MOOC:Compagnon Act31-s7

From Livre IPv6

Revision as of 21:41, 12 May 2015 by Bstevant (Talk | contribs) (Fonctions de gestion du niveau IP)

Le contrôle du fonctionnement d'IPv6 à travers ICMPv6

Fonctions de gestion du niveau IP

Le bon fonctionnement d'un réseau IP nécessite un ensemble d'interactions entre les équipements, interactions relevant de la gestion du réseau et non du transport d'informations. Ces interactions permettent notamment :

  • le signalement d'erreur en cours d'acheminement d'un paquet (équipement inaccessible, durée de vie expirée, etc.)
  • le test de joignabilité de bout en bout à travers le réseau (ping)
  • La configuration automatique des équipements (redirection, découverte des voisins et routeurs)

Afin d'assurer les échanges pour réaliser ces fonctions, la famille de protocole ICMP (Internet Control Management Protocol) a été spécifiée. ICMPv6 (RFC 4443) réalise ces fonctions sur la base d'IPv6. De plus ICMPv6 intègre les fonctions de gestion des groupes de multicast au niveau du réseau local (assuré par le protocole IGMP en IPv4).

Format générique d'un message ICMPv6

Figure 4-11 Format générique d'un message ICMP

Le protocole se voit attribuer le numéro 58. Le format générique des paquets ICMPv6 est donné figure Format générique d'un message ICMP :

  • Le champ type (voir tableau Valeurs des champs type et code d'ICMPv6) code la nature du message ICMPv6. Les valeurs de ce champs sont classée pour distinguer les messages d'erreurs des autres messages d'information (ping, configuration automatique).
  • Le champ code précise la cause du message ICMPv6.
  • Le champ checksum permet de vérifier l'intégrité du paquet ICMP (rendu obligatoire pour tout protocole transporté au dessus d'IPv6).

Les messages ICMPv6 de compte rendu d'erreur contiennent dans la partie données le paquet IPv6 ayant provoqué l'erreur. Pour éviter des problèmes de fragmentation puisqu'il est difficilement envisageable de mettre en œuvre la découverte du MTU, la longueur du message ICMPv6 est limitée à 1 280 octets et par conséquent le contenu du paquet IPv6 peut être tronqué.

Valeurs des champs type et code d'ICMPv6
type code nature
Gestion des erreurs
1 Destination inaccessible :
0 * aucune route vers la destination
1 * la communication avec la destination est administrativement interdite
2 * hors portée de l'adresse source
3 * l'adresse est inaccessible
4 * le numéro de port est inaccessible
5 * l'adresse source est filtrée par un firewall
6 * l'adresse destination est rejetée
2
3 Temps dépassé :
0 * limite du nombre de sauts atteinte
1 * temps de réassemblage dépassé
4 Erreur de paramètre :
0 * champ d'en-tête erroné
1 * champ d'en-tête suivant non reconnu
2 * option non reconnue
Information
128 Demande d'écho
129 Réponse d'écho
Gestion des groupes multicast (MLD, RFC 2710)
130 Requête d'abonnement
131 Rapport d'abonnement
132 Fin d'abonnement
Découverte de voisins (RFC 2461)
133 Sollicitation du routeur
134 Annonce du routeur
135 Sollicitation d'un voisin
136 Annonce d'un voisin
137 Redirection
Renumérotation des routeurs (expérimental, RFC 2894)
138
Renumérotation des routeurs :
0 * Commande
1 * Résultat
255 * Remise à zéro du numéro de séquence
Recherche d'information sur un noeud (expérimental)
139 Demande d'information
140 Réponse
Découverte de voisins inverse (RFC 3122)
141 Sollicitation
142 Annonce
Gestion des groupes multicast (MLDv2, RFC 3810)
143 Rapport d'abonnement MLDv2
Mobilité (RFC 3775)
144 Découverte d'agent mère (requête)
145 Découverte d'agent mère (réponse)
146 Sollicitation de préfixe mobile
147 Annonce de préfixe mobile
Découverte de voisins sécurisée (SEND, RFC 3971)
148 Sollicitation de chemin de certification
149 Annonce de chemin de certification
Mobilité (expérimental)
150 Protocoles de mobilité expérimentaux, tels que Seamoby


Test de joignabilité entre équipements (ping)

