of 83/83
2008, Edgard Jamhour IPv6 (Parte 1: Protocolo e Serviços Básicos) Edgard Jamhour

2008, Edgard Jamhour IPv6 (Parte 1: Protocolo e Serviços Básicos) Edgard Jamhour

  • View
    109

  • Download
    3

Embed Size (px)

Text of 2008, Edgard Jamhour IPv6 (Parte 1: Protocolo e Serviços Básicos) Edgard Jamhour

  • Slide 1
  • Slide 2
  • 2008, Edgard Jamhour IPv6 (Parte 1: Protocolo e Servios Bsicos) Edgard Jamhour
  • Slide 3
  • 2008, Edgard Jamhour Problemas do IP Verso 4 Crescimento do IPv4 07/2007490 milhes de hosts 01/2008542 milhes de hosts IPv4 permite enderear 32 bilhes de hosts. PREVISO DE ESGOTAMENTO = 1994
  • Slide 4
  • 2008, Edgard Jamhour Previso do Esgotamento IPv4 A anlise da alocao de endereos IPv4 feita em blocos /8 Todo o espao de endereamento da Internet pode ser dividido em 256 blocos /8.
  • Slide 5
  • 2008, Edgard Jamhour Distribuio da Alocao Uma parte dos endereos no pode ser utilizada no modo unicast. Endereos podem ter sido atribudos, mas ainda no anunciados pelo BGP
  • Slide 6
  • 2008, Edgard Jamhour Crescimento da Alocao IPv4 (www.nro.net)
  • Slide 7
  • 2008, Edgard Jamhour Alocao de Endereos IPv6 (www.nro.net)
  • Slide 8
  • 2008, Edgard Jamhour Previso de Esgotamento Novas alocaes da IANA: 2012 Esgotamento de todos os endereos j alocados: 2018
  • Slide 9
  • 2008, Edgard Jamhour Solues Alternativas Esgotamento do espao de endereamento pelo uso de classes. CIDR (Classless Inter Domain Routing) Reduziram a presso por IPs mas aumentam em demasia as tabelas de roteamento dos backbones na Internet. Endereos IPv4 privados podem ser utilizados apenas por clientes. Novas aplicaes esto aumentando a necessidade de mais endereos IPv4 para servidores.
  • Slide 10
  • 2008, Edgard Jamhour Problemas de Arquitetura AB C D E FG I J H EGP SISTEMA AUTNOMO 1 SISTEMA AUTNOMO 2 IGP Conhece todas as rotas da Internet Conhece apenas as rotas no interior do AS M L 216.1.2.0/24 220.2.1.0/24 prefixo: 220.2.0.0/16 prefixo: 216.1.2.0/16 CPE
  • Slide 11
  • 2008, Edgard Jamhour Crescimento das Entradas BGP
  • Slide 12
  • 2008, Edgard Jamhour Exemplo de Roteador de Borda Roteadores de borda atuais precisam suportar aproximadamente: 222.000 rotas (junho 2007) Mais 50% para rotas privadas de clientes A fim de processar essas rotas sem grande atraso na propagao dos pacotes os roteadores precisam: Muita memria de acesso rpido Alta capacidade de processamento Roteadores com essa capacidade podem ter custos superiores a U$ 50K.
  • Slide 13
  • 2008, Edgard Jamhour IPv6 IPv6: Internet Protocolo, verso 6. Tambm denominado IPng (ng: next generation) Caractersticas: 1.Endereamento hierrquico, baseados em prefixos, permite manter as tabelas de roteamento pequenas e roteamento eficiente no backbone. 2.Mecanismos de autoconfigurao de interfaces de rede. 3.Suporte ao encapsulamento de si mesmo e dos outros protocolos.
  • Slide 14
  • 2008, Edgard Jamhour Caractersticas do IPv6 4. Classe de servio para distinguir o tipo de dados. 5. Suporte a roteamento multicast aperfeioado. 6. Autenticao e criptografia embutidas. 7. Mtodos de transio para migrar para IPv4. 8. Mtodos de compatibilidade para coexistir e comunicar com IPv4.
