Difference between revisions of "MOOC:Verb14"

From Livre IPv6

(Script 14 : Plan d'adressage IPv6 unicast)
 
(161 intermediate revisions by one other user not shown)
Line 1: Line 1:
 
__NOTOC__  
 
__NOTOC__  
  
=Script 14 : Plan d'adressage IPv6 unicast=
+
=Activité 14 : Plan d'adressage IPv6 unicast=
 +
<!--Storyboard sur Googledoc => https://docs.google.com/presentation/d/1i2VfQLYgYxt8QRZh1CMH3FA1jfrFbcYJ/edit#slide=id.p1
 +
-->
 +
1)Après avoir vu les adresses unicast nous allons maintenant aborder l'association de ces adresses aux interfaces de communication des équipements.
  
1)('' affichage : ???'') Après avoir vu les adresses unicast nous allons maintenant aborder l'association de ces adresses aux interfaces de communication des équipements.
+
2) Sur la base de la structure de l'adresse unicast IPv6, nous verrons comment définir le plan d'adressage dérivé du préfixe, délégué par l'opérateur ou le fournisseur d'accès internet, pour assurer l'acheminement des paquets sur notre réseau.
 
+
2) Après un rappel de la structure de l'adresse unicast IPv6, nous verrons comment définir le plan d'adressage dérivé du préfixe, délégué par l'opérateur ou le fournisseur d'accès internet, pour assurer l'acheminement des paquets sur notre réseau.
+
  
 
3) Enfin nous aborderons l'identification des interfaces assurant l'association de l'adresse à une interface de communication.
 
3) Enfin nous aborderons l'identification des interfaces assurant l'association de l'adresse à une interface de communication.
  
4) Ces deux fonctions relèvent de la responsabilité de l'administrateur du réseau sur lequel est attachée l'interface, c'est lui qui a en charge la politique d'allocation des adresses mise en œuvre par les outils de gestions du réseau que nous aborderons dans une prochaine séquence.
+
4) La gestion de ces deux fonctions d'adressage relèvent de la responsabilité de l'administrateur du réseau sur lequel est attachée l'interface, c'est lui qui a en charge la politique d'allocation des adresses mise en œuvre par les outils de gestions du réseau qui seront abordés dans une prochaine séquence.
 +
 
 +
5) Nous avons vu précédemment que les adresses unicast sont structurées hiérarchiquement.
 +
 
 +
6) Un premier niveau de hiérarchisation découpe l'adresse en deux parties logiques de 64 bits chacune.
 +
 
 +
7) Un préfixe réseau / sous réseau qui sera utilisé pour acheminer les paquets à travers le réseau.
 +
 
 +
8) Et un identifiant d'interface qui sera utilisé sur le dernier saut pour remettre le paquet à l'interface de destination.
 +
 
 +
9) La structuration du plan d'adressage sur la partie haute de l'adresse et
 +
 
 +
10) la politique d'identification des interfaces doivent être clairement définis par l'administrateur préalablement au déploiement des équipements sur le réseau.
 +
 
 +
== Définition du plan d'adressage ==
 +
 
 +
20) La définition du plan d'adressage d'un réseau consiste à organiser la structuration de la partie haute de l'adresse selon l'organisation topologique de l'infrastructure d'interconnexion.
 +
 
 +
21) Cette partie haute de l'adresse, dite préfixe réseau / sous réseau identifie le réseau de destination. Elle est utilisée par la fonction de routage pour opérer les choix d'acheminement des paquets sur la topologie du réseau.
 +
 
 +
22) L'organisation hiérarchique de la topologie d'acheminement se traduit par la structuration du préfixe réseau / sous réseau. Dans le plan d'adressage agrégé, actuellement en vigueur pour IPv6, chaque réseau de destination des paquets se voit attribuer un préfixe de longueur 64 (/64).
 +
 
 +
23) Un administrateur connaissant le préfixe alloué à son site par son opérateur d'interconnexion ou son fournisseur d'accès Internet, généralement de longueur 48 (/48), ou à défaut un préfixe privatif unicast local unique (ULA) de 48 bits, il lui reste 64 - 48, soit 16 bits pour identifier les sous réseaux de sa topologie interne. Ce champ d'une taille variant de 0 à 16 bits, nommé Subnet ID ou SID, permet à l'administrateur d'identifier l'ensemble des sous réseaux de sa topologie interne.
 +
 
