Protokol IPv6, část 2

Podobné dokumenty
Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Úvod do IPv6. Pavel Satrapa

Sledování ICMPv6 na segmentu LAN s protokolem IPv6

Mobilita v IP verze 6 Úvod

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Počítačové sítě 1 Přednáška č.5

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Bezpečnost optimalizace cesty v MIPv6

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Co nového v IPv6? Pavel Satrapa

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Routování směrovač. směrovač

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta,

Autor: Lukáš Čepa Název díla: IPv6 Zpracoval(a): České vysoké učení technické v Praze Fakulta elektrotechnická Kontaktní adresa: Technická 2, Praha 6

IPv6. Miroslav Čech. (aktualizováno 2009, J. Blažej)

IPv6 Autokonfigurace a falešné směrovače

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY. ANALÝZA HANDOVERU V MOBILE IPv6 MOBILE IPv6 HANDOVER

Případová studie podpory mobility u IPv6

Technologie počítačových sítí 11. přednáška

verze 3 Téma 8: Protokol IPv6

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Jan Outrata. říjen prosinec 2010 (aktualizace září prosinec 2013)

Komunikační sítě a internetový protokol verze 6. Lukáš Čepa, Pavel Bezpalec

Standardizace Internetu (1)

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Semestrální projekt do předmětu SPS

Desktop systémy Microsoft Windows

12. pomocné protokoly, IPv6. Miroslav Spousta, 2005 ICMP. pomocný protokol IP, vlastn ě součást IP protokolu

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Analýza protokolů rodiny TCP/IP, NAT

Protokol IP verze 6. Filip Staněk Petr Grygárek

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

Obsah PODĚKOVÁNÍ...11

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

JAK ČÍST TUTO PREZENTACI

Autokonfigurace IPv6 v lokální sí

Úvod do IPv6. Pavel Satrapa, TU v Liberci

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Y36PSI Protokolová rodina TCP/IP

(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

3.17 Využívané síťové protokoly

Pavel Satrapa. IP v6. Internet Protokol verze 6

WrapSix aneb nebojme se NAT64. Michal Zima.

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Komunikace v sítích TCP/IP (1)

Eva Hladká. jaro 2017

Demo: Multipath TCP. 5. října 2013

Protokol IP verze 6. Co je to IPv6. Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Inovace bakalářského studijního oboru Aplikovaná chemie

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Otázky IPv6. Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

IP adresy. IP protokol shrnutí poznatků. IP adresa (IPv4)

Audit bezpečnosti počítačové sítě

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě II. 13. Směrování. Miroslav Spousta, 2004

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Y36SPS Jmenné služby DHCP a DNS

Protokol IPv6 a jeho praktické využití

Programování síťové služby Sniffer OSPFv2 a OSPFv3

Počítačové sítě II. 13. Směrování Miroslav Spousta,

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

12. Bezpečnost počítačových sítí

Co je to IPv6 Architektura adres Plug and Play Systém jmenných domén Přechod Současný stav IPv6

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Inovace bakalářského studijního oboru Aplikovaná chemie

Aktivní prvky: brány a směrovače. směrovače

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

TFTP Trivial File Transfer Protocol

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Konfigurace síťových stanic

Obsah Počítačová komunikace Algoritmy a mechanismy směrování v sítích Řízení toku v uzlech sítě a koncových zařízeních...

Protokoly úrovně 3 nad ATM

Nezávislé unicast a multicast topologie s využitím MBGP

Jmenné služby a adresace

MODELY POČÍTAČOVÝCH SÍTÍ

Bezpečnost vzdáleného přístupu. Jan Kubr

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Řešení dynamické konfigurace IPv6 klientů v počítačové síti MENDELU

OSI TCP/IP Aplikace a protokoly 7. aplikační 6. presentační 5. relační

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

Možnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP)

SSL Secure Sockets Layer

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

}w!"#$%&'()+,-./012345<ya

Standardizace IPv6 v IETF Matěj Grégr

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Transkript:

Protokol IPv6, část 2 1/35

Obsah přednášky Průzkum okolí Objevování sousedů Detekce dosažitelnosti Objevování směrovačů Autokonfigurace Podpora mobility Domácí agent Komunikace přes domácího agenta Optimalizace cesty Závěrečné poznámky 2/35