  • Slide 15
  • 2008, Edgard Jamhour Datagrama IPv6 IPv6 utiliza um formato de datagrama completamente diferente do IPv4. O cabealho do IPv6 composto de duas partes: um cabealho de tamanho fixo zero ou mais cabealhos de extenso Cabealho Base Cabealho Extenso Dados... Cabealho Extenso tamanho fixotamanho fixo ou varivel Cabealho Com todos as funes IPv6 DADOS IPv4
  • Slide 16
  • 2008, Edgard Jamhour Cabealho IPv6 A figura abaixo mostra a poro fixa do cabealho IP. O cabealho IPv6 tem menos campos que o IPv4 No total, o IPv6 utiliza um cabealho de 40 bytes. VersionByte DS Flow Label Payload lengthNext HeaderHop Limit Source Address (16 bytes) Destination Address (16 bytes) byte 1byte 2byte 3byte 4
  • Slide 17
  • 2008, Edgard Jamhour Cabealho IPv6 Version (4 bits) Contm o nmero fixo 6. Ser utilizado pelos roteadores e demais hosts para determinar se eles podem ou no transportar o pacote. IPv4 IPv6 O roteador analisa o campo de verso para determinar como o restante do cabealho deve ser interpretado.
  • Slide 18
  • 2008, Edgard Jamhour Cabealho IPv6 O campo TOS (8bits) foi renomeado para: byte DS. Este campo formado da seguinte maneira: DSCP (Differentiated Services CodePoint) 6 bits (classe de trfego para o pacote) ECN: Explicit Congestion Notification (experimental) 2 bits (reservado) DSCP (6 bits) ENC (2 bits) BYTE DS
  • Slide 19
  • 2008, Edgard Jamhour Controle de Fluxo Flow Label (20 bits) Permite identificar 1 milho de conexes entre 2 pares de IP. Permite controlar a banda associada a uma conexo. O tratamento dado a uma conexo dever ser pr-definido em cada roteador que participar da rota do datagrama, previamente a comunicao. IPA IPB FL=1 FL=2 No IPv6 os roteadores podem diferenciar as conexes.
  • Slide 20
  • 2008, Edgard Jamhour Cabealho IPv6 Payload Lenght (16 bits) Indica quantos bytes seguem o cabealho fixo de 40 bytes. O valor zero no caso do jumbograma. Next Header (8bits) Se houver cabealhos de extenso, indica o seu tipo. Atualmente so definidos 6 tipos de cabealho de extenso Se no houverem, indica o cabealho de transporte. Hop Limit (8 bits) Equivalente ao Time to Live do IPv4.
  • Slide 21
  • 2008, Edgard Jamhour Cabealhos de Extenso 6 tipos de cabealhos de extenso esto definidos atualmente: Hop-by-hop options (0): informaes para analisadas pelos roteadores Routing (43) rota completa ou parcial que a mensagem deve seguir Fragmentation (44) Gerenciamento de fragmentos de datagrama Authentication (51) Verificao da identidade do transmissor Encrypted security payload (50) Informao sobre o contedo criptografado Destination options (60) Analisadas apenas pelos computadores. Sem prximo cabealho (59)
  • Slide 22
  • 2008, Edgard Jamhour Comparao com IPv4 Os seguintes campos do IPv4 foram eliminados do cabealho bsico IPv6: Identificao, Flags de Fragmentao e Deslocamento de Fragmento. O TCP tende a eliminar a fragmentao de datagramas. Quando necessrio pode ser definido num cabealho de extenso. O IPv6 especifica uma MTU de 576 bytes ou mais. Checksum de Cabealho Eliminado para reduzir a carga na CPU dos roteadores. Pode ser implementado pelo TCP ou pelo cabealho de autenticao. Tipo de Servio (TOS) Substitudo pelo conceito de fluxo
  • Slide 23
  • 2008, Edgard Jamhour Cabealhos de Extenso Os datagramas IPv6 podem ter 0 ou vrios cabealhos de extenso, conforme mostra o exemplo abaixo: cabealho base NEXT = TCP segmento TCP cabealho base NEXT = ROUTE cabealho ROUTE NEXT=TCP segmento TCP cabealho base NEXT = ROUTE cabealho AUTH NEXT=TCP segmento TCP cabealho ROUTE NEXT=AUTH cabealho base NEXT = IPv6 (41) Cabealho IPv6
  • Slide 24
  • 2008, Edgard Jamhour Hop-by-hop Header Define opes sobre o datagrama transportado, que todos os roteadores devem analisar (todos os ns IPv6, incluindo o destino). Formato dos cabealhos de extenso: T-L-V (Type Length Value) Tamanho varivel Type (8 bits): XX Y ZZZZZ XX: indica como um n IPv6 que no reconhece a opo deve proceder. Ignorar, Descartar em Silncio, Descartar enviando ICMP Y: se a opo muda ou no ao longo do trajeto. Se muda, no incluir no checksum ZZZZZ: bits que definem a opo E.G. Exemplo de opo: 194 (Jumbograma) Suportar datagramas com mais de 64K
  • Slide 25
  • 2008, Edgard Jamhour Exemplo: Jumbograma Next Header 194 Jumbo payload length 1 byte 0 tamanho do datagrama, valor superior a 64k (at 4 Gbytes) indica a opo jumbograma indica o tamanho do cabealho de extenso (menos 8 bytes que so mandatrios) indica o tipo de cabealho de extenso (hop by hop) 4 1 byte Tamanho do campo valor, em bytes.