 +
23-bis) Le préfixe assure l'acheminement sur la topologie externe,
 +
 
 +
23-ter) alors que l'association du préfixe réseau et du SID permet l'acheminement vers le réseau final de destination.
 +
 
 +
23-quad) Cet identifiant réseau/sous-réseau peut également être ciblé par une liste de contrôle d'accès pour les fonctions de sécurisation et de filtrage assurées par les ACL placées sur les routeurs ou plus généralement sur les équipements de sécurisation tels que les firewalls.
 +
 
 +
24) L'administrateur du réseau a donc la charge d'organiser la structuration de ce champ SID en fonction de l'étendue et de l'organisation topologique de son réseau interne. Chaque segment de sous réseau, sur lequel il déploie ses équipements, devra disposer d'un identifiant de réseau/sous réseau sur 64 bits.
 +
 
 +
25) La définition du plan d'adressage consiste donc à spécifier les choix d'organisation de l'affectation des identifiants de sous réseau porté par le champ SID de l'adresse. Plusieurs stratégies sont envisageables selon l'étendue et le contexte topologique du réseau dont l'administrateur à la charge.
 +
 
 +
26) La présentation détaillée de ces stratégies dépasse le cadre de cette vidéo,  Abordons en simplement les grands principes.
 +
 
 +
27) Selon l'étendue du réseau la structuration du plan d'adressage sera plus ou moins importante. Ainsi les petites entités sans structure organisationnelle importante peuvent éventuellement fonctionner sans plan d'adressage structuré en fixant arbitrairement la valeur du champ SID.
 +
 
 +
28) Cependant, si l'infrastructure de niveau liaison est cloisonnée en sous domaines de diffusion distincts sous forme de VLAN, il faudra à minima affecter un identifiant de sous réseau par VLAN, pour que chaque domaine diffusion dispose de son préfixe réseau/sous réseau de 64 bits. L'attribution de ces identifiants de sous-réseau pourra être simple en numérotant éventuellement en séquence.
 +
 
 +
29) En l'absence de structuration, ce type de réseau ne passe pas à l'échelle. Si le nombre de sous réseaux est amené à croître, l'administration et le contrôle de l'infrastructure deviennent rapidement problématiques.
 +
<!-- 30) Pour les organisations ayant déjà structuré une infrastructure réseau sous le protocole IPv4 et sur laquelle on souhaite faire cohabiter les deux versions du protocole, il est possible d'adopter une stratégie de correspondance des identifiants de sous-réseaux IPv4 et des sous réseaux IPv6 en alignant la valeur du champ SID sur ces identifiants v4.-->
 +
 
 +
31) Pour les topologies plus importantes, la structuration du champ SID pourra être organisée en plusieurs niveaux de routage à l'instar de l'organisation de l'Internet ou des réseaux d'opérateur généralement structurés en cœur, distribution, accès afin d'assurer un routage optimal. Chaque niveau se voyant délégué un niveau de la structure hiérarchique du SID.
 +
 
 +
32) Sur un réseau de campus, par exemple, on peut assigner les adresses par type d'usage (wifi invité, postes de travail, sous réseau étudiant, sous réseau des serveurs, DMZ etc...)
 +
 
 +
32-bis) ou par localisation du réseau sur le campus (réseau bâtiment A, réseau bâtiment B,...)
 +
 
 +
33) voire bien souvent une combinaison des deux (wifi invité bâtiment A, wifi invité bâtiment B, service X bâtiment C, etc.) ou inversement (bâtiment A wifi invité, bâtiment B wifi invité, bâtiment Z service X,...)
 +
 
 +
34) Ainsi, dans cet exemple le campus Sextus s'est vu allouer par son fournisseur d'accès le préfixe 2001:db8:5e47::/48, les 16 bits SID identifiant les sous réseaux étant notés sous forme de lettres majuscules entre accolades.
 +
 
