mode Sparse (PIM SM) Join Explicit RP : Point de Rendez Vous DR : Routeur Désigné Prune Graft La couche Application HTTP, FTP, POP, SMTP, ... des protocoles en mode texte ! HTTP Apache et IIS Structure d'une adresse HTML, PHP & ASP, CGI, Javascript et Applet Java Cookies MySQL Requete : GET /index.htm HTTP/1.1 Option : host: www.esil.univ-mrs.fr Proxy Hebergement mutualisé Retour HTTP Entête HTTP/1.1 200 OK Date: Thu, 20 Dec 2001 17:11:50 GMT Server: Apache/1.3.19 (Unix) PHP/4.0.6 Last-Modified: Thu, 20 Dec 2001 16:36:22 GMT ETag: "2cb9e7-61c-3c221386" Accept-Ranges: bytes Content-Length: 1564 Connection: close Content-Type: text/html X-Pad: avoid browser bug Corps <html><head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> </head> <Body> ... </html> FTP 2 ports TCP : 21 et 20 PI : Protocole Interpreter Client : User PI & Serveur : Server PI DTP : Data Transfer Process Client : User DTP & Serveur : Server DTP FTP à 3 ! Commandes USER, PASS, PORT, RETR, STOR, ... Mode Passif : Les Firewalls PASV Les réponses 1er chiffre 1xx : réponse préliminaire positive 2xx : réponse positive de réalisation 3xx : réponse intermédiaire positive 4xx : réponse négative de réalisation 5xx : réponse négative permanente Réponses 2nd chiffre x0x : syntaxe x1x : information x2x : connexion x3x : authentification x5x : système de fichier POP Port 110 USER & PASS LIST, RETR, DELE, QUIT pas de cryptage Notion de flag et de fin de transaction IMAP port 143, vocation webmail état : login, select fetch SMTP ESMTP : HELO ou EHLO port 25 Aucune authentification SMTP Relai MAIL FROM:<adresse> & RCPT TO:<adresse> DATA from: "Nom" <adresse> - to: "Nom" <adresse> cc: "Nom" <adresse> - bcc: "Nom" <adresse> date: Wed, 7 Nov 2006 17:39:28 +0200 (CEST) message-id : numéro unique - subject: titre contenu - <CRLF>.<CRLF> Fonctionnement de la messagerie MUA : Mail User Agent MTA : Mail Transfert Agent Serveur POP, IMAP, permet de stocker un mail MX : Mail eXchanger Serveur SMTP, permet de transmette un mail MDA : Mail Delivery Agent permet d'envoyer et recevoir des mails MTA et MDA Remarque : MTA vers MDA = SMTP Les pièces jointes : MIME Multipurpose Internet Mail Extension From: To: Subject: envoie d'une piece jointe MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=-=_unique-bondary-number This is a multi-part message in MIME format. ---=_unique-bondary-number Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 7bit ceci est un message au format texte il y a un attachement. ---=_unique-bondary-number Content-Type: application/octet-stream; name="Image1.jpg" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="Image1.jpg" iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAIAAACQd1PeAAAAL3RFWHRDcmVhdGlvbiBUaW1lAHZl bi4gMTcgamFudi4gMjAwMyAxMjozMDowNyArMDEwMDJfaQ8AAAAHdElNRQfTARELHzhktoSKAAAA CXBIWXMAAAsSAAALEgHS3X78AAAABGdBTUEAALGPC/xhBQAAAAxJREFUeNpj+P//PwAF/gL+MxKV FAAAAABJRU5ErkJggg== ---=_unique-bondary-number Encapsulation Encapsulation classique exemple HTTP Encapsulation IP over IP GRE Adressage privé over Internet Encapsulation Sécurisé IPSec Cumul d'encapsulation Notions de VPN Sécurisé ou non Tunneling de niveau 3 Tunneling de niveau 2 IPSec PPTP, L2F, L2TP Tunneling de niveau 5 SSL / TLS Chiffrement Chiffrement symétrique ROT13,DES, TripleDES, AES, RC4 1 clef unique Chiffrement asymétrique DSA, RSA 1 clef publique, 1 clef privée Hachage MD4, MD5, SHA irréversible Confidentialité Chiffrement symétrique secret partagé pour crypté les données client et serveur connus ou bien ... client crypte, serveur crypte client décrypte, serveur décrypte Chiffrement asymétrique clé publique du serveur crypte clé privée du serveur décrypte Authentification Méthode du challenge MD5 Password => attaque de rejeu MD5 Password + challenge unique Signature Clé publique décrypte Clé privé crypte Entête = login Corps = crypté avec privé Attention : pas confidentiel, tout le monde décrypte Intégrité Hachage du message Echantillon représentatif Cryptage privé du hachage Signature d'un document en clair Si modif du doc = signature incohérente Intégrité et Authentification Intégrité + Confidentialité Hachage Cryptage privé Cryptage publique Document Nom Prénom Adresse ... Clef publique Certificat Signé (Intégrité + Authentification) Non modifiable Distribuable par le client lui même Autorité de certification Seules les Clefs publiques des CA sont connues QoS Débit Délai Gigue Taux de perte Fiabilité