  • Slide 26
  • 2008, Edgard Jamhour Destination Options Header Permite passar informaes que devem ser interpretadas apenas pelo destinatrio. destinado para suportar o desenvolvimento de novos softwares sem causar problemas com os roteadores existentes. Essa opo permitir a criao flexvel de novos protocolos de roteamento (para os roteadores) e novos protocolos entre usurios finais. Next Header opcoes opces 1 byte Length 2 bytes seqncia de opes individuais.
  • Slide 27
  • 2008, Edgard Jamhour Routing Header Indica um ou mais roteadores que devem compor o caminho do pacote at o destinatrio. o caminho completo pode ser especificado (strict routing) o caminho parcial pode ser especificado (loose routing) Prximo Cabealho Tipo (0) 1 byte Tamanho do Cabealho Nmero de saltos restantes (mximo de 23) Endereos Restantes Bit map 1 24 endereos 1 byte indica se cada endereo pertence a uma rota strict ou loose.
  • Slide 28
  • 2008, Edgard Jamhour Roteamento A B C D E 5-ABCDE-00000 4-ABCDE 3-ABCDE 2-ABCDE 1-ABCDE 0-ABCDE A B C D E 3-ACE-111 2-ACE 1-ACE 0-ACE strict routing loose routing
  • Slide 29
  • 2008, Edgard Jamhour Fragmentation Header A fragmentao no IPv6 funciona de maneira similar ao IPv4. Ao contrrio do IPv4, o IPv6 s permite efetuar a fragmentao na origem. Os roteadores no podem fragmentar os pacotes. Se o pacote for muito grande para ser colocado num quadro, ele descartado pelo roteador e uma mensagem ICMP enviada de volta ao cliente. Next Header Fragment Offset 1 byte Reservado res Datagram Identification 13 bits1 bit indica se o ltimo fragmento ou no. MF 1 bit indica a posio do fragmento (mltiplo de 8 bytes).
  • Slide 30
  • 2008, Edgard Jamhour Autenticao e Criptografia A especificao do IPv6 determina que as extenses de segurana IPsec so mandatrias. Essas extenses de segurana permitem: Autenticar quem enviou o pacote para o receptor. Gerenciar a criptografia dos dados. Adicionalmente, o IPsec determina a utilizao do IKE (Internet Key Exchange) para criao automtica de associaes de segurana entre hosts IPv6.
  • Slide 31
  • 2008, Edgard Jamhour Tipos de IPSec IP Autentication Header (AH) Protocolo 51 Oferece recursos de: Autenticao Integridade IP Encapsulating Security Payload (ESP) Protocolo 50 Oferece recursos de: Confidencialidade Autenticao Integridade
  • Slide 32
  • 2008, Edgard Jamhour Protocolo AH Definido pelo protocolo IP tipo 51 Utilizando para criar canais seguros com autenticao e integridade, mas sem criptografia. Permite incluir uma assinatura digital em cada pacote transportado. Protege a comunicao pois atacantes no conseguem falsificar pacotes assinados.
  • Slide 33
  • 2008, Edgard Jamhour AH e Modo Tnel e Modo Transporte IP TCP/UDPDADOS IPTCP/UDPDADOSAH IPTCP/UDPDADOSAHIP IPv6 IPv6 com autenticao IPv6com autenticao e tunelamento Especifica os Gateways nas Pontas do Tunnel Especifica os Computadores IP Normal Modo Transporte Modo Tunel
  • Slide 34
  • 2008, Edgard Jamhour Authentication Header Next Headerreserved 1 byte Lengthreserved SPI: Security Parameter Index Authentication Data (ICV: Integrity Check Value) Campo de Tamanho Varivel, depende do protocolo de autenticao utilizado 1 byte Prov servios de autenticao e Integridade de Pacotes. Sequence Number
  • Slide 35
  • 2008, Edgard Jamhour Authentication Header Permite identificar para o receptor de um datagrama quem foi que o enviou. Length: comprimento do cabealho em mltiplos de 32. Security Parameter Index: identificador de 32 bits, com a SA compartilhada pelo transmissor e pelo receptor. Authentication Data: Checksum de 32 bits gerado pelo MD5 (ou outro protocolo) Next Headerreserved 1 byte Lengthreserved Security Parameter Index Authentication Data 1 byte More Data
  • Slide 36
  • 2008, Edgard Jamhour Campos do IPsec AH Next Header: Cdigo do protocolo encapsulado pelo IPsec, de acordo com os cdigos definidos pela IANA (UDP, TCP, etc...) Length: comprimento do cabealho em mltiplos de 32. Security Parameter Index: identificador de 32 bits, com a SA compartilhada pelo transmissor e pelo receptor. Authentication Data: Cdigo de verificao de integridade (ICV) de tamanho varivel, depende do protocolo utilizado.