 +
35) En assignant 4 bits pour la localisation, symbolisé par les bits 'L'
 +
 
 +
35-a) et 4 bits pour le type d'usage symbolisé pour les bits T,
 +
 
 +
35-aa) il reste encore 8 bits 'B' pour d'autres affectation de réseau.
 +
 
 +
35-aaa) Le plan d'adressage du campus Sextus permet d'adresser une infrastructure étendue sur 2 puissance 4 soit 16 localisations, chacune pouvant déployer 16 types de réseaux. On dispose encore de 8 bits 'B' permettant éventuellement 256 sous réseaux différents pour chaque localisation et chaque type.
 +
<!--
 +
36) ('' localisation ou type d'usage d'abord ? '') Un point à ne pas négliger est de décider quelle affectation nous souhaitons privilégier. ('' ré-afficher l'exemple précédent'') Dans l'exemple précédent, en positionnant la localisation sur le quartets de poids forts  nous privilégions d'abord l'identifiant de localisation avant l'identifiant de type.
 +
 
 +
37)('' inversion des bits 'T' et 'L' de l'exemple précédent '') La structuration inverse est également possible en privilégiant d'abord les bits 'T' sur les bits 'L'.
 +
 
 +
38) Le choix de l'une ou l'autre des structurations permet d'agréger (grouper) sur des préfixes courts les localisations dans le premier cas et les types d'usage sur le second cas. L'usage de préfixe courts pour la localisation optimise les tables de routage, l'usage de préfixes courts pour les types de réseau facilite le regroupement des liste de contrôle d'accès de firewalls. En fonction de l'étendue du réseau et du positionnement des firewalls (frontal ou distibué)et des routeurs associée l'une ou l'autre des structurations sera plus optimale.
 +
 
 +
39) ('' Afficher "lisibilité des préfixes '') Lorsque l'on dispose d'un espace d'identification suffisamment large, dans notre exemple de champ SID sur 16 bits, nous disposons de 8 bits 'B' inutilisé, il est de bonne pratique d'aligner les identifiants sur des frontières de mots de 4 bits (quartets) pour faciliter la lisibilité des préfixes notés en hexadécimal. Ainsi si le campus Sextus n'est composé que de 7 bâtiments ou zones, 3 bits suffisaient pour les identifier, cependant en réservant 4 bits de localisation, on identifie la localisation directement sur le 1er quartet à la lecture du préfixe noté en hexadécimal.
 +
('' afficher les deux 2001:db8:cafe:{'' '''''LLLL''''' ''TTTTBBBBBBBB}::/64'' s'écrit en hexadécimal  2001:db8:cafe:'' '''''l''''' ''txx::/64'')
 +
 
 +
40) ('' Afficher "Extensibilité du plan d'adressage" '') Si le nombre de localisations ou de types de sous réseaux n'est pas à priori connu ou est susceptible d'évoluer dans le cas de l'extension du campus par exemple, il est recommandé de conserver des frontières flexibles entre les différents groupes de bits identifiants les différents niveaux de structuration. Ainsi dans le cas du campus Sextus, il peut être pertinent de placer les bits B, actuellement inutilisés au centre du champ SID ('' afficher 2001:db8:cafe:{LLLLBBBBBBBBTTTT}::/64  soit 2001:db8:cafe:lxxt::/64 en notation IPv6'') lorsque le campus s'agrandira et dépassera 16 bâtiments ou zones nous pourrons étendre les identifiants vers la droite sans remettre en cause la structuration (' Ajuster l'illustration en augmentant le nombre de bâtiments de Sextus et en affichant 2001:db8:cafe:{'' '''''LLLLLLLL''''' ''BBBBTTTT}::/64 soit 2001:db8:cafe:'' '''''ll''''' ''xt::/64 en notation IPv6'')
 +
 
 +
41) Le principe peut s'appliquer également sur les identifiants de types si ceux ci venaient à dépasser 16 en étendant le quartet type vers la gauche ('' afficher 2001:db8:cafe:{LLLLLLLL'' '''''TTTTTTTTT''''' ''}::/64 soit 2001:db8:cafe:ll'' '''''tt''''' ''::/64'' en notation IPv6'')
 +
 
