Revision as of 11:06, 23 April 2015

Activité 13  : Les adresses unicast

Types d'adresse

IPv6 définit trois types d'adresses : unicast, multicast, anycast.

• Le type unicast est le plus simple et désigne une interface unique. Le datagramme sera remis à l'interface identifiée de manière unique par son adresse. La portée d'une adresse unicast peut être
  

- globale : unicité de l'identifiant sur l'ensemble de l'Internet (Global Unicast)
- localement restreinte,: unicité de l'identifiant étendue à un espace privatif limité à un site ou un campus (Unicast Local)
- restreinte à un lien ou domaine de diffusion de type VLAN (Link-Local Unicast).Une adresse de portée locale (site ou lien) ne sera pas routée sur l'internet.

• Une adresse de type multicast désigne un groupe d'interfaces appartenant à différents nœuds pouvant être situés n'importe où sur le réseau. Lorsqu'un datagramme a pour adresse de destination une adresse de multicast, il est acheminé par le réseau à toutes les interfaces appartenant au groupe. IPv6 ne dispose pas d'adresse spécifique de diffusion générale (broadcast) au sens reconnu par IPv4, où le datagramme et reçu par toutes les interfaces du réseau ou du sous réseau et non pas toutes les interfaces de l'interconnexion. Le broadcast IPv4 est toujours restreint (confiné) à un réseau ou sous réseau. En IPv4 le broadcast est "général" et toutes les interfaces sont à l'écoute. En IPv6 la diffusion est beaucoup plus sélective, on peut s'adresser uniquement aux routeurs ou aux serveurs DHCP par exemple. Au niveau local (lien ou site) un groupe IPv6 permet de s'adresser à l'ensemble des interfaces, offrant par là la même fonction que le broadcast restreint d'IPv4.

• Une adresse de type anycast officialise la proposition faite pour IPv4 dans la RFC1546. Comme pour le multicast, une adresse anycast désigne un groupe d'interfaces. La différence est que le réseau va remettre le datagramme anycast à un membre du groupe et non pas à tous comme pour le multicast. La sélection du membre qui réceptionnera le datagramme est à la charge du réseau. Cela peut être le "plus proche" au sens du routage (nombre de sauts, RTD minimal…). Ce type d'adressage est encore l'objet de recherches, et reste pour l'instant essentiellement expérimental.

Identification des types d'adresse

Le type d'une adresse IPv6 est identifié par ses bits de poids fort.

Certains types d'adresses sont caractérisés par leur préfixe RFC 3513. Le tableau suivant (source : [[1]]) donne la liste de ces préfixes. La plage «réservée» du préfixe 0::/8 est utilisée pour les adresses spéciales (adresse indéterminée, de bouclage, mappée, compatible). On notera que plus de 70% de l'espace disponible n'a pas été alloué, ce qui permet de conserver toute latitude pour l'avenir.

Une interface possèdera généralement plusieurs adresses IPv6. En IPv4 ce comportement est exceptionnel, il est banalisé en IPv6.

Les adresses anycast ne sont pas distinguées des adresses unicast de quelque portée (globale, locale, lien) que ce soit.

Structure de l'adresse unicast

Le plan d'adressage agrégé actuellement en vigueur est défini dans la RFC3587. Il s'inspire des recommandations de la politique d'allocation d'adresse des autorités régionales (RIR Régional Internet Registry), définie dans le documents ripe-267 et de la RFC3177 qui est un plaidoyer pour un préfixe de taille fixe de 48 bits.

Les adresses IPv6 peuvent être agrégées avec des préfixes de longueur quelconque, de manière similaire aux mécanismes mis en oeuvre dans les architectures CIDR (Classeless InterDomain Routing) d'IPv4.

Un noeud peut avoir une connaissance minimale de la structuration interne de l'adresse, en fonction de son rôle dans l'interconnexion. Un hôte ou un routeur n'a ainsi pas la même vision de la structure de l'adresse. Au minimum un noeud peut considérer l'adresse unicast comme un simple mot binaire de 128 bits sans aucune structure particulière.

Un premier niveau de hiérarchisation découpe l'adresse en deux parties logiques, un préfixe réseau/sous-réseau, qui sera utilisé pour acheminer le datagramme à travers le réseau, et un identifiant d'interface qui sera utilisé sur le dernier saut pour remettre le datagramme à l'interface de destination.

Différents types d'adresse unicast

L'adresse non spécifiée

L'adresse 0:0:0:0:0:0:0:0 ou ::/128 est définie comme l'adresse non spécifiée. Elle ne doit jamais être affectée à un noeud. Elle indique l'absence d'adresse. Elle est utilisée comme adresse source par les paquets d'initialisation lors de l'auto-configuration d'une station. Elle ne doit jamais être utilisée comme adresse de destination d'un paquet.