  • Slide 37
  • 2008, Edgard Jamhour Authentication Data Para enviar um pacote: 1.O transmissor constri um pacote com todos os campos IP e protocolos das camadas superiores. 2.Ele substitui todos os campos que mudam ao longo da transmisso com 0s (por exemplo, o TTL) 3.O pacote completado com 0s para se tornar mltiplo de 16 bits. 4.Um checksum criptogrfico computado para concatenao: Algoritmos: HMAC-MD5 ou HMAC-SHA-1 MAC: Message Authentication Code
  • Slide 38
  • 2008, Edgard Jamhour Autenticao Para receber um pacote: 1.O receptor utiliza o SPI para determinar qual o algoritmo a ser utilizado para validar o pacote recebido. 2.O receptor substitui os campos mutveis por 0 e calcula o checksum criptogrfico do pacote. 3.Se ele concordar com o checksum contido no cabealho do pacote de autorizao, ele ento aceito. IPTCP/UDPDADOSAH Algoritmo de Integridade ICV iguais?
  • Slide 39
  • 2008, Edgard Jamhour HMAC h = funo de hashing (MD5 ou SHA1) k = chave secreta ipad = 0x363636... 3636 opad = 0x5c5c5... c5c5c
  • Slide 40
  • 2008, Edgard Jamhour Security Association Uma vez definida uma poltica comum a ambos os computadores, uma associao de segurana (SA) criada para lembrar as condies de comunicao entre os hosts. Isso evita que as polticas sejam revistas pelo IPsec a cada novo pacote recebido ou transmitido. Cada pacote IPsec identifica a associao de segurana ao qual relacionado pelo campo SPI contido tanto no IPsec AH quanto no IPsec ESP.
  • Slide 41
  • 2008, Edgard Jamhour Associao de Segurana SA: Associao de Segurana Contrato estabelecido aps uma negociao que estabelece como uma comunicao IPsec deve ser realizada. Algoritmo de Autentica/Criptografia Chave de Sesso SPI: Secure Parameter Index Nmero inteiro (32 bits) que identifica um SA. transmitido junto com os pacotes IPsec para permitir ao destinatrio validar/decriptografar os pacotes recebidos.
  • Slide 42
  • 2008, Edgard Jamhour Security Association (SA) Dois computadores podem possuir um conjunto amplo de polticas para transmisso e recepo de pacotes. necessrio encontrar uma poltica que seja comum ao transmissor e ao receptor. A B Eu transmito para qualquer rede sem IPsec Eu transmito para qualquer rede em IPsec AH MD5 Eu aceito pacotes de qualquer rede em com IPsec AH MD5 Eu transmito para qualquer rede em IPsec AH MD5 Eu transmito para qualquer rede em IPsec AH SHA1 Eu aceito pacotes de qualquer rede em com IPsec AH MD5 Eu aceito pacotes de qualquer rede em com IPsec AH SHA1
  • Slide 43
  • 2008, Edgard Jamhour Campos do IPsec AH Sequence Number: Numero incremental, que comea a contagem quando o SA criada. Permite que apenas 2 32 -1 pacotes sejam transmitidos na mesma SA. Aps esse nmero, uma nova SA deve ser criada. Host A Host B negociam SA e definem SPI SPI=deAparaB e SN=1 SPI=deAparaB e SN=2... SPI=deBparaA SPI=daAparaB. SPI=deAparaB SPI=deBparaA SPI=deBparaA e SN=1
  • Slide 44
  • 2008, Edgard Jamhour Transmisso dos Dados A B Quando transmitir para B use SPI=5 SPI=5 algo. SHA1 chave: xxxx SPI=5 algo. SHA1 chave: xxxx IP AH DADOS SPI=5assinatura Algo SHA1 IP AH DADOS SPI=5assinatura Algo SHA1 assinatura comparao
  • Slide 45
  • 2008, Edgard Jamhour AH Modo Tunel e Transporte SA INTERNE T SA INTERNET SA Conexo IPsec em modo Tnel IPsec AH Conexo IPsec em modo Transporte IPsec AH IP
  • Slide 46
  • 2008, Edgard Jamhour Protocolo ESP Definido pelo protocolo IP tipo 50 Utilizando para criar canais seguros com autenticao, integridade e criptografia. Alm da criptografia, permite incluir uma assinatura digital em cada pacote transportado. Protege a comunicao pois atacantes no conseguem falsificar pacotes assinados e criptografados.