 +
42) On notera que pour les réseaux de taille importante il n'est pas toujours possible de concilier extensibilité et lisibilité en alignant sur frontière de quartets. Les critère d'extensibilité peuvent alors l'emporter sur les critères de lisibilité.
 +
 
 +
43) Pour conclure sur le champ SID, d'autres stratégies, telles que la transposition des identifiants de VLAN directement dans le champ SID peuvent également être pertinentes. Le contexte et réseau et les règles d'ingénierie adoptées pour le déploiement de la topologie du réseau guideront les choix de structuration du plan d'adressage.
 +
 
 +
''''' découpage éventuel - seconde vidéo (si nécessaire '''''-->
 +
 
 +
== Identification des interfaces ==
 +
60) Les identifiants d'interface des adresses unicast, portés par les 64 bits de poids faible, sont utilisés pour identifier de manière unique les interfaces des équipements sur un lien ou un domaine de diffusion de niveau 2. Ils doivent être uniques pour le domaine couvert par un sous-réseau.
 +
 
 +
60-a) A l'exception de l'adresse non spécifiée et de l'adresse de bouclage, l'identifiant d'interface de l'adresse unicast a une longueur de 64 bits, permettant d'approcher une probabilité de conflit quasi nulle.
 +
 
 +
60-b) L'identifiant d'interface est assigné à l'interface par le système de l’équipement au démarrage de celui ci. Comme pour le plan d’adressage, il appartient à l'administrateur de fixer la méthode d'allocation des identifiants aux interfaces sur les équipements dont il a la charge.
 +
 
 +
62) Initialement, pour des raisons d'auto-configuration, l'identifiant d'interface était systématiquement dérivé de l'adresse matérielle de l'interface. Seules les adresses local de lien, ont conservé l'IID dérivé de l'adresse matérielle.
 +
 
 +
63) D'autres méthodes sont venus compléter l'association de l'identifiant aux interfaces en ajustant le paramétrage du système de l'équipement.
 +
 
 +
63-a) Ainsi l'adminstrateur
 +
 
 +
64) peut fixer arbitrairement la valeur de l'identifiant d'interface par configuration manuelle,
 +
 
 +
65) ou laisser le système dériver l'IID de l'adresse matérielle,
 +
 
 +
66) ou encore le fixer de manière complétement aléatoire afin de limiter la surveillance des équipements et protéger la vie privée de son utilisateur.
 +
 
 +
67) voire dans certains contextes le dériver de l'empreinte d'une clé de chiffrement pour assurer l'authenticité de l'association d'une adresse à un équipement.
 +
<!--
 +
=== Manuellement ===
 +
('' Affichage sous titre -- Manuellement --'')
 +
 
 +
66) ('' Affichage d'un serveur '') Pour les serveurs ou les équipements administrés tels que les routeurs, il est préférable d'assigner manuellement les identifiants aux interfaces. Dans ce cas, l'adresse IPv6 est facilement mémorisable pour la configuration des entrées des tables de routage ou l'inscription au DNS.
 +
 
 +
67) ('' affichage Exemples :'' ) Plusieurs méthodes facilement mémorisables peuvent être choisies par l'administrateur.
 +
 
 +
68) ( ''Affichage - 2001:db8:cafe:deca::1 - 2001:db8:cafe:deca::2 (voir anim actuelle'') Incrémenter l'identifiant d'interface a chaque nouveau serveur configuré '')
 +
 
 +
69) (''Affichage IPv4'') Reprendre le dernier octet de l'adresse IPv4, pour une machine double pile V4 /V6. Par exemple, si un serveur a pour adresse IPv4 192.168.2.123 (afficher ''192.168.2.123'') son adresse IPv6  pourrait être (''afficher 2001:db8:cafe:dec::7b'') ou plus simplement ('' afficher 2001:db8:cafe:deca::123'').
 +
 
 +
70) (''Afficher ''2001:db8:cafe:deca::192.168.2.123 et 2001:db8:cafe:deca::c0a8:27b'')
 +
 