Surdimentionnement Gestion des flux DiffServ IntServ et RSVP Trafic engineering VoIP Numérisation de la voix codec débit 2 à 64 kbps Signalisation H323 : Standard de téléphonie SIP : HTTP Like Passerelle et PABX IP ou IPBX Nécessite de la QoS VoIP sur du LAN VoIP sur Internet Exemple Exemple de gain intersite Exemple avec une seule passerelle Exemple avec un centrex IP Exemple avec un centrex IP Pourquoi ? Internet double tous les ans IPv6 épuisement des adresses IP explosion des tables de routage Adressage : IPv4 = 232 adresses (~ 4,3 milliards) Répartition inégale 74% États Unis, 17% Europe et 9% Asie Pénurie d’adresses IPv4 les problèmes Explosion des besoins Applications consommatrices d’adresses permanentes : Services mobiles GPRS et UMTS Accès haut débit et mode « always on » Électronique connectée et véhicules communicants Applications domotiques et réseaux de capteurs IPv4 les fausses solutions Adressage : gestion de la pénurie d’adresses Politiques drastiques d’attribution d’adresses (RIR) CIDR (Classless Inter Domain Routing) : Agrégation de classes IP contiguës Retarder la croissance des tables de routage => 5 ans NAT (Network Address Translation) : Alourdit la gestion des réseaux et entraîne un surcoût (30 à 35%) : tps de traitements augmentent et QoS se dégrade Un frein au développement des applications temps réels et P2P Ipv4 les faux problèmes Sécurité QoS RSVP, Intserv, Diffserv, ... Mobilité IPSec, L2TP, SSL, ... Mobile IP, Cellular IP, ... Ipv6 = traitement natif IPSec de bout en bout QoS mieux intégré Mobile IP chez le client Avantages non significatifs Adressage IPv6 128 bits – 16 octets IPv4 : 4 milliards d'adresses IPv6 : 256 milliards de milliards de milliards de milliards d'adresses Adressage hiérarchique simplifie d'agrégation d'adresses ISP Géographique réduit les routes de coeur de réseau Auto-configuration (adresse MAC incluse) Unicast, Multicast et Anycast Objectifs IPv6 Conserver ce qui a fait le succès d’IP en améliorant les défauts ! (Un passage à IPv6 est il vraiment nécessaire) Adressage à 128 bits (16 octets) Routage multicast Adresse Anycast Entête d’extension Source Routing Transition simple et flexible d’IPv4 vers Ipv6 Coût de démarrage faible Support de la mobilité Possibilité de capacité de service Authentification Confidentialité En principe IPv6 aucun rapport avec QoS Entête IPv6 Champs d'entête Plus de fragmentation Plus de checksum Plus d'IHL Traffic Class De 0 à 7 , pas de perte mais ralentissement possible De 8 à 15, pas de ralentissement mais perte possible Next Header Option d'entête protocole de niveau 4 Entête d'extensions Hop by Hop options header Destination options header-1 Source routing header Fragmentation header Authentification IPv6 encryption header Destination options header-2 Adresse IPv6 128 bits : 8 mots de 16 bits notation en hexa : 2001:066B:3201:0000:0000:0000:6543:021F on peut supprimer les 0 en début de chaque mot 2001:66B:3201:0:0:0:6543:21F on peut remplacer une suite de 0 par :: 2001:66B:3201::6543:21F Format d'adresse IPv6 Partie IANA découpé en : TLA (Top Level Aggregator) 13 bits NLA (Next Level Aggregator) 32 bits Préfixe 8000 :: /3 = adresses géographiques d’utilisateurs (100) 4000 :: /3 = adresses d’ISP (010) 2000 :: /3 = adresses de tests (001) FF00 :: /8 = adresses de multicast (1111 1111) exemple : 3FFE :: /16 = 6-bone 3FFE : 0300 :: /24 = G6 3FFE : 0302 :: /32 = G6 Grenoble 3FFE : 0302 : 0003 :: /48 = CNRS G6 Grenoble Les adresses spéciales loopback => ::1 local => FE80::/10 link local : SLA = 0 site local : SLA = SLA du site concerné 6bone => 3FFE::/16 officielle => 2001::/16 IPv4 mappé => ::FFFF:a.b.c.d IPv4 compatible => ::a.b.c.d 6to4 => 2002::/16 Adresse de multicast FF00::/8 Flag 0 : permanent, 1 : temporaire Scope 1 node local, 2 link local, 5 site local, 8 global Interface ID (IID) 64 bits Possibilité de la créer à partir de la MAC MAC Ethernet 48 bits (6 octets) 00:A0:24:E4:56:2B 3 octets : code constructeur 00:A0:24 3 octets : n° de série carte E4:56:2B IID IPv6 64 bits (8 octets) 00:A0:24:FF:FE:E4:56:2B Neighbor Discovery Nouveau protocole utilisé sur le Link local Router discovery MTU Link discovery Prefix discovery Adress resolution Duplicate adresse detection Redirect Neighbor unreachability detection Remplace ARP, ICMP, DHCP Neighbor discovery 5 messages RS (Router Solicitation) RA (Router Advertisement) Adresse de niveau 2, duplication d'adresse, accessibilité