Format d'un message ICMP Demande et réponse d'écho
Figure : Format d'un message ICMP Demande et réponse d'écho

Ces deux messages servent en particulier à la commande ping permettant de tester l'accessibilité d'une machine. Le principe de fonctionnement est le même que pour IPv4, une requête (type 128) est envoyée vers l'équipement dont on veut tester le fonctionnement, celui-ci répond par le message réponse d'écho (type 129). Le champ identificateur permet de distinguer les réponses dans le cas où plusieurs commandes ping seraient lancées simultanément sur la machine. Le champ numéro de séquence permet d'associer la réponse à une requête pour mesurer le temps d'aller et retour dans le cas où les demandes sont émises en continu et que le délai de propagation est élevé. Le champ données permet d'augmenter la taille du message pour les mesures.

Rapport d'erreur

Destination inaccessible

Format d'un message ICMP Destination inaccessible
Figure : Format d'un message ICMP Destination inaccessible

Ce message est émis par un routeur intermédiaire quand le paquet ne peut pas être transmis parce que soit :

  • le routeur ne trouve pas dans ses tables la route vers la destination (code = 0) ;
  • le franchissement d'un équipement de type firewall est interdit ("raison administrative", code = 1) ;
  • l'adresse destination ne peut être atteinte avec l'adresse source fournie, par exemple si le message est adressé à un destinataire hors du lien, l'adresse source ne doit pas être une adresse lien-local (code = 2) ;
  • toute autre raison comme par exemple la tentative de routage d'une adresse locale au lien (code = 3) ;
  • le destinataire peut aussi émettre un message ICMPv6 de ce type quand le port destination contenu dans le paquet n'est pas affecté à une application (code = 4) ;
  • le paquet a été rejeté à cause de son adresse source (code = 5) ;
  • la route vers la destination conduit a un rejet du paquet (code = 6).

Paquet trop grand

Format d'un message ICMP Paquet trop grand
Figure : Format d'un message ICMP Paquet trop grand

Ce message ICMPv6 est utilisé par le protocole de découverte du MTU pour trouver la taille optimale des paquets IPv6 afin qu'ils puissent traverser les routeurs. Ce message contient la taille du MTU acceptée par le routeur pour que la source puisse efficacement adapter la taille des données. Ce champ manquait cruellement dans les spécifications initiales de IPv4, ce qui compliquait la découverte de la taille maximale des paquets utilisables sur l'ensemble du chemin (cf. découverte du PMTU (RFC 1981)). Pour IPv4, le RFC 1191 proposait déjà une modification du comportement des routeurs pour y inclure cette information.

Temps dépassé

Format d'un message ICMP Temps dépassé
Figure : Format d'un message ICMP Temps dépassé

Ce message indique que le paquet a été rejeté par le routeur :

  • soit parce que le champ nombre de sauts a atteint 0 (code = 0) ;
  • soit qu'un fragment s'est perdu et le temps alloué au réassemblage a été dépassé (code = 1).


Ce message sert aussi à la commande traceroute pour déterminer le chemin pris par les paquets.

Erreur de paramètre

Format d'un message ICMP Erreur de paramètre
Figure : Format d'un message ICMP Erreur de paramètre

Ce message est émis par un nœud ayant détecté une erreur de syntaxe dans l'en-tête du paquet IP ou des extensions. Le champ code révèle la cause de l'erreur :

  • la syntaxe de l'en-tête n'est pas correcte (code = 0) ;
  • le numéro en-tête suivant n'est pas reconnu (code = 1) ;
  • une option de l'extension (par exemple proche-en-proche ou destination) n'est pas reconnue et le codage des deux bits de poids fort oblige à rejeter le paquet (code = 2).

Le champ pointeur indique l'octet où l'erreur est survenue dans le paquet retourné.