 +
=== Dérivée de l'adresse matérielle ===
 +
(('' Affiichage sous titre -- Dérivée de l'adresse matérielle --'')
 +
 
 +
71) L'avantage d'utiliser l'adresse matérielle de l'interface pour construire l'IID, est que l'unicité de cette valeur est quasiment toujours assurée. Cette valeur est également stable tant que la carte réseau n'est pas changée sur l'équipement.
 +
 
 +
72) Les adresses unicast local de lien, dite LLA, utilisent ce type d'identifiant. L'IID est alors automatiquement construit à l'activation de l'interface, d'après le contexte matériel de l'interface sans nécessiter de configuration administrative par le système d'exploitation ou l'administrateur de l'équipement. Dès son activation l'interface dispose ainsi d'un adresse de communication avec son voisinage direct.
 +
 
 +
73) (''reprise de l'exemple de la video A14 actuelle'') L'IEEE à défini un identificateur gloabl de 64 bits, dit format EUI-64 pour les interfaces IEEE 1394 communément appelée Firewire ou IEEE 802 15.4 pour les réseaux de capteur. Les 24 premiers bit de l'EUI-64 identifient le constructeur. (''ajuster l'affichage, cf video de l'A14 actuelle'') et les 40 bits de poids faible identifie le numéro de série.
 +
 
 +
74) ('' magnifier les bits uet g'') Les deux bits, le bit u, septième dit du 1er octet et le bit 'g', 8iem bit du 1er octet on une signification particulière. Le bit u ('' afficher u -> bit u/l universel 0 (global-scope) /local 1 (local-scope) '')signifiant 'universel' vaut zéro si l'unicité de l'identifiant EUI-64 est universel. Le bit g, dit bit de groupe indique si l'adresse et individuelle lorsqu'il est positionné à zéro, c'est à dire désigne un seil équipement sur le réseau et indique lorsqu'il est poistionné à 1, une adresse matérielle de mutlicast.
 +
 
 +
75) L'identifiant d'interface à 64 bit d'une adresse LLA IPv6 peut être dérivé de l'EUI-64 en inversant la valeur du bit u. (''ajuster l'aimation, cf video A14 actuelle'') En effet, pour la cosntruction des adresses IPv6, la valeur boolééenne binaire à 1 a été préfére pour marquer l'unicité mondiale. Cet inversion de la sémantique du bit permet de garder la valeur '0' pour une numérotation manuelle autorisant à numéroter simplement les interfaces locales à partir de 1 tel qu'on l'a vue précédemment.
 +
 
 +
76) (ajuster l'affichage d'après la video actuelle à 04:24) L'IEEE définit également les régles qui permettent de passer d'un identifiant EUI-48 à un format EUI-64. Ainsi, si une interface dispose d'une adresse matériel MAC IEEE 802 à 48 bits universels, ce qui est le cas des interfaces Ethernet ou des interfaces wifi.
 +
 
 +
77) ('' ajuster l'animation, cf video actuelle'') L'adresse MAC est tout d'abord convertie au format EUI-64 par l'insertion de 16 bits à la valeur hexadécimale réservée fffe. Puis la valeur du bit 'u' est inversée ('' ajuster l'affichage cf video actuelle'') comme dans le cas précédent.
 +
 
 +
=== Aléatoirement ===
 +
(('' Affichage sous titre -- Aléatoirement --'')
 +
 
 +
(''illustation d'un utilisateur nomade utilisant tableur ou smartphone '')
 +
 
 +
78) L'identifiant d'interface basé sur des adresses matérielles peut poser des problème de conformité aux réglementation lié au respect de la vie privé. En effet il identifie fortement la machine d'un utilisateur nomade qui même s'il se déplace de réseau, conserve ce même identifiant. Il devient alors possible de tracer un individu utilisant un équipement portable chez lui, au bureau ou lors de ses déplacements. Pour lever cette possibilité de traçage des individus il a été proposé d'autres algorithmes de construction des identifiants d'interface basé sur des tirages aléatoires. Un utilisateur sensibilisé au respect de la vie privée peut s'appuyer sur ces mécanismes, aujourd'hui appliqué dans la majortié des système d'exploitation. L'identifiant d'interface est soit choisi aléatoirement, soit construit par un algorithme de hachage à partir des valeurs précédentes. Il est alors opaque et ne divulgue aucune information des caractéristiques matérielles de l'interface.
 +
 
