IPv6 Ιατρέλλης Όμηρος Καθηγητής Εφαρμογών
Περίληψη Έννοιες Διευθυνσιοδότηση Neighbor/Router Discovery Header Fields Security Headers Περίληψη/Ερωτήσεις
Βασικές Έννοιες Protocol Επίσημη περιγραφή (συμφωνίες) για το πώς οι οντότητες επικοινωνούν Μια γλώσσα που την οποία χρησιμοποιούν τα συστήματα για να ανταλλάξουν πληροφορίες Attribute Μια μεταβλητή, τιμή, οντότητα που χρησιμοποιείται για να υποστηρίξει την λειτουργία του πρωτοκόλλου Μερικές φορές ονομάζεται ένα πεδίο (field) Value Δίδεται σε μια attribute κάποια δεδομένη χρονική στιγμή Καθορίζουν την κατάσταση του πρωτοκόλλου
IPv4 Θεμελιώδες πρωτόκολλο του διαδικτύου σήμερα Καθορίστηκε από το RFC 791 (1981) Καθορίζει μια συλλογή από attributes και ενέργειες για να διευκολύνει την επικοινωνία ανάμεσα σε δίκτυα Οι hosts ορίζονται από διευθύνσεις 32bit (4 οκτάδες) Δεκαδική μορφή 192.168.0.13
ΙΡν4 header Version IHL Type of Service Total Length Identification Flags Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address 4-bit version: Πρέπει να είναι 4 (0100) ΤΤL: Κρατάει πόσους Routers μπορεί να περάσει το πακέτο πριν απορριφθεί. Checksum: Είναι ένας τρόπος να βεβαιώσουμε ότι το πακέτο δεν έχει σφάλμα Identification: Κάθε πακέτο πρέπει να έχει ένα μοναδικό αναγνωριστικό Fragmentation offset: Σε περιπτώση που το πακέτο είναι μεγάλο και πρέπει να τεμαχιστεί
Γιατί ένα νέο Πρωτόκολλο? Στις αρχές τις δεκαετίας του 90 άρχισαν οι πρώτες ανησυχίες για την εξάντληση των ΙΡ διευθύνσεων Μετά από αρκετό διάλογο, υιοθετήθηκαν οι 128bit διευθύνσεις Καλύτερη δρομολόγηση και ασφάλεια Το IETF ονόμασε το ΙΡν6 σαν next generation πρωτόκολλο το 1998 Τι έγινε όμως στο ΙΡν5?
128bit διευθύνσεις! 2 32 =4.4 x10 9 διευθύνσεις (ΙΡν4) 2 128 =3.4 x10 38 διευθύνσεις (ΙΡν6) Δηλαδή 6.7 x10 19 διευθύνσεις (15 δις) ανά cm 2 στην γη
ΙΡν6 διευθυνσιοδότηση Γράφονται σαν 8 γκρουπ τεσσάρων δεκαεξαδικών ψηφίων το καθένα 344d:9a03:0000:12c1:0000:0000:0fab:0001 Τα μηδενικά μπροστά μπορούν να παραλείπονται Τα 344d:9a03:0:12c1:0:0:fab:1 Eπιτρέπεται μόνο μια διπλή άνω κάτω τελεία 344d:9a03:0:12c1::fab:1
ΙΡν6 διευθυνσιοδότηση Τα παρακάτω είναι ισοδύναμα: 2001:0db8:0000:0000:0000:0000:1428:57ab 2001:0db8:0000:0000:0000::1428:57ab 2001:0db8:0:0:0:0:1428:57ab 2001:0db8:0:0::1428:57ab 2001:0db8::1428:57ab 2001:db8::1428:57ab
ΙΡν6 address components High order 64 bits Network και Subnet id Low order 64 bits Host id ή Interface ID Μπορεί να προκύψει από την MAC
ΙΡν6 address types Unicast Αναγνωρίζει ένα συγκεκριμένο host σε ολόκληρο το διαδίκτυο Δρομολογίσιμη (Globally) Τα 3 υψηλότερα bits είναι 001 Multicast Παράδοση σε ένα ολόκληρο γκρουπ host Anycast Παράδοση σε έναν, οποιονδήποτε του γκρουπ (hosts)
ΙΡν6 address types Address Type Hex Values Global Unicast 2xxx::/4 or 3xxx::/4 Link Local Unicast FF80::/10 Multicast FF00::/8 Default ::/0 Loopback ::1/128