L'adresse de bouclage (loopback)

l'adresse unicast 0:0:0:0:0:0:0:1 ou ::1/128 est appelée adresse de bouclage (loopback) et correspond à l'adresse 127.0.0.1 d'IPv4. Elle est utilisée par un noeud pour s'envoyer des paquets à lui même. Elle ne doit jamais être affectée à une interface. Elle est considérée comme ayant une étendue de type lien local et doit être vue comme une adresse unicast de lien local de l'interface virtuelle de bouclage (loopback interface). Elle ne doit jamais être utilisée comme adresse source, ou destination d'un paquet circulant sur le réseau, ou plus exactement un paquet circulant hors de la machine. Un paquet reçu sur une interface avec telle adresse de destination doit être détruit.

Les adresses unicast globales

Il s'agit des adresses globalement routables sur l'Internet V6, elles sont communément qualifiées « d'adresses publiques ». Les adresses unicast globales sont issues du plan d'adressage agrégé, proposée dans le RFC 3587. Elles sont identifiées par le préfixe binaire 0b0010, soit 2000::/3 en notation IPv6; toute adresse IPv6 commençant 2xxx :: ou 3xxx:: est donc une adresse unicast globale.

Le RFC3587 définit la structure d'adressage IPv6 définie dans le RFC 3513 en précisant les tailles de chacun des blocs. Il est géré hiérarchiquement de la même manière que CIDR en IPv4. Une adresse intègre trois niveaux de hiérarchie :

• une topologie publique (appelée Global Prefix) codée sur 48 bits, allouée par le fournisseur d'accès;
• une topologie de site codée sur 16 bits (appelée Subnet ID). Ce champ permet de coder les numéros de sous réseau du site;
• un identifiant d'interface sur 64 bits (appelé Interface ID) distinguant les différentes machines sur le lien.

A part le préfixe 2002::/16 qui est est réservé au mécanisme de transition 6to4, cet espace est géré hiérarchiquement comme pour IPv4. L'IANA délègue aux 5 autorités régionales (RIR) des préfixes actuellement de longueur 12 (cf. [[2]]) qui les redistribuent aux ISP de leur région. Suivant leur taille, les opérateurs reçoivent un préfixe plus ou moins long. Le site [[3]] donne en temps réel les allocations de préfixes par région, opérateur et pays.

Il est maintenant admis que le préfixe attribué par un opérateur à ses clients peut également être un /56. En effet, si l'on garde l'attribution de préfixe de longueur 48 pour les sites terminaux, et que l'on intègre les réseaux domotiques, les opérateurs peuvent justifier d'un besoin important d'adresses que les autorités régionales ne peuvent leur refuser.

Nota : quelques préfixes du plan d'adressage agrégé du RFC 3587 ont un usage réservé.

• préfixe 2002::/16 qui est est réservé au mécanisme de transition 6to4 ;
• préfixe 2001:db8::/32 est réservé pour la documentation. Ces adresses ne sont théoriquement pas routés par les opérateurs sur l'Internet public ;
• préfixe 3ffe ::/16 était les adresses du réseau expérimental 6bone qui a symboliquement été stoppé le 6 juin 2006 (06/06/06). ces adresses sont donc aujourd'hui dépréciées.

Le plan agrégé 2000::/3, a été découpé en plusieurs plages d'adresses qui sont allouées par l'IANA aux différents RIR (registres Internet régionaux). Les RIR gèrent les ressources d'adressage IPv4 et IPv6 dans leur région (au niveau mondial). L'IANA alloue des blocs de taille /23 à /12 dans l'espace unicast global (2000::/3) aux cinq RIR. Ces derniers les allouent à leur tour aux LIR (fournisseur d'accès à internet) sous forme de blocs de taille minimale de /48. Les RIR peuvent choisir de subdiviser leur bloc /23 en 512 blocs /32, typiquement un par LIR. Le LIR peut à son tour assigner 65536 blocs /48 à ses clients, qui disposent alors chacun de 65536 réseaux /64. La plage 2001 ::/16 du plan 0x2::/3 (001) avait été initialement attribuée pour l'adressage agrégé des RIR (Regional Internet Register). Cette plage a ensuite été étendue au fur et à mesure des besoins.

La version actualisée du découpage du plan d'adressage agrégé est disponible auprès de l'IANA ([[4]] )

Exemple concret le plan d'adressage IPv6 de Renater (le réseau national de l'enseignement et de la recherches, fournisseur d'accès de l'enseignement supérieur français) :

Les adresses unicast locales

Il y a deux types d'adresse unicast qui sont utilisées localement.