 +
79) ('' illistration cf la video actuelle'') L'interface possède alors deux adresses IPv6 globales de  même préfixe mais avec des IID différenciés. La première à un identifiant d'interface opaque dérivé de l'adresse matérielle. Elle sert aux flux application entrant, c'est à dire aux applications en attente de connexion entrantes sur la machine pour des applications serveurs ou les services systèmes. Cette adresse est stable dans le temps et peut être référencée dans le DNS.
 +
 
 +
80) ('' illistration cf la video actuelle'') La seconde possède un identifiant d'interface tiré aléatoirement. Elle est changée périodiquement ou à chaque réinitialisation de l'équipement et sert aux flux applicatifs sortant, initiés par les processus clients.
 +
 
 +
=== Dérivée d'une clé de chiffrement ===
 +
(('' Affichage sous titre -- Dérivée d'une clé de chiffrement --'')
 +
 
 +
81) Si un identifiant aléatoire permet d'anonymiser la source d'un paquet, des propositions de l'IETF permettent inversement lier un identifiant d'interface à une clé publique de l'émetteur du paquet. Elle peuvent servir pour sécuriser les protocoles de découvertes du voisinage ou pour la multi-domiciliation et lutter contre l'usurpation d'adresse.-->
 +
<!--
 +
== Adressage multiple des interfaces ==
 +
('' sous titre : -- Adressage multiple des interfaces --'')
 +
 
 +
82) ('' illustration : cf video actuelle '') En IPv6, les interfaces des équipements disposent simultanément de plusieurs adresses.
 +
 
 +
84) Comme nous l'avons vu précédemment une interface dispose au moins d'une adresse locale de liens (LLA) sur son lien de rattachement, automatiquement affectée à l'interface lors de la phase d'activation de cette dernière. Selon la nature du lien de rattachement l'interface peut disposer d'une ou plusieurs adresses routables soit localement, cas des adresses unicast locales uniques soit globalement en associant le préfixe d'adresse global du lien support à l'identifiant d'interface.
 +
 
 +
85) L'affectation de ces adresses routables peut être assurée par l'administrateur système ou géré automatiquement par le réseau en s'appuyant sur les mécanismes d'auto-configuration avec ou sans état, qui seront abordée dans une prochaine séquence.
 +
 
 +
=== Durée de vie d'une adresse ===
 +
('' sous titre : -- Durée de vie d'une adresse --'')
 +
 
 +
86) L'activité antérieurs "Qu'est ce qu'une adresse IP ?" a présenté les différents états de la durée de vie d'une adresse. Comme nous l'avons vu avec les adresses aléatoires, conformes aux préoccupations de protection de la vie privée, certaines adresses peuvent être éphémères et doivent être renouvelées périodiquement. C'est le système d'exploitation gérant l'interface qui assure la cohérence, notamment en passant une adresse dans l'état déprécié pour permettre la clôture des sessions existantes parallèlement à la procédure d'activation d'une nouvelle adresse valide.
 +
-->
 +
== Conclusion ==
 +
100) Dans cette activité nous avons abordé deux fonctions relatives à l'adressage qui incombent à l'administrateur en charge du déploiement du réseau et de la configuration de ses équipements, à savoir la structuration du plan d'adressage et la politique d'association des identifiants d'interface.
 +
 
 +
<!--
 +
110) Les choix définis pour ces deux fonctions seront appliqués par les outils de gestion des adresses('' afficher IPAM : IP Address Management''), également appelés IPAM IP Address Management, opérés par les fonctions de gestion du réseau (''Afficher "autoconfigation sans état, DHCPv6, DNS..."'') qui seront abordés dans une séquence ultérieure.
 +
-->

Latest revision as of 16:31, 28 February 2022


Activité 14 : Plan d'adressage IPv6 unicast

1)Après avoir vu les adresses unicast nous allons maintenant aborder l'association de ces adresses aux interfaces de communication des équipements.