NA (Neighbor Advertisement) périodique, Link MTU, Préfix NS (Neighbor Solicitation) Multicast : ff02 ::2, demande de RA Réponse NS, changement d'adresse Redirect identique ICMP Redirect Autres protocoles DHCPv6 Autoconfiguration stateless DHCP statefull ICMPv6 Mobile Ipv6 packet size too large Binding Update Protocole de routage RIPng, OSPFng, BGP4+ Intérêts IPv6 Économiques Équipementiers Ipv6 : un levier de croissance. Renouvellement des matériels Difficultés à justifier le passage à Ipv6 auprès des clients Opérateurs Pouvoir fournir des adresses en nombres Fin de la domination des grands opérateurs => abondance d’adresses Prêts mais attitude attentiste face à l’arrivée d’Ipv6 Intérêts IPv6 Économiques ISP ISP plus faibles moins dépendants Affectation de préfixes et adresses permanentes => facilite applications P2P Utilisateurs Plus grande indépendance vis à vis des prestataires Nouvelles applications simplifiées (VoIP, Visioconf…) Utilisateurs pourraient être le moteur inconscient d’IPv6 Transition Basculement rapide Croissance très forte des connexions Internet et explosion des nouveaux services Problèmes de coûts en cœur de réseau et de mise en conformité pour les entreprises Forte demande de services mobiles (3G, WLAN) et services sur réseaux fixes (jeux en ligne…) Difficultés financières importantes sauf pour les dominants Trop optimiste et donc à faible probabilité Transition Multimédia mobile Basé sur une demande importante et des investissements des opérateurs mobiles en Ipv6 Croissance des technologies 2,5G/3G et percée des réseaux WLAN Profitable à : filière mobile, équipementiers, fournisseurs de services mais pas aux réseaux fixes Démarrage des services sur réseaux 2,5G/3G plus lents que prévu, probabilité moyenne Transition Transition modérée Anticipation sur demande en nouveaux services sur réseaux fixes et mobiles raisonnable Donne aux acteurs un temps suffisant pour s’adapter D’abord via les opérateurs mobiles puis fixes avec convergence des réseaux Difficultés financières importantes sauf pour les dominants A probabilité élevée Passage IPv4 à IPv6 3 familles de méthodes: Mécanisme Dual Stack Mécanisme par Tunnel Dual Stack DSTM, 6over4, Tunnel Broker, 6to4 Mécanisme par translation NAT-PT / SIIT BIS SOCKS Dual Stack Piles IPv4 et IPv6 chez un hôte ou un routeur. Utilisation possible de tunnels Avantages Déploiement aisé Inconvénients Ne résout pas la pénurie d’adresse IPv4 DSTM : Dual Stack Transition Method Assigne une adresse globale IPv4 temporaire Utilisation de AIIH : Assignment of IPv4 global adresses to IPv6 host Utilisation des tunnels dynamiques DTI : Dynamic Tunneling Interface DSTM Supporte IPv4 de bout en bout Incompatible NATPT Risque attaque DoS 6to4 Connecter deux hôtes IPv6 à travers un réseau IPv4 Utilisation de routeurs possédant une double pile Tunnel statique ou dynamique 6to4 tunnel dynamique Utilisation d'un préfixe Ipv6 Host en dual stack Net avec un routeur de bordure Adresse réseau 6to4 Tunnel Broker Connecter deux hôtes IPv6 à travers un réseau IPv4. Création d’un tunnel par un serveur Utilisation d’une page web 6 over 4 Transmettre des paquets IPv6 au travers d’un réseau IPv4 Pas vraiment de tunnels Utilisation du multicast IPv4 Inconvénients Le réseau IPv4 doit supporter le multicast Existence d’un routeur 6over4 dans chaque réseau Ipv6 NAT - PT Permet la communication d’un hôte IPv4 avec un hôte IPv6, et vice-versa Utilisation d’adresses globalement routables Translation des adresses et entêtes Translation de port Transparent aux utilisateurs finaux Bump In the Stack Utilisation de la double pile Trafic Ipv4 translaté en IPv6 Facilité de déploiement Socks Utilisation d'un proxy Se base sur les couches supérieures Les applications doivent être « sockifiées » Les connexions doivent être établies par l’hôte se trouvant dans le réseau possédant la passerelle SOCKS Freins au déploiement Ipv6 IPv4 séduit encore Les NAT vus comme un rempart sécuritaire La pénurie d’adresses IP ne se fait pas encore sentir Les applications tournent très bien sous Ipv4 IPv6 : la poule ou l'oeuf Pas d'opérateur = pas de transition (le client ne peut pas faire sans l'opérateur) Pas de client = pas d'opérateur (l'opérateur met en place un service pour le client) IPv6 de test 6 Bone : 1996 réseau d'expérimentation (pas de production) au dessus d'IPv4 terminé le 6 juin 2006 G6 groupe francais de recherche sur IPv6 CNRS, ENST, INRIA