Unicast Οι Unicast διευθύνσεις χωρίζονται σε 2 κατηγορίες: Link-local Unicast Address Όλοι οι hosts σε ένα layer-2 domain στο IPv4 υπάρχει το Automatic Private IP Addressing (APIPA). Η τυχαία διεύθυνση που παίρνει ο υπολογιστής μας από το block 169.254.0.0/16 όταν δεν υπάρχει DHCP Server στο δίκτυο Unique Local Scope (παλιότερα Site local scope) Το αντίστοιχο των Private IPv4 διευθύνσεων (Μη δρομολογίσιμες στο internet). Παρόμοιο με το Link-Local scope, εκτός του ότι μπορεί να περιλαμβάνει subnets συνδεδεμένα με κάποιους δρομολογοητές εσωτερικό σε ένα "site". Αν και δεν είναι επαρκώς καθορισμένο τι είναι ένα Site, μπορούμε να πούμε ότι τα πακέτα που στέλνονται σε site-local διευθύνσεις περνάνε κάποια εσωτερικά routers αλλά όχι αλλους (border). Global Unicast Address Global Prefix (n bits) Το global prefix που θα δίδετε στους ISP (Internet Service Providers) ανά γεωγραφική θέση. Subnet ID (m bits) Τα δίκτυα που θα έχει κάθε οργανισμός μέσω του οποίου οι administrators θα δημιουργούν την εσωτερική δομή του δικτύου Interface ID (128 -n-m bits). Το ID κάθε interface (Υπολογιστής, Εκτυπωτής κλπ). Μπορει να παραχθεί μέσω modified EUI-64 Μια global IP address της μορφής 2001::/16 Η ένδειξη /3 η /16 ή /64 στο IPv6 σημαίνει το Global Routing Prefix. Έπειτα το subnet ID θα μοιραστεί στους providers και αυτοί με την σειρά τους σε μικρότερους ISPs και στους τελικούς πελάτες οι οποίοι μέσω του EUI format θα σχηματίζουν μια Routable Global IP.
ΙΡν6 Multicast address Χαρακτηρίζει ένα γκρουπ από hosts Ξεκινάει με την οκτάδα 0xFF (8 bits) Flags: σηματοδοτεί αν είναι μόνιμη ή προσωρινή (4 bits) Τιμή 0 είναι μόνιμη (well known) ορισμένη από IANA Τιμή 1 δεν είναι μόνιμη διευθυνση Πρέπει να καθοριστεί το scope πχ global, site, link (4 bits)
ΙΡν6 Multicast scope Ένα 4-bit πεδίο με πιθανές τιμές 2: Link (πχ LAN) 5: Site (όπως καθορίζεται από την φυσική τοπολογία του δικτύου) 8: Organization (Περιορίζεται στο δίκτυο ενός οργανισμού ακόμα και στα VPNs) 14: Global (δρομολογίσιμες στο διαδίκτυο)
Link-layer Protocols Το ΙΡν4 βασιζότανε σε data-link layer πρωτόκολλα πχ το ARP για να καθορίσει Άλλους hosts στο δίκτυο Αντιστοιχήσει φυσικές με λογικές διευθύνσεις Αυτές οι λειτουργίες έχουν εμπλουτιστεί και ενσωματωθεί στο ΙΡν6
Neighbor Discovery Protocol (NDP) Χρησιμοποιείται για να ανακαλύψουμε άλλους hosts και δρομολογητές σε ένα τοπικό δίκτυο Έχουν ενσωματωθεί πολλά χαρακτηριστικά από τα παλαιοτέρα πρωτόκολλα Link-layer Χρησιμοποιεί ΙΡν6 multicast διευθύνσεις Λειτουργεί χρησιμοποιώντας ICMPv6 μηνύματα
Neighbor Discovery Protocol (NDP) Πληροφορίες για άλλους hosts Address resolution Duplicate address Neighbor Unreachable Next hop Πληροφορίες για Routers Discovery Network prefix Network parameters Autoconfiguration
ΙCMΡν6 Messages μέσω NDP Neighbor solicitation Neighbor advertisement Υπάρχει κανένας γείτονας που ικανοποιεί τα Χ κριτήρια και το advertisement η απόκριση Router solicitation Router advertisement Redirect : Ποιοι είναι οι Routers στο δίκτυο? Σε περίπτωση προβλήματος στέλνεται ώστε να σταματήσουν να τον χρησιμοποιούν αλλά να πηγαίνουν σε άλλο Router