2) Sur la base de la structure de l'adresse unicast IPv6, nous verrons comment définir le plan d'adressage dérivé du préfixe, délégué par l'opérateur ou le fournisseur d'accès internet, pour assurer l'acheminement des paquets sur notre réseau.

3) Enfin nous aborderons l'identification des interfaces assurant l'association de l'adresse à une interface de communication.

4) La gestion de ces deux fonctions d'adressage relèvent de la responsabilité de l'administrateur du réseau sur lequel est attachée l'interface, c'est lui qui a en charge la politique d'allocation des adresses mise en œuvre par les outils de gestions du réseau qui seront abordés dans une prochaine séquence.

5) Nous avons vu précédemment que les adresses unicast sont structurées hiérarchiquement.

6) Un premier niveau de hiérarchisation découpe l'adresse en deux parties logiques de 64 bits chacune.

7) Un préfixe réseau / sous réseau qui sera utilisé pour acheminer les paquets à travers le réseau.

8) Et un identifiant d'interface qui sera utilisé sur le dernier saut pour remettre le paquet à l'interface de destination.

9) La structuration du plan d'adressage sur la partie haute de l'adresse et

10) la politique d'identification des interfaces doivent être clairement définis par l'administrateur préalablement au déploiement des équipements sur le réseau.

Définition du plan d'adressage

20) La définition du plan d'adressage d'un réseau consiste à organiser la structuration de la partie haute de l'adresse selon l'organisation topologique de l'infrastructure d'interconnexion.

21) Cette partie haute de l'adresse, dite préfixe réseau / sous réseau identifie le réseau de destination. Elle est utilisée par la fonction de routage pour opérer les choix d'acheminement des paquets sur la topologie du réseau.

22) L'organisation hiérarchique de la topologie d'acheminement se traduit par la structuration du préfixe réseau / sous réseau. Dans le plan d'adressage agrégé, actuellement en vigueur pour IPv6, chaque réseau de destination des paquets se voit attribuer un préfixe de longueur 64 (/64).

23) Un administrateur connaissant le préfixe alloué à son site par son opérateur d'interconnexion ou son fournisseur d'accès Internet, généralement de longueur 48 (/48), ou à défaut un préfixe privatif unicast local unique (ULA) de 48 bits, il lui reste 64 - 48, soit 16 bits pour identifier les sous réseaux de sa topologie interne. Ce champ d'une taille variant de 0 à 16 bits, nommé Subnet ID ou SID, permet à l'administrateur d'identifier l'ensemble des sous réseaux de sa topologie interne.

23-bis) Le préfixe assure l'acheminement sur la topologie externe,

23-ter) alors que l'association du préfixe réseau et du SID permet l'acheminement vers le réseau final de destination.

23-quad) Cet identifiant réseau/sous-réseau peut également être ciblé par une liste de contrôle d'accès pour les fonctions de sécurisation et de filtrage assurées par les ACL placées sur les routeurs ou plus généralement sur les équipements de sécurisation tels que les firewalls.

24) L'administrateur du réseau a donc la charge d'organiser la structuration de ce champ SID en fonction de l'étendue et de l'organisation topologique de son réseau interne. Chaque segment de sous réseau, sur lequel il déploie ses équipements, devra disposer d'un identifiant de réseau/sous réseau sur 64 bits.

25) La définition du plan d'adressage consiste donc à spécifier les choix d'organisation de l'affectation des identifiants de sous réseau porté par le champ SID de l'adresse. Plusieurs stratégies sont envisageables selon l'étendue et le contexte topologique du réseau dont l'administrateur à la charge.

26) La présentation détaillée de ces stratégies dépasse le cadre de cette vidéo, Abordons en simplement les grands principes.

27) Selon l'étendue du réseau la structuration du plan d'adressage sera plus ou moins importante. Ainsi les petites entités sans structure organisationnelle importante peuvent éventuellement fonctionner sans plan d'adressage structuré en fixant arbitrairement la valeur du champ SID.