• Les adresses locales de lien, dites « lien local » (Link Local Address), sont utilisées sur un lien ou sur un même domaine de diffusion de niveau 2 (domaine de « broadcast », c'est à dire VLAN) ;
• les adresses unicast locales uniques (ULA Unique Local unicast Address). sont restreintes à un site unique. (analogues aux adresses privées Ipv4 de la RFC1918). Elles sont couramment appelées adresses privées (à l'inverse des adresses unicast globales dites publiques). Elles sont routables à l'intérieur d'un espace privatif (réseau local de campus, réseau d'entreprise, réseau domestique, ...) mais ne peuvent pas en sortir. Elles sont filtrées par les fournisseurs d'accès et ne peuvent donc pas être routées sur l'Internet public.

Les adresses locales de lien (link local address fe80::/64)

Les adresses lien-local, sont des adresses dont l'étendue de validité est restreinte au lien ou au domaine de diffusion de niveau 2 (domaine de broadcast, VLAN), c'est à dire l'ensemble des interfaces directement connectées (visibles entre elles) sans routeur intermédiaire : par exemple les deux extrémités d'une liaison PPP ou d'un tunnel, ou les machines connectées sur un même domaine de diffusion ethernet. Les adresses lien-local sont automatiquement configurées à l'initialisation de l'interface et permettent la communication entre nœuds voisins. Elles sont utilisées par les protocoles de configuration d'adresse globale, de découverte de voisins et de découvertes de routeurs. Elles doivent être uniques sur leur étendue, un protocole de détection de duplication d'adresse permet de s'en assurer. Par contre la duplication d'une adresse lien-local entre deux liens différents est autorisée.

Un routeur ne doit en aucun cas retransmettre un paquet ayant pour adresse source ou destination une adresse de type lien-local.

La portée restreinte de ces adresses les limite, dans la pratique, à un usage de démarrage automatique (boostrap) et aux mécanismes de configuration automatique. Leur usage ne devrait pas être généralisé dans les applications.

Le préfixe d'identification est fe80 ::/10. L'adresse lien-local a le format suivant : préfixe FE80::/64 accolé au 64 bits de l'identifiant d'interface, généralement dérivée de l'adresse MAC de l'interface ethernet. Cela ne pose pas de problème de respect de le vie privée car, contrairement aux adresses globales, les adresses lien-local ne sortent jamais du réseau où elles sont utilisées.

Nota : Une adresse lien-local (ou multicast) n'indique pas intrinsèquement l'interface de sortie, puisque toutes les interfaces partagent le même préfixe fe80::/10. Il faut donc indiquer de manière explicite sur quelle interface doivent être émis les paquets. Sur certains systèmes d'exploitation (BSD, Mac OS, Windows), il est possible de la spécifier en ajoutant à la fin de l'adresse le nom de l'interface voulue, précédé du caractère "%". Sous Linux, un argument, généralement -I permet de la désigner.

Les adresses locales uniques (Unique Local unicast Addresse, ULA fc00 ::/7)

Le RFC 4193 définit un nouveau format d'adresse unicast : les adresses uniques locales (ULA : Unique Local Address). Ces adresses sont destinées à une utilisation locale. Elles ne sont pas définies pour être routées dans l'Internet public, mais seulement au sein d'une zone limitée (topologie privative) telle qu'un site ou entre un nombre limité de sites. La longueur du préfixe étant de 48 bits, elles peuvent se manipuler comme des adresses globales, avec un identifiant de sous-réseau (SID) sur 16 bits et un identifiant d'interface (IID) sur 64 bits

Les adresses uniques locales sont créées en utilisant un identifiant global (Global ID) généré pseudo-aléatoirement, selon l'algorithme défini dans le RFC. Ces adresses suivent le format suivant :

• Prefix (7 bits) : FC00::/7 préfixe identifiant les adresses IPv6 locales (ULA) ;
• L (1 bit) : Positionné à 1, le préfixe est assigné localement. La valeur 0 est réservée pour une utilisation future ; (dans la pratique les adresses ULA en usage actuellement sont donc identifiées par le préfixe fd00::/8 ;
• Global ID (40 bits) : Identifiant global utilisé pour la création d'un préfixe unique (Globally Unique Prefix) ;
• Subnet ID (16 bits) : Identifiant d'un sous réseau à l'intérieur du site ;
• Interface ID (64 bits) : L'indentifiant d'interface tel que défini dans Identifiant d'interface.

Ce type d'adresse permet d'isoler la numérotation externe et interne. En IPv4, l'utilisation d'un préfixe privé (comme 10/8) évite à un site de renuméroter son réseau s'il change de fournisseur d'accès. Un NAT (que nous appellerons NAT44 dans la suite de ce document) permet de passer de l'adressage privé vers l'adressage public.