Δημιουργία Link-Local διεύθυνσης Οι hosts μπορούν να παράγουν την δικιά τους υποψήφια διεύθυνση χρησιμοποιώντας την MAC διεύθυνση τους Χωρίζουμε την MAC στα 2 (2 x 24 bit) Εισάγουμε τα ψηφία FFEE στο μέσον Εισάγουμε πρόθεμα FE80::\64 σαν network id Μερικές φορές το 7 ο υψηλότερο bit της MAC διεύθυνσης αντιστρέφεται Αυτό ονομάζεται Modified EUI-64 διεύθυνση
Παράδειγμα MAC διεύθυνση: C2:00:54:F5:00:00 Χωρίζομε στα 2 και εισάγουμε στο μέσον FF:EE C2:00:54:FF:EE:F5:00:00 Πρόθεμα FF80::\64 FE80::C200:54FF:EEF5:0000 ή FE80::C000:54FF:EEF5:0000 (Modified EUI-64)
Windows 7 Από τα Windows Vista και Server 2008 δεν χρησιμοποιούν για λόγους ασφάλειας την MAC διεύθυνση αλλά παράγουν τυχαίες IPv6 διευθύνσεις
Windows XP Modified EUI-64 διεύθυνση
Ειδικές διευθύνσεις που χρησιμοποιούνται από το NDP Multicast όλοι οι host (link scope) FF02::1 Multicast όλοι οι router (link scope) FF02::2 Solicited-node Multicast (link scope) - Εκτός της των κανονικών Multicast διευθύνσεων, κάθε unicast διεύθυνση έχει μια ειδική multicast διεύθυνση που ονομάζεται solicited-node address (αποτελεσματικότερο από το ARP) και αποτελείται από: FF02::1:FF00:0/104 prefix KAI 24 χαμηλότερης σειράς bits από IPv6 διεύθυνση
Solicited-node Multicast Η solicited-node multicast address αποτελείται από το πρόθεμα FF02::1:FF00:0/104 και τα τελευταία 24-bits της IPv6 διεύθυνσης που επιλύεται Πχ Σύμφωνα με τα παραπάνω από την link-local διεύθυνση FE80::2AA:FF:FE28:9C5A προκύπτει η FF02::1:FF28:9C5A που είναι η διεύθυνση που ακούει για multicast fe80::2aa:ff:fe28:9c5a fe80:0000:0000:0000:02aa:00ff:fe28:9c5a Target address (compressed notation) Target address (uncompressed notation) the last 24-bits ff02::1:ff00:0000/104 ff02:0000:0000:0000:0000:0001:ff00:0000/104 Solicited-node Multicast Address prefix (uncompressed) The first 104 bits ff02:0000:0000:0000:0000:0001:ff28:9c5a ff02::1:ff28:9c5a Result Result (compressed notation)
Neighbor Solicitation Δημιουργία ICMPv6 NS μηνύματος (τύπος 135) Διευθύνσεις IPv6 Πηγαία: μη καθορισμένη (όλα μηδενικά) Προορισμός: (Solicited-node Multicast) Αναμονή για μικρό χρονικό διάστημα για Neighbor advertisement Αν δεν υπάρξει κανένα η υποψήφια διεύθυνση μπορεί να χρησιμοποιηθεί
IPv6 Header Σημαντικές αλλαγές από το ΙΡν4 header Σχεδιάστηκε κατά κύριο λόγο για να επιταχύνει την δρομολόγηση Αξιοσημείωτες αλλαγές: Δεν υπάρχει Checksum Το αναλαμβάνουν άλλα πρωτόκολλα πχ TCP (ήταν πλεονασμός) Δεν υπάρχει fragmentation Στο ΙΡν6 οι δρομολογητές δεν κάνουν πλέον fragmentation και αν το πακέτο είναι πιο μεγάλο από το επιτρεπτό το απορρίπτουν αλλά ενημερώνουν τον αποστολέα με ένα ICMP μήνυμα ότι το πακέτο ήταν πολύ μεγάλο. Επιπλέον οι hosts μπορούν στο IPv6 να ρωτήσουν (query) πιο είναι το Message Transfer Unit (πχ 1500bytes) εξ αρχής αν και μπορεί κάποιο άλλο δίκτυο να το κόψει στην συνέχεια. To μικρότερο πακέτο που μπορεί να διαχειριστεί το ΙΡν6 είναι 128bytes που είναι εγγυημένο MTU αν και στην πράξη ο αποστολέας διπλασιάζει στην πορεία το MTU μέχρι να βρει το ιδανικό (το οποίο όμως μπορεί να αλλάξει πχ αν πέσει κάποιο link ) To TTL άλλαξε και αντανακλά το hop count