28) Cependant, si l'infrastructure de niveau liaison est cloisonnée en sous domaines de diffusion distincts sous forme de VLAN, il faudra à minima affecter un identifiant de sous réseau par VLAN, pour que chaque domaine diffusion dispose de son préfixe réseau/sous réseau de 64 bits. L'attribution de ces identifiants de sous-réseau pourra être simple en numérotant éventuellement en séquence.

29) En l'absence de structuration, ce type de réseau ne passe pas à l'échelle. Si le nombre de sous réseaux est amené à croître, l'administration et le contrôle de l'infrastructure deviennent rapidement problématiques.

31) Pour les topologies plus importantes, la structuration du champ SID pourra être organisée en plusieurs niveaux de routage à l'instar de l'organisation de l'Internet ou des réseaux d'opérateur généralement structurés en cœur, distribution, accès afin d'assurer un routage optimal. Chaque niveau se voyant délégué un niveau de la structure hiérarchique du SID.

32) Sur un réseau de campus, par exemple, on peut assigner les adresses par type d'usage (wifi invité, postes de travail, sous réseau étudiant, sous réseau des serveurs, DMZ etc...)

32-bis) ou par localisation du réseau sur le campus (réseau bâtiment A, réseau bâtiment B,...)

33) voire bien souvent une combinaison des deux (wifi invité bâtiment A, wifi invité bâtiment B, service X bâtiment C, etc.) ou inversement (bâtiment A wifi invité, bâtiment B wifi invité, bâtiment Z service X,...)

34) Ainsi, dans cet exemple le campus Sextus s'est vu allouer par son fournisseur d'accès le préfixe 2001:db8:5e47::/48, les 16 bits SID identifiant les sous réseaux étant notés sous forme de lettres majuscules entre accolades.

35) En assignant 4 bits pour la localisation, symbolisé par les bits 'L'

35-a) et 4 bits pour le type d'usage symbolisé pour les bits T,

35-aa) il reste encore 8 bits 'B' pour d'autres affectation de réseau.

35-aaa) Le plan d'adressage du campus Sextus permet d'adresser une infrastructure étendue sur 2 puissance 4 soit 16 localisations, chacune pouvant déployer 16 types de réseaux. On dispose encore de 8 bits 'B' permettant éventuellement 256 sous réseaux différents pour chaque localisation et chaque type.

Identification des interfaces

60) Les identifiants d'interface des adresses unicast, portés par les 64 bits de poids faible, sont utilisés pour identifier de manière unique les interfaces des équipements sur un lien ou un domaine de diffusion de niveau 2. Ils doivent être uniques pour le domaine couvert par un sous-réseau.

60-a) A l'exception de l'adresse non spécifiée et de l'adresse de bouclage, l'identifiant d'interface de l'adresse unicast a une longueur de 64 bits, permettant d'approcher une probabilité de conflit quasi nulle.

60-b) L'identifiant d'interface est assigné à l'interface par le système de l’équipement au démarrage de celui ci. Comme pour le plan d’adressage, il appartient à l'administrateur de fixer la méthode d'allocation des identifiants aux interfaces sur les équipements dont il a la charge.

62) Initialement, pour des raisons d'auto-configuration, l'identifiant d'interface était systématiquement dérivé de l'adresse matérielle de l'interface. Seules les adresses local de lien, ont conservé l'IID dérivé de l'adresse matérielle.

63) D'autres méthodes sont venus compléter l'association de l'identifiant aux interfaces en ajustant le paramétrage du système de l'équipement.

63-a) Ainsi l'adminstrateur

64) peut fixer arbitrairement la valeur de l'identifiant d'interface par configuration manuelle,

65) ou laisser le système dériver l'IID de l'adresse matérielle,

66) ou encore le fixer de manière complétement aléatoire afin de limiter la surveillance des équipements et protéger la vie privée de son utilisateur.

67) voire dans certains contextes le dériver de l'empreinte d'une clé de chiffrement pour assurer l'authenticité de l'association d'une adresse à un équipement.

Conclusion

100) Dans cette activité nous avons abordé deux fonctions relatives à l'adressage qui incombent à l'administrateur en charge du déploiement du réseau et de la configuration de ses équipements, à savoir la structuration du plan d'adressage et la politique d'association des identifiants d'interface.


Personal tools