Pourquoi filtrer avec précaution ICMPv6

Contrairement à une pratique couramment répandue en IPv4, il ne faut jamais filtrer l'ensemble des messages ICMPv6 en entrée d'un réseau (en particulier Paquet trop grand) car cela peut avoir des conséquences néfastes sur le bon fonctionnement du réseau. Supposons que le MTU entre un client et un serveur soit de 1480 octets à cause d'un tunnel IPv6 dans IPv4 et qu'un serveur filtre les messages ICMPv6 (en particulier Paquet trop grand). Le client et le serveur vont échanger des petits paquets pour ouvrir la connexion TCP (SYN, SYN ACK, ACK), puis le client va envoyer une commande HTTP courte (GET /). Le serveur va répondre en envoyant une page complète, si le paquet est trop grand, le routeur va rejeter le paquet et envoyer au serveur un message indiquant que le paquet et trop grand. Si le pare-feux du serveur le filtre, le serveur ne pourra jamais adapter la taille du paquet. On se trouve dans une situation où certains paquets passent (ouvertures de connexion, ping, sessions SSH,...) et d'autres sont bloquées.


Gestion des abonnements sur le lien-local : MLD

Pour offrir un service de distribution multicast, deux composants sont nécessaires : un protocole de gestion de groupe multicast et un protocole de construction d'arbre multicast. Le protocole de gestion de groupe multicast réalise la signalisation entre l'hôte et son routeur d'accès à l'Internet. En IPv6, ce protocole est MLD (Multicast Listener Discovery). Il est utilisé par un routeur de bordure IPv6 pour découvrir la présence de récepteurs multicast sur ses liens directement attachés, ainsi que les adresses multicast concernées.

MLD est un protocole asymétrique qui spécifie un comportement différent pour les hôtes et les routeurs multicast. Toutefois, pour les adresses multicast sur lesquelles un routeur lui-même écoute, il doit exécuter les deux parties du protocole et répondre à ses propres messages.

Comme MLD est un sous-protocole d'ICMPv6, les messages MLD sont des messages ICMPv6 particuliers. Ils sont envoyés avec :

  • une adresse source IPv6 lien-local ;
  • le champ "nombre de sauts" fixé à 1 ;
  • l'option "IPv6 Router Alert" activée.

Cette dernière option est nécessaire afin de contraindre les routeurs à examiner les messages MLD envoyés à des adresses multicast par lesquelles les routeurs ne sont pas intéressés. La version d'origine du protocole MLD (RFC 2710) (que nous appellerons également MLDv1) présente les mêmes fonctionnalités que le protocole IGMPv2 en IPv4.

Trois types de messages sont utilisés. Leur format est donné sur la figure Format générique d'un message ICMP pour MLD:

CS104.gif

  • recensement des récepteurs multicast (type = 130) avec deux sous-types de messages :
  • recensement général émis à l'adresse de diffusion générale sur le lien (FF02::1)
  • recensement spécifique à une adresse multicast, l'adresse de destination est l'adresse multicast du groupe en question
  • rapport d'abonnement multicast (type = 131), l'adresse de destination est l'adresse multicast du groupe en question
  • résiliation d'abonnement multicast (type = 132), émis à l'adresse du groupe multicast "tous les routeurs du lien local" (FF02::2).

Les champs ont la signification suivante :

  • type : prend la valeur 130, 131 ou 132.
  • code : mis à zéro par l'émetteur et ignoré par les récepteurs
  • checksum : celui du protocole ICMPv6 standard, couvrant tout le message MLD auquel s'ajoutent les champs du pseudo-en-tête IPv6
  • délai maximal de réponse :
    • utilisé seulement dans les messages de recensement. Il exprime le retard maximal autorisé (en millisecondes) pour l'arrivée des rapports d'abonnement
    • dans les messages de rapport ou de résiliation d'abonnement ce champ est mis à zéro par l'émetteur et ignoré par les récepteurs
  • inutilisé : mis à zéro par l'émetteur et ignoré par les récepteurs
  • adresse multicast :
    • pour un message de recensement général ce champ est mis à zéro
    • pour un message de recensement spécifique il contient l'adresse multicast en question
    • pour les messages de rapport et de résiliation d'abonnement, le champ contient l'adresse multicast sur laquelle l'hôte souhaite écouter ou cesser d'écouter

Messages de recensement et rapports d'abonnement périodiques MLD

Le routeur envoie régulièrement des messages de recensement général à l'adresse de diffusion générale sur le lien (FF02::1). Les hôtes arment un temporisateur pour chaque adresse multicast qui les concerne. Si un temporisateur expire sans que l'hôte ait entendu une réponse d'un de ses voisins concernant la même adresse, il envoie un rapport d'abonnement à l'adresse multicast du groupe. Ce système de temporisateurs permet aux hôtes de surveiller les rapports des autres hôtes sur le lien et d'annuler leurs propres rapports concernant les mêmes adresses. Ainsi la quantité du trafic MLD peut être minimisée.