New Header (40bytes) IPv4 Header 32-bit Version IHL Type of Service Total Length Identification Flags Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address IPv6 Header 128-bit Version Traffic Class Flow Label Payload Length Next Header Hop Limit Source Address Destination Address * Το πεδίο Version αντί για 4 (IPv4) θα γράφει 6 (IPv6). * Το πεδίο IHL (Internet Header Length) το οποίο έδειχνε το μήκος του IPv4 Header τώρα ποια δε χρειάζεται γιατί στο IPv6 το μήκος είναι standard 40 bytes. * Το πεδίο Type of Service έγινε Traffic Class και χρησιμοποιείτε από κόμβους η από forwarding routers στο να διακρίνουν μεταξύ διαφορετικών κατηγοριών και προτεραιοτήτων πακέτα IPv6. * Το πεδίο Flow Label (ετικέτα ροής) χρησιμοποιείτε για να ονοματίσει και να ποια πακέτα ανήκουν σε μια συγκεκριμένη ροή πακέτων. Κυρίως αυτό που κάνει είναι να ταξινομεί μια ροη κίνησης έτσι ώστε οι routers έπειτα από την διαχείριση τους να γνωρίζουν την ροή τους. * Το πεδίο Payload Length είναι το μήκος τον δεδομένων που μεταφέρονται μετά το header ενώ στο IPv4 Total Length περιλαμβάνει και το Header. * To πεδίο Identification, Flags Fragment και Offset χρησιμοποιούταν στο IPv4 για Fragmentation. Στο IPv6 το fragmentation γίνεται στους host και όχι στους routers. * Το πεδίο Time To Live (TTL) ονομάστηκε Hop Limit. Κάθε φορά που το πακέτο περνάει από έναν router τότε το πεδίο αυτό μειώνετε κατά ένα. Έτσι όταν το πακέτο φτάσει στο μηδέν καταστρέφεται και έτσι δεν μπαίνει σε loop και διαιωνίζεται μέσα στο internet. * To πεδίο Protocol στο IPv4 αντικαταστάθηκε με το Next Header στο IPv6 και δείχνει ποιο πρωτόκολλο χρησιμοποιείτε (TCP, UDP). * Το πεδίο Header Checksum δεν υπάρχει.
Optional Headers To IPv6 καθορίζει μια συλλογή από νέα optional headers που προσθέτουν επιπλέον χαρακτηριστικά Παραδείγματα περιλαμβάνουν: Fragmentation (γίνεται από τους hosts με ένα Optional Header) Routing options Authentication Encryption
IP Security (IPSec) Protocols Παρέχουν σημαντικές ιδιότητες σχετικές με την ασφάλεια που έλειπαν από το ΙΡν4 Εμπιστοσύνη Ακεραιότητα Αυθεντικοποίηση Βοηθάνε τους hosts να διαπραγματευτούνε τους αλγόριθμους ασφάλειας Καθορίζουν τον τρόπο κωδικοποίηση όλων των στοιχείων
IP Security (IPSec) Components Authentication Header (AH) Παρέχει εχέγγυα για την ταυτότητα του αποστολέα Μπορεί να αναγνωρίσει in-transmit αλλαγές στα δεδομένα Encapsulating Security Payload (ESP) Προφυλάσσει τα δεδομένα μέσω κρυπτογράφησης
IP authentication Ηeader Ο μηχανισμός του IP authentication Ηeader μπορεί να παρέχει τις εξής δυνατότητες ασφάλειας: Πιστοποίηση (Authentication). Ακεραιότητας την πληροφορίας (Integrity). Απόδειξη αποστολής δεδομένων από τον αποστολέα (Non-repudiation). - Ο μηχανισμός αυτός στο IPv6 προστίθεται σαν μια έξτρα επικεφαλίδα - Η κύρια πληροφορία που υπάρχει στην επικεφαλίδα αυτή είναι ένα νούμερο το οποίο είναι το αποτέλεσμα της εφαρμογής του χρησιμοποιούμενου αλγόριθμου κρυπτογράφησης σε όλο το πακέτο.