  • Slide 47
  • 2008, Edgard Jamhour ESP IPSec : Tunel e Transporte TCP UDP DADOSESP HEADER ESP TRAILER ESP AUTH criptografado autenticado TCP UDP DADOSIP TCP UDP DADOSESP HEADER ESP TRAILER ESP AUTH criptografado autenticado IP MODO TRANSPORTE MODO TUNNEL
  • Slide 48
  • 2008, Edgard Jamhour Encrypted Security Payload Header ESP prov recursos de autenticao, integridade e criptografia de pacotes. Next HeaderPad (0 255 bytes) 1 byte Pad Length Security Parameter Index Encrypted Payload (dados criptografados) 1 byte Sequence Number Authentication Data (tamanho varivel) HEADER TRAILER AUTH
  • Slide 49
  • 2008, Edgard Jamhour Encrypted Security Payload Header A transmisso de dados criptografados pelo IPv6 feita atravs do cabealho Encrypted Security Payload. a chave de criptografia utilizada definida pelo campo Security Parameter Index. o algoritmo de criptografia pode ser qualquer, mas o DES Cipher- Block Chainin o default. Next Headerreserved 1 byte Lengthreserved Security Parameter Index Encrypted Payload (dados criptografados) 1 byte
  • Slide 50
  • 2008, Edgard Jamhour Campos do IPsec ESP Header: SPI e Sequence Number: Mesmas funes do AH O algoritmo de criptografia pode ser qualquer, mas o DES Cipher-Block Chaining o default. Trailler: Torna os dados mltiplos de um nmero inteiro, conforme requerido pelo algoritmo de criptografia. O trailler tambm criptografado. Auth: ICV (Integrity Check Value) calculado de forma idntica ao cabealho AH. Este campo opcional.
  • Slide 51
  • 2008, Edgard Jamhour Transmisso dos Dados A C Quando transmitir para C use SPI=6 SPI=6 algo. DES chave: yyyyy SPI=6 algo. DES chave: yyyy IP ESP DADOS CRIPTO. SPI=6 DES com chave yyyy ESP enchimento IP ESP DADOS CRIPTO. SPI=6 DES com chave yyyy ESP enchimento
  • Slide 52
  • 2008, Edgard Jamhour ESP Modo Tunel e Transporte SA INTERNE T SA INTERNET SA Conexo IPsec em modo Tnel IPsec ESP Conexo IPsec em modo Transporte IPsec ESP IP
  • Slide 53
  • 2008, Edgard Jamhour Configurao do IPsec Cada dispositivo de rede (Host ou Gateway) possui uma poltica de segurana que orienta o uso de IPsec. Uma poltica IPsec formada por um conjunto de regras, muito semelhantes as regras de um firewall. As polticas IPsec so definidas de maneira distinta para os pacotes transmitidos e para os pacotes recebidos.
  • Slide 54
  • 2008, Edgard Jamhour Estrutura Geral do IPsec Enlace IP/IPsec(AH,ESP) Transporte (TCP/UDP) Sockets Protocolo Aplicao Aplicao IKE Base de SAs Base de Polticas consulta refere consulta Administrador configura Solicita criao do SA
  • Slide 55
  • 2008, Edgard Jamhour Endereos IPv6 Definido pela RFC 2373 IPv6 Addressing Architecture Exemplo de Endereo IPv6: FE80:0000:0000:0000:68DA:8909:3A22:FECA endereo normal FE80:0:0:0:68DA:8909:3A22:FECA simplificao de zeros FE80 ::68DA:8909:3A22:FECA omisso de 0s por :: (apenas um :: por endereo) 47::47:192:4:5 notao decimal pontuada ::192:31:20:46 endereo IPv4 (0:0:0:0:0:0:0:0:192:31:20:46)
  • Slide 56
  • 2008, Edgard Jamhour Categorias de Endereo IPv6 Unicast: O destinatrio um nico computador. Anycast: O endereo de destino define um grupo de hosts. O pacote entregue para qualquer um deles (o mais prximo) Multicast: O destinatrio um grupo de computadores, possivelmente em redes fsicas distintas.