Rapports d'abonnements MLD non-sollicités

Les changements d'état des hôtes sont notifiés par des messages non-sollicités :

  • Pour souscrire à une adresse multicast spécifique, un hôte envoie un rapport d'abonnement non-sollicité ;
  • Pour cesser d'écouter sur une adresse multicast, l'hôte peut simplement ne plus répondre aux messages de recensement du routeur. S'il est le seul récepteur de cette adresse multicast sur le lien, après un certain temps l'état du routeur concernant cette adresse expire. Le routeur arrêtera de faire suivre les paquets multicast envoyés à l'adresse en question, s'il s'avère que l'hôte était le dernier concerné par l'adresse multicast sur le lien;
  • La résiliation rapide est aussi une possibilité offerte par MLDv1. L'hôte envoie un message de résiliation d'abonnement à l'adresse multicast de "tous les routeurs du lien local" (FF02::2). Le routeur répond avec un message de recensement spécifique à l'adresse en question. S'il n'y a plus de récepteur pour répondre à ce recensement, le routeur efface l'adresse multicast de sa table de routage.

Il est possible d'avoir plusieurs routeurs multicast sur le même lien local. Dans ce cas un mécanisme d'élection est utilisé pour choisir le routeur recenseur. Celui-ci sera le seul responsable pour l'envoi des messages de recensement.

Découverte des voisins

Cette fonction permet à 2 équipements connectés sur le même réseau de se découvrir l'un et l'autre et d'échanger des informations nécessaire à de futures communications. La découverte des voisins est principalement mise en oeuvre dans 2 cas d'usage :

  • La détermination de l'adresse physique d'un équipement à partir de son adresse IP
  • La détection d'adresses IP dupliquées

Le protocole ICMPv6 assure cette fonction à travers 2 messages : Sollicitation d'un voisin (Neighbor Sollicitation ou NS) et Annonce d'un voisin (Neighbor Advertisment ou NA).


Message Sollicitation d'un voisin

Figure 5-7 Format des paquets de sollicitation d'un voisin

Ce message (cf. figure Format des paquets de sollicitation d'un voisin) permet d'obtenir des informations d'un équipement voisin, c'est-à-dire situé sur le même lien physique (ou connecté via des ponts). Le message peut lui être explicitement envoyé ou émis sur une adresse de diffusion. Dans le cas de la détermination de l'adresse physique, il correspond à la requête ARP du protocole IPv4.

Le champ adresse source du paquet IPv6 contient soit l'adresse locale au lien adresse lien-local, soit une adresse globale, soit l'adresse non spécifiée. Le champ destination contient soit l'adresse de multicast sollicité correspondant à l'adresse recherchée (cf. Identifiant de groupe), soit l'adresse de l'équipement (dans le cas d'une détection d'inaccessibilité des voisins, NUD )

Le champ adresse de la cible contient l'adresse IPv6 de l'équipement cherché. Le champ option contient en général l'adresse physique de la source.


Message Annonce d'un voisin

Figure 5-8 Format des paquets d'annonce d'un voisin

Ce message (cf. figure Format des paquets d'annonce d'un voisin) est émis en réponse à une sollicitation, mais il peut aussi être émis spontanément pour propager une information de changement d'adresse physique, ou de statut «routeur». Dans le cas de la détermination d'adresse physique, il correspond à la réponse ARP pour le protocole IPv4.

  • Le bit R est mis à 1 si l'émetteur est un routeur. Ce bit est utilisé pour permettre la détection d'un routeur qui redevient un équipement ordinaire.
  • Le bit S mis à 1 indique que cette annonce est émise en réponse à une sollicitation.
  • Le bit O mis à 1 indique que cette annonce doit effacer les informations précédentes qui se trouvent dans les caches des autres équipements, en particulier la table contenant les adresses physiques.
  • Le champ adresse de la cible contient, si le bit S est à 1, la valeur du champ adresse de la cible de la sollicitation auquel ce message répond. Si le bit S est à 0, ce champ contient l'adresse IPv6 lien-local de l'équipement émetteur.
  • L'option adresse physique de la cible contient l'adresse physique de l'émetteur.
Personal tools