Průzkum okolí angl. Neighborhood discovery (ND) RFC 2461 Překlady mezi L2 a L3 adresami, autokonfigurace, apod. Ekvivalenty službám ARP, RARP, DHCP v IPv4. Složky ND Zjišťování L2 adres uzlů v lokální síti a udržování překladových tabulek Kontrola dosažitelnosti sousedů. Detekce duplicitních adres. Hledání směrovačů. Autokonfigurace stavová a bezstavová 3/35

Typu ICMP paketů pro ND Neighbor solicitation (NS výzva sousedovi) Neighbor advertisment (NA ohlášení souseda) Router solicitation (RS výzva směrovači) Router advertisment (RA ohlášení směrovače) Redirect (přesměrování) V případě, že směrovač zná kraší cestu než přes sebe. Podobné přesměrování v IPv4. 4/35

Hledání linkových adres z IPv6 adres (ND) Řešeno pomocí vysílání do multicastové skupiny. Vyčleněn prefix FF02:0:0:0:0:1:FF00::/104. Multicastová skupina pro danou IPv6 adresu: prefix + posledních 24 b z IPv6 adresy. Příklad FF02:0:0:0:0:1:FF00::/104 + 28BC:FA3D:21:AA37:1:66FE:9AA4:D678 = FF02:0:0:0:0:1:FFA4:D678 5/35

Hledání linkových adres z IPv6 adres (ND) Řešeno pomocí vysílání do multicastové skupiny. Vyčleněn prefix FF02:0:0:0:0:1:FF00::/104. Multicastová skupina pro danou IPv6 adresu: prefix + posledních 24 b z IPv6 adresy. Každý uzel musí poslouchat v multicastové skupině (skupinách) odpovídající jeho IPv6 adrese (adresám). 24 bitů z IPv6 adresy zaručuje, že v dané skupině bude poslouchat velmi málo (typicky 0 nebo 1) uzel. 6/35

Hledající zkonstruuje adresu skupiny z prefixu a IPv6 adresy a do ní pošle neighborhood solicitation. Obsahuje hledanou adresu. Vysílající připojí svoji L2 adresu. Naslouchající s hledanou IPv6 adresou reaguje pomocí neighbor advertisment. Obsahuje hledané IPv6 a L2 adresy. Možné příznaky: R (Router)... odesílatel je směrovač, S (Solicited)... ohlášení je vyžádanou reakcí (záznamy je možno aktualizovat bez vyžádání!), O (Override)... nová informace má přepsat eventuální staré záznamy (měl by být nastaven u nevyžádaných NA a vyžádaných NA, které nebyly poslány na anycastovou adresu). 7/35

Formáty packetů NS a NA Neighbor Solicitation IPv6 hlavička Zdrojová adresa: IP adresa odesílajícího rozhraní (ev. nespecifická :: v případě hledání duplicit) Cílová adresa: multicastová nebo unicastová adresa cíle Max. počet hopů: 255 Priorita: 15 ICMP hlavička Type: 135 Code: 0 Zdrojová L2 adresa odesílatele, je-li známa (pokud existuje, tak povinně v multicastových a doporučeně v unicastových zprávách) 8/35

Neighbor Advertisment IPv6 hlavička Zdrojová adresa: IP adresa odesílajícího rozhraní Cílová adresa: jedna z následujících možností a) adresa uzlu, který zaslal NS zprávu b) mutlicastová adresa všech lokálních uzlů pro nespecifickou původní zdrojovou adresu a pro nevyžádané NA Max. počet hopů: 255 Priorita: 15 ICMP hlavička Type: 136 Code: 0 Příznaky: R, S, O. Cílová adresa : u vyžádanách NA je to zdroj NS, u nevyžádaných adresa uzlu, jehož L2 adresa se změnila (nikdy ne multicastová adresa!) Volby: pokud má uzel přidělenou L2 adresu, musí být zahrnuta 9/35

Detekce dosažitelnosti Možné stavy cache sousedů: Odstranit z cache Testovaná Nekompletní Dosažitelná Odložená Prošlá L2 adresa není známa. Spouští se proces hledání L2 adresy. Odesílání NS probíhá multicastem. 10/35

Detekce dosažitelnosti Možné stavy cache sousedů: Odstranit z cache Testovaná Nekompletní Dosažitelná Odložená Prošlá Soused žije, normální stav, t.j. záznam v cache není expirovaný. 11/35

Detekce dosažitelnosti Možné stavy cache sousedů: Odstranit z cache Testovaná Nekompletní Dosažitelná Odložená Prošlá Vypršela expirační doba záznamu v cache. Pokud se se sousedem nekomunikuje, nic se neděje. 12/35