Avec les adresses de type ULA, il est possible de reproduire ce comportement en IPv6. Un dispositif en bordure de réseau va convertir le préfixe privé en préfixe public. Cet équipement, initialement appelé NAT66 a été renommé NPTv6 {Network Prefix Translation) car il ne possède pas les mêmes limitations que le NAT d'IPv4.

Comme pour la RFC1918, l'objectif est de permettre un adressage à usage privatif non routé sur l'infrastructure publique. Mais à la différence de la RFC1918, où le risque de collision élevé est problématique en cas de connexion de deux sites utilisant ces adresses (lors de fusions d'entreprises par exemple), il s'agit de générer des préfixes quasi uniques. Dans un espace réservé, FC00::/7, le site qui souhaite des adresses quasi uniques tire un préfixe de 48 bits au hasard, suivant l'algorithme décrit dans le RFC en se basant sur l'heure et une adresse MAC d'une de ses interfaces. La probabilité de collision est donc très faible, vue la taile de l'espace d'adressage d'IPv6.

Ces adresses sont dites locales et ne devraient pas être routées sur l'Internet global. Elles sont routables sur un espace limité tel un site, elles peuvent également être routées entre un nombre limité de sites (sur la même aire interne d'un IGP comme OSPF, ou au travers de tunnels point à point reliant les sites). Elles ont les caractéristiques suivantes

• préfixe globalement unique ( très forte probabilité d'unicité) ;
• un préfixe bien connu FC00::/7 facilitant le filtrage aux frontières du sites ;
• limitation des conflits ou des opérations de réadressage lors de la fusion de sites où l'interconnexion privée de sites ;
• indépendance des préfixes vis à vis des fournisseurs d'accès ou des opérateurs ;
• indépendance vis à vis des applications, elles s'utilisent de la même manière que les adresses unicast globales ;
• en cas de débordement géographique accidentel (mauvaise configuration de l'annonce des routeurs ou des filtres, affichage accidentel dans un DNS public) l'unicité garantit l'absence de conflit avec d'autres adresses.

L'identifiant global de 40 bits ne doit pas être choisi de manière séquentielle ou selon un algorithme permettant de déduire un préfixe en fonction des autres préfixes du site. Il ne doit pas, non plus être choisi par facilité mnémotechnique en « hexspeak » (amusement consistant a générer des jeux de mots pour les codes hexadécimaux en mixant les lettres héxadécimales [a..f] et le chiffres les chiffres 1 (pour 'i' ou 'l') 0(pour 'o') 5(pour 's') 6 ou 9 (pour 'g') 7 (pour 't'). Les plus connus étant BAD:F00D: « bad food », 600D:CAFE « good cafe », DEAD:BEEF « dead beef », ou encore DEFE:CATE:D « ... » et bien d'autres (source [[5]])

Le préfixe de l'adresse Ipv6 locale unique est créée en s'appuyant sur un mécanisme pseudo aléatoire. La RFC4193 propose l'algorithme suivant.

1. Prendre l'heure courante dans le format 64 bits du protocole NTP ;
2. prendre un identifiant EUI-64, au besoin dérivé de l'adresse MAC, de l'une des interfaces de l'équipement générant le préfixe ;
3. concaténer l'heure et l'identifiant d'interface pour créer une clé ;
4. calculer l'empreinte SHA-1 (digest) de 160 bits de cette clé ;
5. prendre les 40 bits de poids faible de l'empreinte comme identifiant global de 40 bits ;
6. préfixer l'identifiant global avec le préfixe fc00::/7, et positionner le bit L (8 ième bit de poids fort) à 1. dans la pratique les préfixes ULA débutent donc par « fd ».

Le script, sous licence libre GPL, développé par Hartmut Goebel, disponible à l'URL [[6]], peut vous générer une série de préfixes conforme en utilisant une des adresses MAC ethernet de votre poste de travail.

Ces préfixes ne devraient pas pouvoir être agrégés. Afin de renforcer la non « routabilité » globale sur l'Internet. Par défaut, l'étendue de ces adresses est globale. Ce qui signifie qu'elles ne souffrent pas de l'ambiguité lévée par l'adresse site-local (qu'est ce qu'un site ?). La limite de « routabilité » est fixée au site et à toutes les routes explicitement définies avec d'autres sites privés (soit dans la même aire d'IGP, soit au travers de tunnels). Pour les protocoles de routage extérieur (EGP Exterior Gateway Protocol, tel BGP) mis en oeuvre par les fournisseurs d'accès, la consigne est d'ignorer la réception et l'annonce de préfixes FC00::/7.