  • Slide 57
  • 2008, Edgard Jamhour Categorias de Endereo unicast anycast multicast OU
  • Slide 58
  • 2008, Edgard Jamhour Reserved Allocation 0::/8 1/256 Prefix (hexa) Fraction of Address Space Unassigned NSAP Allocation 200::/7 1/128 IPX Allocation 400::/7 1/128 Unassigned Aggregatable Global Unicast Addresses 2000::/3 1/8 Unassigned Link Local Unicast Addresses. FE80::/10 1/1024 Site Local Unicast Addresses FEC0::/10 1/1024 Multicast Addresses FF00::/81 1/256 Total Alocado 15% Classes de Endereo IPv6
  • Slide 59
  • 2008, Edgard Jamhour Endereos Unicast Especiais Loopback: ::1 No especificado (todos os bits iguais a 0) :: Compatvel com IPv4 (prefixo de 96 bits 0) ::AB:CD equivalente a A.B.C.D (e.g. ::0102:0304) Mapeado (prefixo de 80 bits 0) ::FFFF: Permite que hosts IPv6 falem com servidores IPv4 (eg. ::FFFF:0102:0304) Local ao Enlace: Endereos de rede fsica ou enlace (privado no roteveis) Local ao Site: Endereos de redes privada (privado roteveis)
  • Slide 60
  • 2008, Edgard Jamhour Aggregatable Global Unicast Especificado pela RFC 2374 Endereamento com trs nveis hierrquicos Topologia PblicaTopologia Site Interface Site Rede Organizao Individual
  • Slide 61
  • 2008, Edgard Jamhour TLA ID NLA IDSLA ID Interface ID 313 191664 13 FP 001 Sub -TLA Aggregatable Global Unicast FP: Format Prefix (AGGR) TLA ID: Top Level Aggregation Identifier NLA ID: Next Level Aggregation Identifier SLA ID: Site Level Aggregation Identifier Interface ID: Link Level Host Identifier AGGR Organizao BACKBONE SITE TLA BACKBONE NLA Organizao SLA global routing prefix
  • Slide 62
  • 2008, Edgard Jamhour Arquitetura Internet IPv4 X IPv6 O IPv6 prev 8192 TLA, correspondentes as entradas nas tabelas de roteamento dos roteadores de mais alto nvel. A alocao de endereos est sendo feita atravs de blocos menores, denominados sub-TLAs Cada sub-TLA pode controlar at 2 19 organizaes (524288 organizaes). Cada organizao pode ter at 2 16 sites (64K sub-redes).
  • Slide 63
  • 2008, Edgard Jamhour Backbone IPv6 6bone www.6bone.net Backbone experimental, Organizado pelo IETF. Conta com participantes do mundo todo. TLA: 3FFE::/16
  • Slide 64
  • 2008, Edgard Jamhour Endereos de Multicast IPv6 O formato de endereos Multicast IPv6: PF: valor fixo (FF) Flags: 0000 endereo de grupo dinmico 1111 endereo de grupo permanente Escopo: 1: n local, 2: enlace local, 5: site local, 8: organizao 14: global. FlagsID de Grupo 8 44 PF Escopo 112
  • Slide 65
  • 2008, Edgard Jamhour Endereos Multicast Especiais RFC 2375 FF01::1: todas as interfaces do n (host) FF02::1: todos os ns do enlace (rede local) FF01::2 todos os roteadores locais ao n FF05::2 todos os roteadores do site FF02::B agentes mveis locais ao enlace FF02::1:2 agentes DHCP do enlace FF05::1:3 servidores DHCP do site FF02::1::FFxx:xxxx endereo de n solicitado (formado com os 24 bits de endereo unicast do host).
  • Slide 66
  • 2008, Edgard Jamhour ICMPv6 As funes do protocolo ICMP foram estendidas no IPv6. O ICMPv6 (RFC 1885: Internet Control Message Protocol for IPv6) recebeu tambm as funes: De controle das informaes de grupos Multicast (feitas pelo IGMPv4) Da resoluo de endereos IPv6 (feitas pelo ARP) As funes do ICMPv6 tambm esto descritas na RFC 2461 (Neighbor Discovery for IPv6)
  • Slide 67
  • 2008, Edgard Jamhour Mensagens ICMP Identificadas como Next Header = 58 Tipo: 0 a 127: erro Destino inalcanvel, pacote muito grande, TTL excedido, problema de parmetro 128 a 362: informativas Echo request, Echo response, Consulta de Adeso ao Grupo, Relatrio de Adeso a Grupo, Reduo de Adeso ao Grupo, Solicitao de Roteador, Anncio de Roteador, Solicitao de Vizinho, Mensagem de Redirecionamento, etc. Cdigo Corpo da Mensagem 8816 TipoChecksum
  • Slide 68
  • 2008, Edgard Jamhour Descoberta de Vizinho O ICMPv6 permite ao host IPv6 descobrir outros hosts IPv6 e roteadores em seu enlace. Esse mecanismo permite tambm ao roteador redirecionar o host para outro roteador caso ele no seja a melhor escolha para rota. Essa funo tambm existe no IPv4. A descoberta de vizinhos permite tambm ao host determinar a cada instante se o destinatrio continua acessvel (NUD: neighbor unreachability detection).