Encapsulating security Payload (ESP) Ο μηχανισμός του IP Encapsulating security Payload μπορεί να παρέχει τις εξής δυνατότητες ασφάλειας: Ακεραιότητας την πληροφορίας (Intergrity). Απόρρητο της πληροφορίας (Confidentiality) Απόδειξη αποστολής δεδομένων από τον αποστολέα (Non-repudiation). - Η λειτουργία αυτού του μηχανισμού βασίζεται στην κρυπτογράφηση της προς μετάδοσης πληροφορίας. -Με αυτό τον τρόπο μόνο ο παραλήπτης που έχει στην κατοχή του το κατάλληλο κλειδί μπορεί να αποκρυπτογραφήσει την πληροφορία.
IPv6 Deployment Παρά τα 15 χρόνια περίπου ύπαρξης, το IPv6 καλύπτει λιγότερο από το 3% της συνολικής κίνησης του ιντερνετ Πιθανά αίτια Προκλήσεις τεχνικής φύσεως Αντιλήψεις Εκπαίδευση
Subnetting Τα 16 bits subnet ID μας δίνουν 2 16 υποδίκτυα που το καθένα μπορεί να φιλοξενήσει περισσότερα από 18 πεντάκις hosts ΠΑΡΑΔΕΙΓΜΑ Ας χρησιμοποιήσουμε το subnet-prefix 2001:db8:1234::/48 και ας δανειστούμε 2 bits για υποδίκτυα 2 0 0 1 : 0 d b 8 : 1 2 3 4 : 0 0...(τα υπόλοιπα 0) 0010 0000 00000001 : 0000 1101 1011 1000 : 0001 0010 0011 0100 : 0000 0000... (τα υπόλοιπα 0) Ας δανειστούμε 2 bits /49 και /50 (συμπεριλαμβάνουμε τα 50 bit): 0010 0000 0000 0001 : 0000 1101 1011 1000 : 0001 0010 0011 0100 : 0000... (τα υπόλοιπα 0) Από τον δανεισμό των 2 bits, μπορούμε να έχουμε 2 2 = 4 μοναδικά subnets, τα οποία θα είναι: SUBNET 1 0010 0000 0000 0001 : 0000 1101 1011 1000 : 0001 0010 0011 0100 : 0000... (τα υπόλοιπα 0) SUBNET 2 0010 0000 0000 0001 : 0000 1101 1011 1000 : 0001 0010 0011 0100 : 0100... (τα υπόλοιπα 0) SUBNET 3 0010 0000 0000 0001 : 0000 1101 1011 1000 : 0001 0010 0011 0100 : 1000... (τα υπόλοιπα 0) SUBNET 4 0010 0000 0000 0001 : 0000 1101 1011 1000 : 0001 0010 0011 0100 : 1100... (τα υπόλοιπα 0)
Subnetting SUBNET 1 2001:db8:1234:0000::/50 SUBNET 2 2001:db8:1234:4000::/50 SUBNET 3 2001:db8:1234:8000::/50 SUBNET 4 2001:db8:1234:c000::/50 SUBNET 1 ος HOST Τελευταίος HOST Subnet 1 2001:db8:1234:0000:0:0:0:0 2001:db8:1234:3fff:ffff:ffff:ffff:ffff Subnet 2 2001:db8:1234:4000:0:0:0:0 2001:db8:1234:7fff:ffff:ffff:ffff:ffff Subnet 3 2001:db8:1234:8000:0:0:0:0 2001:db8:1234:bfff:ffff:ffff:ffff:ffff Subnet 4 2001:db8:1234:c000:0:0:0:0 2001:db8:1234:ffff:ffff:ffff:ffff:ffff
Δεν μιλήσαμε για Mobile IPv6 Πίνακες δρομολόγησης Μετάβαση IPv4 σε ΙΡν6 Βελτιώσεις DNS
Προτεινόμενες online πηγές ARIN https://www.arin.net/knowledge/ipv6_info_center.ht ml Εισαγωγή στο IPv6 http://www.onlamp.com/pub/a/onlamp/2001/05/24/ip v6_tutorial.html Packetlife http://packetlife.net/ Wirishark http://wiki.wireshark.org/ipv6