Detekce dosažitelnosti Možné stavy cache sousedů: Odstranit z cache Testovaná Nekompletní Dosažitelná Odložená Prošlá Čeká se na potvrzení živosti vyšší komunikující vrstvou (např. TCP). Pokud není potvrzeno, přejde se na proaktivní testování. 13/35

Detekce dosažitelnosti Možné stavy cache sousedů: Odstranit z cache Testovaná Nekompletní Dosažitelná Odložená Prošlá Proaktivní testování dosažitelnosti pomocí NS odesílaných unicastem. Po neúspěšných opakováních je záznam vyřazen z cache. 14/35

Inverzní objevování sousedů angl. Inverse Neighbor Discovery (IND) V situaci, kdy je známa L2 adresa a není známa IPv6 adresa. Na výzvu (solicitation) reaguje uzel oznámením (advertisment), který obsahuje jednu či více jeho IPv6 adres. Zasíláno unicastem. 15/35

Objevování směrovačů Založeno na výzvách a oznamech směrovačů (RS a RA) Základní pilíř bezstavové autokonfigurace. Výzva směrovači (RS) Směrovače odpovídají oznamem (RA) Ignorováno normálními uzly (ne-směrovači) Podmínky přijetí směrovačem: Maximální počet hopů = 255 Korektní autentizace (má-li AH) a kontrolní součet ICMP má délku 8 a ICMP kód = 0 Použité volby mají nenulovou délku 16/35

Struktura výzvy RS Pole IPv6 hlavičky Max. počet skoků je 255 Priorita je 15 Zdrojová adresa je buď unicastová nebo nespecifikovaná adresa Cílová adresa je zpravidla multicastová adresa směrovačů Pole ICMP hlavičky Type 133 Code 0 Může obsahovat adresu odesílatele, je-li známa 17/35

Oznam směrovače (RA) Posílány v náhodných intervalech každým směrovačem do přímo připojených sítí nebo jako reakce na výzvu směrovači (RS). Obsahuje specifické informace o směrovači, zejména MTU, prefixy, L2 adresa rozhraní. V případě, že se jedná o reakci na RS, RA obsahuje veškerou volitelnou informaci (zejména všechny validní prefixy). Uzly si tyto informace cachují. 18/35

Struktura oznamu RA Pole IPv6 hlavičky Max. počet hopů je 255 Priorita 15 Volitelně obsahuje také L2 adresu odesílajícího rozhraní. Cílová adresa je buď multicast nebo unicast (podle toho, jestli se jedná o reakci na RS). 19/35

Struktura oznamu RA (pokračování) Pole ICMP hlavičky Type 134 Code 0 Příznaky M... Managed address configuration (použití stavové konfigurace pro IP adresu) O... Other stateful configuration (použití stavové konfigurace pro ostatní parametry) Router lifetime... udává, jak dlouho je ještě ochoten směrovač fungovat jako implicitní v sekundách, jinak 0. Trvání dosažitelnosti a interval opakování. Další volitelné informace důležité pro autokonfiguraci budou diskutovány dále. 20/35

Dva typy Autokonfigurace Stavová (DHCPv6, podobné DHCP pro IPv4) Bezstavová (RFC 1971, nemá ekvivalent v IPv4) Kombinuje lokálně dostupnou informaci s informacemi propagovanými směrovači. Směrovač oznamuje v RA reagujících na RS všechny prefixy dostupné v dané síti, které jsou spojeny s lokálně generovanou adresou (např. MAC nebo její jedinečný hash). Vzájemně se mohou doplňovat Získání IPv6 adresy bezstavovou autokonfigurací, ostatní parametry stavovou. 21/35

Bezstavová autokonfigurace Informace v RA důležité pro autokonfiguraci Směrovač poskytne informaci o tom, jestli je ochoten fungovat jako implicitní. Seznam prefixů. U každého prefixu je uvedena jeho délka, doba platnosti a doba preferování (0xffffffff znamená nekonečnou trvanlivost). Životní cyklus prefixu Preferovaný Odmítaný (deprecated) Neplatný 22/35

Adresa je ve stavu předběžná (tentative) Provede se detekce duplicitních adres mandatorní, přístup důvěřuj ale prověřuj použije se NS s nespecifickou zdrojovou adresou (::) pro cílovou adresu, kterou chci použít pokud dostanu NA, nesmím adresu rozhraní přiřadit není 100% spolehlivé (např. při přerušení spoje po vyslání NS) Pokud vše prošlo, adresa se nastaví jako platná. 23/35