  • Slide 69
  • 2008, Edgard Jamhour Resoluo de Endereos Host A IP FE80::0800:5A12:3456 MAC 08005A123456 Host B IP FE80::0800:5A12:3458 MAC 08005A123458 Host C IP FE80::0800:5A12:3457 MAC 08005A123457 Host D IP FE80::0800:5A12:3459 MAC 08005A123459 Ethernet
  • Slide 70
  • 2008, Edgard Jamhour Neighbor Solicitation Comunicao de A para B A envia uma mensagem de neighbor solicitation Campos do IP Prximo 58 (ICMP) Saltos (255) IP Destino (endereo de n solicitado: multicast) ICMP Tipo 135 (Neighbor Solicitation) Endereo Alvo: IP do destinatrio MAC de origem
  • Slide 71
  • 2008, Edgard Jamhour Neighbor Adverstisement B envia para A um Neigbor Adverstisement Campos do IP Prximo 58 (ICMP) Saltos (255) IP Destino (endereo de n A) ICMP Tipo 136 (Neighbor Adverstisement) Endereo Alvo: IP de B MAC de origem (o MAC de B) Flags RSO (3 bits) R Flag Roteador: A resposta foi de um roteador S Flag Solicitado: O anncio resposta a uma solicitao. 0 Flag SobreEscrito: Solicitao de Atualizao da Cache de MAC enviada espotaneamente pelo HOST B.
  • Slide 72
  • 2008, Edgard Jamhour Descoberta de Roteador e Prefixo Os roteadores enviam mensagens periodicamente mensagens ICMP denominadas Router Advertisements (configurado no roteador) Essas mensagens permitem: Descoberta de Prefixo Permite ao host determinar qual o intervalo de endereos IP dos hosts da mesma LAN que ele. Descoberta de Roteador Permite ao host determinar, quando o destinatrio no pertence a sua rede, para qual roteador o pacote deve ser enviado.
  • Slide 73
  • 2008, Edgard Jamhour Router Advertisement Campos do IP: Next Header: 58 (ICMP) Saltos: 255 Endereo de Destino: Multicast Especial (todos os ns do enlace): FF02:1 Campos do ICMP: Tipo: 134 (router adverstisement) Flags: M e O: Utilizados na configurao de endereos sem estado. Tempo de Vida do Roteador Tempo em ms que o roteador deve ser considerado disponvel sem outra mensagem de router adverstisement.
  • Slide 74
  • 2008, Edgard Jamhour Router Advertisement Campos do ICMP (continuao): Tempo de Vida do Roteador Tempo em ms que o roteador deve ser considerado disponvel sem outra mensagem de router adverstisement. Tempo Atingvel Configura os hosts com o tempo em ms que os hosts podem guardar as respostas de vizinhos na cache. Tempo de Restransmisso Configura os hosts com o tempo em ms que eles devem aguardar para retransmitir as mensagens de solicitao de vizinho quando no h resposta. Opo 1: MAC do roteador Opo 2: MTU do enlace Opo 3: Prefixo para o Enlace
  • Slide 75
  • 2008, Edgard Jamhour Router Solicitation Um host que queira descobrir um roteador acessvel no enlace sem aguardar a prxima mensagem de router advertisement pode enviar uma mensagem de router solicitation. Essa mensagem ICMP (tipo 133) enviada ao endereo de multicast: Todos os roteadores do enlace: FF02::2 O roteador que recebe a mensagem responde com uma mensagem de router advertisement diretamente para o n solicitante.
  • Slide 76
  • 2008, Edgard Jamhour Redirecionamento Pelas mensagens de router advertisement um host pode aprender sobre a existncia de mais de um roteador na rede. Nesse caso, quando ele envia a mensagem ele pode escolher o roteador errado (como gateway default). Se o roteador no for o melhor posicionado para fazer a entrega ele envia uma mensagem Redirect (ICMP tipo 137) informando ao host sobre a existncia de uma rota melhor para o destino. Ao receber a mensagem, o host atualiza sua tabela de roteamento. A 12 B Router adverstisement
  • Slide 77
  • 2008, Edgard Jamhour Autoconfigurao de IP sem Estado Atribuio automtica de IP na inicializao de uma interface pode ser feita de duas formas. Stateful: via DHCP Stateless: via ICMPv6 (RFC 1971) O processo stateless envolve os seguintes passos: 1. O host cria um endereo de enlace local: FE80::/10 combinando com seu endereo MAC 2. O host verifica se o endereo j existe com uma mensagem de neighbor advertisement. Se j existir, a autoconfigurao falhou. 3. O host envia mensagens de solicitao de roteador, se nenhum responder, o host tenta DCHP, se nenhum responder, ele se comunica apenas no interior do enlace.
  • Slide 78
  • 2008, Edgard Jamhour Autoconfigurao de IP sem Estado (continuao) 4. Se o host receber uma mensagem de router advertisement: Se o flag M estiver setado (endereo gerenciado): O n deve solicitar seu endereo via DHCP Se o flag O estiver setado (outras configurao de estado): O n deve obter tambm as demais informaes de configurao de rede via DHCP. Se o flag A estiver setado O host autoconfigura seu endereo sem DHCP Opo de Prefixo: Se o flag A estiver setado, o host reconstri seu endereo utilizando o prefixo recebido e seu endereo MAC.
  • Slide 79
  • 2008, Edgard Jamhour DNS no IPv6 Foram definidas extenses no DNS para suportar IPv6 (RFC 1886). As extenses definem: Um registro AAAA para mapear host IPv6 em nomes de domnio. Um novo domnio para consultas do tipo endereo-domnio (zona reversa registros PTR). Mudana nas consultas existentes para efetuar processamento correto das consultas A e AAAA.
  • Slide 80
  • 2008, Edgard Jamhour Zona IPv6 Reversa Por exemplo, se o host www6.ppgia.pucpr.br possui o endereo: 222:0:1:2:3:4:5678:9ABC A entrada no arquivo de zona reversa ser: C.B.A.9.8.7.6.5.4.0.0.0.3.0.0.2.0.0.1.0.0.0.0.0.0.0.2.2.2.2.IPv6.INT PTR www6.ppgia.pucpr.br.
  • Slide 81
  • 2008, Edgard Jamhour Mudana no Formato dos Registros O formato hierrquico de endereos IPv6 permite que uma organizao troque de prefixo de pblico (TLA ou NLA) sem grandes alteraes na rede. Todavia, utilizando a construo dos arquivos de zona padro, a atualizao das entradas dos arquivos de zona no caso da mudana de prefixo seria muito grande. Por isso uma nova proposta de representao de nomes de domnio associada a prefixos foi definida para o IPv6 : RFC 2874: DNS Extensions to Support IPv6 Address Aggregation and Renumbering
  • Slide 82
  • 2008, Edgard Jamhour Definio do Registro AAAA Um entrada de registro AAAA seria definida da seguinte maneira: Domino do Host AAAA Endereo IPv6 P Nome de Domnio do Prefixo Onde: O endereo IPv6 contm apenas os bits de menor ordem que independem do prefixo. P o tamanho do prefixo.
  • Slide 83
  • 2008, Edgard Jamhour Exemplo (ip6.top1.com) TLA: 2111/16 (ip6.prov1.com) NLA: 00AB/32 (ip6.ppgia.pucpr.br) 00A1/16 TLA ID NLA IDSLA ID Interface ID 3 13 19166413 FP 001 SUB TLA ID (www6) Interface: 0000:1000:5A12:3456 (ip6.top2.com) TLA: 2122 (ip6.prov2.com) NLA: 00BC (ip6.ppgia.pucpr.br) 00B1/16 (www6) Interface: 0000:1000:5A12:3456 Mudana de Provedor 2111:00AB:00A1::1000:5A12:3456
  • Slide 84
  • 2008, Edgard Jamhour Configurao do Arquivo de Zonha Antes da mudana de provedor www6.ppgia.pucpr.br AAAA ::1000:5A12:3456 80 ip6.ppgia.pucpr.br ip6.ppgia.pucpr.br AAAA 0:0:00A1:: 32 ip6.prov1.com ip6.prov1.com AAAA 0:00AB:: 16 ip6.top1.com ip6.top1.com AAAA 2111:: ip6.prov2.com AAAA 0:00BC:: 16 ip6.top2.com ip6.top2.com AAAA 2122:: Para efetuar a mudana de provedor basta mudar um nico registro: ip6.ppgia.pucpr.br AAAA 0:0:00A1:: 32 ip6.prov2.com