Podpora mobility IETF draft Mobility support in IPv6 (Únor 2003) Problém Naivní odpojení se a nové zapojení do sítě s sebou nese potenciální změnu IP adresy, což znemožňuje spojitou činnost všech vyšších protokolů. Princip řešení Stabilní domovská adresa, nezávislá na způsobu připojení Uzel komunikuje prostřednictvím této domovské adresy Změna umístění uzlu transparentní pro vyšší vrstvy 24/35

Základní pojmy Domovská adresa odpovídá domácímu (výchozímu) umístění uzlu Care-of adresa konkrétní IPv6 adresa, kterou uzel získá při pohybu Uzel může mít současně více care-of adres Mezi domovskou a každou care-of adresou se musí ustavit vazba (binding) Korespondující uzly spolu komunikující uzly Korespondující uzel se může dozvědět aktuální care-of adresu prostřednictvím odpovídající vazby (correspondent binding procedure) 25/35

Přístupy k řešení Přes domácího agenta Pomocí optimalizace cesty 26/35

Domácí agent Udržuje cache vazeb a seznam domovských agentů Zpracovává vazby Primární care-of adresa Změna (přeregistrace) care-of adresy Smazání care-of adresy Podpora nalezení adresy domovského agenta Změna prefixu domovské sítě 27/35

Zpracování paketů Zachytávání paketů pro mobilní uzly Neighbor Advertisments jménem mobilního uzlu Zpracování zachycených paketů Tunelování paketů na care-of adresu Nepřeposílá pakety pro link-local adresu mobilního uzlu Pouze multicastové adresy s globálním rozsahem přeposílány jsou Podpora přihlášení do multicastových skupin DHCPv6 pro mobilní uzly Přeposílání paketů z mobilních uzlů Ochrana Return routability paketů 28/35

Komunikace přes domácího agenta Používá domovského agenta (směrovač) Proxy Neighbor Discovery zachycení paketů určených pro mobilní uzel Oboustranné tunelovaní přes domovský směrovač Používá IPv6 zapouzdření a šifrování (ESP) pro přenos dat (tunelování) 29/35

Optimalizace cesty Korespondující uzly komunikují přímo (po iniciaci tunelem) Původní zabezpečení pomocí IPsec (do r. 2000) Problém s neexistencí všepokrývající PKI infrastruktury (korespondent může být kdokoli) Return routability procedure (od draftu z r. 2002, nyní RFC 3775) Ověří, že nabídnutá care-of adresa patří deklarovanému uzlu Dvě dvojice zpráv: Home Test Init (HoTI, 1) a Care-of test Init (CoTI, 3) (výzvy) Home test (HoT, 2) a Care-of test (CoT, 4) (odpovědi) 30/35

Return routability procedure (RRP) 31/35

Zabezpečení RRP Mobilní uzel (MN) pošle HoTI pro získání home keygen tokenu. MN pošle CoTI pro získání care-of keygen tokenu. Korespondující uzel vygeneruje tokeny pomocí svého interního klíče Kcn home keygen token := First(64,HMAC SHA1(Kcn,(home address, nonce, 0))) care-of keygen token := First(64,HMAC SHA1(Kcn,(care-of address, nonce, 1))) 32/35

Korespondující uzel odešle tokeny a nonce indexy ve zprávách HoT a CoT. Mobilní uzel spojí oba keygen tokeny a vytvoří vlastní klíč Kbm := SHA1(home keygen token, care-of keygen token) Kbm se používá pro autentizaci aktualizace vazeb. Klíč pro zrušení vazby je Kbm := SHA1(home keygen token) 33/35

Aktualizace vazeb Mobilní uzel pošle Binding Update (BU) zprávu care-of adresa jako zdrojová, adresa korespondujícího uzlu jako cílová parametry: domovská adresa, pořadové číslo BU, home nonce index, care-of nonce index, HMAC SHA1(Kbm,(care-of address,cn address,bu)) Korespondující uzel si spočte Kbm s využitím nonce indexů a ověří platnost vazby. Pokud projde, aktualizuje cache. 34/35

Literatura příslušná RFC: 1886, 1887, 1971, 1981, 2373, 2461, 2874, 3775 Satrapa P., IPv6, Neocortex, Praha, 2002 Web IPv6, CESNET, http://www.ipv6.cz/ a server Lupa... posloužil jako zdroj obrázků (s poděkováním P. Satrapovi!) 35/35

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář