CGN et 4rd

Les réponses aux questions sont dans les commentaires. Vous pouvez utiliser les réponses aux commentaires pour améliorer les réponses ou les discuter.

 

Réseau Local

Un utilisateur a construit le réseau local suivant à son domicile.

La box dispose de 3 interfaces : une interface Ethernet pontée avec l’interface Wi-Fi et une interface ADSL. Entre l’ADSL et l’Ethernet/Wi-Fi, la box joue le rôle de routeur et de NAT. Le routeur dispose de plusieurs interfaces : 4 ports Ethernet pontées entre eux, 1 Interface Ethernet WAN et une interface Wi-Fi.

Le réseau utilise le préfixe 192.168/16.

Question 1 Quelle est la particularite de ce préfixe ?

Question 2 Donner un plan d’adressage pour ce réseau.

Question 3 Donner les tables de routage des différents équipements

Question 4 La box de l’opérateur possède un serveur DHCP. Le PC situé à droite de la figure précedente peut-il récupérer une adresse automatiquement ? Pourquoi ?

Question 5 Les deux réseaux Wi-Fi (SSID : Chezmoi et test) sont configurés sur le même canal, Est ce que cela peut provoquer des boucles ?

Question 6 Si l’utilisateur connecte par erreur son PC a la fois au réseau Wi-Fi “Chezmoi” et au commutateur, crée-t-il une boucle ?

L’utilisateur fait une erreur de câblage comme indiqué sur la figure suivante:


Question 7 Est ce que cette conguration est fonctionnelle ? pourquoi ?

La box reçoit de l’operateur l’adresse 212.27.35.219.

Question 8 Donner le contexte dans le NAT lorsque le PC contacte le serveur web (port 80) de Télécom Bretagne 192.108.117.241.

IPv6

Nous allons nous intéresser à l’intégration d’IPv6 dans le réseau de l’opérateur pour en faire bénéficier ses clients. Cela va se dérouler en plusieurs phase. Dans un premier temps, l’opérateur va fournir des préfixes IPv6 provisoires basés sur les adresses IPv4 suivant un procédé appelé 6rd. Dans un second temps, il va migrer sa propre infrastructure en IPv6 et puisque les adresses IPv4 deviennent une ressource rare, va les partager entre plusieurs utilisateurs. Le partage pourra se faire en déplaçant les fonctions de NAT de la box de l’utilisateur dans le réseau de l’opérateur.

Rappel sur l’adressage IPv6

Comme pour IPv4, l’adressage actuel d’IPv6 repose sur CIDR. Une adresse est codée sur 128 bits et est divisée en trois parties. La partie Global Prefix ou GP) désigne le préfixe qui sera utilisé dans le coeur du réseau pour router les paquets. La partie SID (Subnet ID) permet le routage dans le site de l’entreprise ou du particulier. Les 64 derniers bits représentent l’IID c’est-à-dire le numéro de la machine sur le sous réseau. Si généralement le GP a une longueur de 48 bits et le SID de 16 bits, il n’y a pas de règle stricte. La seule contrainte est que la longueur de GP+SID fasse 64 bits pour permettre un IID de 64 bits.
Les adresses IPv6 sont notées en hexadécimale, par bloc de 16 bits séparés par :. Si des zéros apparaissent à gauche de ces blocs, ils peuvent être supprimés de la représentation textuelle, de même qu’une et une seule séquence  de blocs égaux à 0.
Ainsi l’adresse 2001:660:7301:1::1 représente une machine dont le préfixe global est 2001:660:7301, le SID est 1 et l’IID est composé de 63 bits à 0 et du bit de poids faible (le plus à droite) à 1.

6rd

Le rfc 5969 définit le fonctionnement de 6rd.

The 6rd mechanism relies upon an algorithmic mapping between the IPv6 and IPv4 addresses that are assigned for use within the Service Provider network. This mapping allows for automatic determination of IPv4 tunnel  endpoints from IPv6 prefixes, allowing stateless operation of 6rd. 6rd views the IPv4 network as a link layer for IPv6 and supports an  automatic tunneling abstraction similar to the Non-Broadcast Multiple Access (NBMA) model.

A 6rd domain consists of 6rd Customer Edge (CE)  routers and one or  more 6rd Border Relays (BRs).  IPv6 packets encapsulated by 6rd  follow the IPv4 routing topology within the SP network among CEs and  BRs. 6rd BRs are traversed only for IPv6 packets that are destined to  or are arriving from outside the SP's 6rd domain.

Les 6rd Customer Edge seront appelé également box dans cet exercice.

Question 9 Donner la définition d’un tunnel.

On the "customer-facing" (i.e., "LAN") side of a CE, IPv6 is  implemented as it would be for any native IP service delivered by the SP, and further considerations for IPv6 operation on the LAN side of the CE is out of scope for this document.  On the "SP-facing" (i.e.,  "WAN") side of the 6rd CE, the WAN interface itself, encapsulation  over Ethernet, ATM or PPP, as well as control protocols such as PPPoE, IPCP, DHCP, etc. all remain unchanged from current IPv4 operation.
6rd relies on IPv4 and is designed to deliver production-quality IPv6  alongside IPv4 with as little change to IPv4 networking and   operations as possible.  Native IPv6 deployment within the SP network  itself may continue for the SP's own purposes while delivering IPv6 service to sites supported by 6rd.  Once the SP network and operations can support fully native IPv6 access and transport, 6rd may be discontinued.

Question 10 Les équipements à l’interieur d’un réseau domestique, font-ils la différence entre des adresses IPv6 construite à l’aide de 6rd et des adresses IPv6 native ?

Question 11 Faut-il modifier le CPE (i.e. la box) pour mettre en place 6rd, faut-il modifier le réseau de l’operateur ?

The 6rd delegated prefix is created by concatenating the 6rd prefix and a consecutive set of bits from the CE IPv4 address in order. The length of the 6rd delegated prefix is equal to length of the 6rd prefix (n) plus the number of bits from the CE IPv4 address (o). The figure shows the format of an IPv6 address with a 6rd prefix and an embedded CE IPv4 address:

For example, if the 6rd prefix is /32 and 24 bits of the CE IPv4 address is used (e.g., all CE IPv4 addresses can be aggregated by a 10.0.0.0/8), then the size of the 6rd delegated prefix for each CE is automatically calculated to be /56 (32 + 24 = 56). Embedding less than the full 32 bits of a CE IPv4 address is possible only when an aggregated block of IPv4 addresses is available for a given 6rd domain. This may not be practical with global IPv4 addresses, but is quite likely in a deployment where private addresses are being assigned to CEs.

Question 12 Dans un premier temps, si l’on considère que l’on utilise entièrement l’adresse IPv4 (i.e. o=32) Donner le préfixe global (GP) que l’on pourra utiliser dans le domicile de l’utilisateur, si le préfixe 6rd est 2a01:e00::/28 .

Question 13 Dans ces conditions, combien de réseaux peuvent être crées au domicile de l’utilisateur ?

Question 14 Proposer un plan d’adressage IPv6 pour le réseau de l’utilisateur, le routeur étant double pile.

6rd propose de réduire la taille des préfixes IPv6 alloués aux utilisateurs en supprimant la partie préfixe de l’adresse IPv4. En interrogeant une base de données (whois) du registre qui a alloué le préfixe a l’operateur, on obtient l’information suivante :

route: 212.27.32.0/19
descr: ProXad network / Free SA
descr: Paris, France
origin: AS12322
mnt-by: PROXAD-MNT
source: RIPE # Filtered


Question 15 En utilisant cette optimisation, quelle taille de préfixe IPv6 pourrait être allouée aux utilisateurs ?

Question 16 Combien d’utilisateurs pourraient être gérés dans un domaine 6rd ?

Comme indiqué précédemment, les paquets tunnellés peuvent être envoyés à un routeur (6rd Border Relay) qui va enlever l’encapsulation IPv4 et transmettre le paquet IPv6 sur le réseau IPv6 natif.

Question 17 Qu’en est-il des communications en IPv6 entre deux utilisateurs d’un même domaine 6rd ? Justifier

Le RFC 4213 donne l’encapsulation des paquets emis par la box

The encapsulation of an IPv6 datagram in IPv4 is shown below:

Question 18 (1 point) Pourquoi n’est-il pas possible de mettre les fonctionnalités de 6rd sur le routeur où est connecté le PC ?

CGN

CGN pour Carrier Grade NAT est une proposition en cours de standardisation à l’IETF. Comme dans les prochains mois, les opérateurs ne pourront plus avoir de nouveaux préfixes IPv4, ils cherchent a en rationnaliser l’usage. CGN permet de répondre à deux objectifs: supprimer les adresses IPv4 des réseaux d’infrastructure en les faisant migrer vers IPv6 et partager une même adresse IPv4 entre plusieurs utilisateurs. Pour ce faire, CGN propose de remonter les fonctions de NAT de la box vers des équipements localisés dans le réseau de l’opérateur.
La box n’aurait plus qu’une fonction de tunnelier qui enverrait, encapsulé dans de l’IPv6, le trafic sortant vers ce CGN qui effectuerait la traduction d’adresses. Ainsi, le pool de port pourrait être partager entre tous les utilisateurs qui utilisent ce CGN.

 

Question 19 Donner le contexte que l’on doit trouver dans le NAT du CGN pour permettre la traduction dans les deux sens.

Question 20 Donner les informations que devrait donner une “haute autorite” pour permettre de retrouver un utilisateur ayant commis un délit sur Internet.

4rd

Une proposition alternative à CGN est en débat à l’IETF, elle garde la même architecture à base de tunnels sur un réseaux IPv6. Mais au lieu de placer le NAT dans un équipement central dans le cœur du réseau, 4rd conserve le NAT dans les box des utilisateurs, et restreint l’utilisation des ports publics à une plage déterminée. Plusieurs utilisateurs peuvent donc se partager la même adresse IPv4 sans risque de conflit. L’équipement central ne gère que l’encapsulation/décapsulation des paquets IPv4 en ajoutant/retirant un en-tête IPv6.

Le document 4rd décrit comment une adresse  IPv4 (et un ensemble de port) peut être dérivé d’une adresse IPv6. La box est préalablement configurée avec un préfixe IPv4 publique et une longueur indiquant la partie index CE (Customer Edge) qui correspond aux bits les moins significatifs (ceux de droite) du préfixe global.


Les bits de poids fort de l’index CE va servir à la fois à compléter le préfixe IPv4 pour former une adresse IPv4 et les bits restants vont servir a restreindre les numéros de ports que le NAT de l’utilisateur peut utiliser en imposant les bits de poids fort (représentés xxxx sur le schéma suivant).


La box de l’utilisateur reçoit le préfixe IPv6 (GP) 2001:660:7301::/48, le préfixe IPv4 192.108.119.0/24 et une longueur d’index CE de 16.
Question 21 Donnez l’adresse IPv4 et la plage de port qu’utilisera la box
L’équipement central dans le réseau reçoit le paquet suivant:

Ethernet II, Src: 00:19:56:49:8e:99, Dst: 00:0c:29:18:6b:75

Internet Protocol, Src: 192.44.77.39, Dst: 192.108.119.138   Version: 4    Header length: 20 bytes    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)   Total Length: 52   Identification: 0xd377 (54135)    Flags: 0x02 (Don't Fragment)    Fragment offset: 0    Time to live: 61   Protocol: TCP (0x06)    Header checksum: 0x2502 [correct]   Source: 192.44.77.39 (C0.2C.4D.27)    Destination: 192.108.119.138 (C0.6C.77.8A)

 

Transmission Control Protocol,     Source port: 43313 (0xa931)    Destination port: 52342 (0xcc76)    Sequence number: 1    (relative sequence number)    Acknowledgement number: 40    (relative ack number)    Header length: 32 bytes    Flags: 0x10 (ACK)    Window size: 524280 (scaled)    Checksum: 0x8926 [validation disabled]    Options: (12 bytes)    [SEQ/ACK analysis]

Question 22 Vers quelle adresse IPv6 il sera tunnelé  (on supposera que le SID et l’IID valent 1)?
Question 23 Comparez en complexité les deux solutions CGN et 4rd. Laquelle est la plus complexe à mettre en œuvre? Pourquoi? Laquelle offre la meilleure utilisation des numéros de port?

 

28 thoughts on “CGN et 4rd

  1. Question 1 Quelle est la particularité de ce préfixe ?

    Il s’agit d’un préfixe privé, utilisable uniquement dans les réseaux de l’utilisateur

  2. Question 2 Donner un plan d’adressage pour ce réseau.

    il faut 3 préfixes: 1 pour le réseau Wi-Fi/Ethernet de la box par exemple 192.168.1.0/24, un pour le réseau Ethernet (4 ports) du routeur (Par exemple 192.168.2.0/24), un pour le réseau Wi-Fi du routeur (192.168.3.0/24). Le commutateur ne modifie pas le plan de numérotation.

  3. Question 3 Donner les tables de routage des différents équipements

    En reprenant la numérotation précédente. 
    Box
    pref ADSL      | ADSL 
    192.168.1/24   | eth0
    192.168.2/24   | 192.168.1.253 (adresse du routeur)
    192.168.3/24   | 192.168.1.253
    0/0            | DSLAM (prefix ADSL)

    Routeur

    192.168.1/24   | eth0
    192.168.2/24   | eth1
    192.168.3/24   | WiFi
    0/0            | 192.168.1.254 (box)

    PC

    192.168.2/24  | eth
    0/0           | 192.168.2.254

    Commutateur

    rien car niveau 2.

    • Bonsoir Mr, Je n’ai pas compris comment vous avez fait pour les passerellesNormalement, l’adresse d’une passerelle devrait appartenir au réseau auquel, il faudrait accéder. Par exemple, dans le cas de la box, pour accéder au réseau 192.168.2/24, j’aurais dit qu’il faut passer par 192.168.2.253 alors que là, vous aviez mis 192.168.1.253Pourriez-vous m’expliquer pourquoi,je vous remercie

  4. Question 4 La box de l’opérateur possède un serveur DHCP. Le PC situé à droite de la figure précedente peut-il récupérer une adresse automatiquement ? Pourquoi ?

    Plusieurs réponses sont possibles: comme le routeur bloque les requêtes multicast, il n’est pas possible de directement envoyer la requête DHCP vers le serveur sur la box. Il existe deux solutions, la première consiste a mettre dans le routeur un relais DHCP qui va transmettre les requêtes au serveur et retourner les réponses, le serveur DHCP sur la box devra être au courant de ce sous-réseau pour retourner une adresse avec le bon préfixe. la seconde solution consiste à mettre un autre serveur DHCP dans le routeur pour ce sous-réseau.

  5. Question 5 Les deux réseaux Wi-Fi (SSID : Chezmoi et test) sont configurés sur le même canal, Est ce que cela peut provoquer des boucles ?

    Non, car le SSID est différent, les équipements (PC) n’écouteront qu’un seul réseau. Si les SSID étaient identiques, comme les trames sont envoyés à un AP spécifique il n’y a pas de risque non plus.

    • Bonsoir, pouvez vous me dire qu’est ce que ca veut dire AP? je comprends la raison pour lequelle ce n’est pas possible d’avoir bouclage, mais dans le deuxieme cas je ne sais pas que est ce que c’est AP.Merci

  6. Question 6 Si l’utilisateur connecte par erreur son PC a la fois au réseau Wi-Fi “Chezmoi” et au commutateur, crée-t-il une boucle ?

    La machine va disposer de deux adresses sur le même réseau IP, comme elle ne dispose que d’une route par défaut, elle choisira une des interfaces pour émettre son trafic vers l’extérieur.

  7. Question 7 Est ce que cette configuration est fonctionnelle ? pourquoi ?

    Oui, elle ne crée pas de problèmes,  dans ce cas les deux préfixes sont sur le même réseau physique. Comme les routeurs ne recopient que les trames qui leur sont directement adressés au niveau 2, il n’y a pas de formation de boucle. Tout a plus, si un équipement est connecté au commutateur et est sur le préfixe du réseau à droite du routeur, les paquets pourront traverser deux fois le commutateur (du PC vers le routeur, puis du routeur vers la box). ICMP redirect pourrait être utilisé pour optimiser les routes

  8. Question 8 Donner le contexte dans le NAT lorsque le PC contacte le serveur web (port 80) de Télécom Bretagne 192.108.117.241.

    On suppose que les messages sont émis sur le port source 54321. Si le NAT est conique, le contexte sera 192.168.2.3:54321 => 55555 (port public). Si le NAT est restreint, le contexte sera 192.168.2.3:54321 => 192.108.119.241:55555

  9. Question 9 Donner la définition d’un tunnel.

    Il s’agit de l’encapsulation d’un paquet IP (v4 ou v6) dans un autre paquet IP (v4 ou v6).

    Certains d’entre vous associe au tunnel soit un chemin (ce qui n’est pas correct puisque c’est un paquet IP donc traité en datagramme) voire des hautes performances (ce qui est toujours faux car le tunnel est constitués de paquets IP comme les autres); Si l’on parle de chemin, voire de ressources réservées, le terme est plutôt VPN (Virtual Private network)

  10. Question 10 Les équipements à l’intérieur d’un réseau domestique, font-ils la différence entre des adresses IPv6 construite à l’aide de 6rd et des adresses IPv6 native ?

    Non, il s’agit les adresses IPv6 6rd sont des adresses IPv6 comme les autres, constituées d’un préfixe global (contenant tout ou partie) l’adresse IPv4, puis un SID choisi par l’administrateur du site et  de l’identifiant d’interface.

  11. Question 11 Faut-il modifier le CPE (i.e. la box) pour mettre en place 6rd, faut-il modifier le réseau de l’operateur ?

    Oui, il faut mettre une place une interface qui va effectuer le tunneling 6rd et récupérer des informations de configuration venant du réseau de l’opérateur. Dans le réseau de l’opérateur, il suffit d’ajouter l’équipement pour gérer le tunnel.

  12. Question 12 Dans un premier temps, si l’on considère que l’on utilise entièrement l’adresse IPv4 (i.e. o=32) Donner le préfixe global (GP) que l’on pourra utiliser dans le domicile de l’utilisateur, si le préfixe 6rd est 2a01:e00::/28 .


    212.27.32.219 s’écrit en hexadécimal (voir annexe) D4.11.20.DB. Le préfixe IPv6 étant de longueur 28, l’adresse IPv4 commencera dans le dernier chiffre, d’où 2a01:0e0D:4112:0DB0::/60

  13. Question 13 Dans ces conditions, combien de réseaux peuvent être crées au domicile de l’utilisateur ?


    il reste 4 bits de SID pour arriver à la longueur de 64 bits, donc 16 sous-réseaux possibles (dans une numérotation sans classe, on peut utiliser les valeurs contenant que des bits à 0 ou à 1).

  14. Question 14 Proposer un plan d’adressage IPv6 pour le réseau de l’utilisateur, le routeur étant double pile.

    premier réseau (box Ethernet Wi-Fi  2a01:0e0D:4112:0DB1::/64, second réseau (routeur Ethernet) 2a01:0e0D:4112:0DB2::/64, troisième réseau (routeur Wi-Fi) 2a01:0e0D:4112:0DB3::/64

  15. Question 15 En utilisant cette optimisation, quelle taille de préfixe IPv6 pourrait être allouée aux utilisateurs ?

    Comme le préfixe est de longueur 19, on ne pourrait garder que les bits servant a numéroter les machines, soit 13 bits, mais cela conduit à des alignements assez difficiles à maitriser. Ainsi la fin de l’adresse IPv4 20.BD s’écrit en binaire 0010 0000.1101 1011. Si l’on considère que le préfixe est un /19, la partie IID est 0000011011011. Donc en alignant des mots de 4 bits on a 0000 0110 1101 1xxx, d’ou le préfixe IPv6 sera 2a01:0e00:6D80::/39, ce qui n’est pas très manipulable et est inférieur (dans le sens longueur du préfixe) au /48 que l’on alloue au clients.

    Une meilleure solution consiste à garder les alignements sur les octets et a prendre 16 bits pour l’IID de l’adresse IPv4. Dans ce cas on garde 20.DB et le préfixe IPv6 s’écrit: 2a01:0e02:0DB0::/44 (toujours inférieur au /48 alloué aux clients)

  16. Question 16 Combien d’utilisateurs pourraient être gérés dans un domaine 6rd ?

    Dans les deux cas on a 13 bits qui peuvent varier donc 2^13 soit 8 192 clients par domaine 6rd. Dans le cas de l’utilisation d’adresse publiques, l’opérateur aura plusieurs blocs puisqu’il aura plus de 8000 clients. Il est donc plus simple pour lui de garder d’adresses IPv4 complete dans le préfixe 6rd, de cette manière il peut gérer plus de clients par domaine.

    Certains d’entre vous ont donné comme réponse 2^(64+13) il ne faut pas prendre en compte l’IID d’IPv6 pour deux raisons 1) ils correspondent a la même adresse IPv4 de tunnel, donc on ne peut pas les séparer, 2) en IPv6 on ne donnera pas un adresse unique comme en IPv4, mais un préfixe de longueur maximum 64

  17. Question 17 Qu’en est-il des communications en IPv6 entre deux utilisateurs d’un même domaine 6rd ? Justifier

    Les communications ne passeront par par l’élément central mais iront directement à la box destinataire. En effet l’adresse de destination 6rd contient l’adresse IPv4 de la box du site destinataire, la box émettrice peut donc l’extraire pour construire son tunnel.

  18. Question 18 (1 point) Pourquoi n’est-il pas possible de mettre les fonctionnalités de 6rd sur le routeur où est connecté le PC ?

    L’encapsulation est directement IPv6 au dessus d’IPv4, or les NAT ont besoin d’un protocole de niveau 4 contenant des ports source et destination pour établir les contextes (ICMP est une exception). la méthode de tunneling proposée ne peut donc pas traverser les NAT, il faut impérativement qu’elle se situe sur la box qui possède une adresse publique. 

    Il faut aussi que le routeur connaisse l’adresse publique du site. Il pourrait utiliser STUN pour cela, mais ça complique le déploiement.

  19. Question 19 Donner le contexte que l’on doit trouver dans le NAT du CGN pour permettre la traduction dans les deux sens.

    adresse prive:port privé <=> adresse publique:port publique:adresse IPv6 de la box 

  20. Question 20 Donner les informations que devrait donner une ”haute autorite” pour permettre de retrouver un utilisateur ayant commis un délit sur Internet.

    l’adresse IP ne suffit plus puisqu’elle est partagée entre différents utilisateurs, il faut donc indiquer en plus le numéro de port, mais comme celui-ci est alloué dynamiquement par le NAT et qu’il est réutilisé périodiquement, il faut aussi indiquer a quelle heure s’est fait la capture. Du côté des opérateurs, cela génère également beaucoup plus de log, puisqu’il faut loguer les flux et non plus les utilisateurs.

  21. Question 21 Donnez l’adresse IPv4 et la plage de port qu’utilisera la box

    la longueur de 16 indique que l’index CE sera 7301, comme le prefixe IPv4 est de longueur 24, seul les 16 premiers bit de l’index seront utilisés pour construire l’adresse 192.108.119.115. Les ports seront de la forme  01xx, soit 256 ports possibles

  22. Question 22 Vers quelle adresse IPv6 il sera tunnelé  (on supposera que le SID et l’IID valent 1)?


    on fait l’opération inverse, l’adresse IPv4 se termine par 138 (0x8A) et le port destination commence par 0xCC, le préfixe IPv6 sera donc 2001:660:8ACC::/48, soit 2001:660:8ACC:1::1

  23. Question 23 Comparez en complexité les deux solutions CGN et 4rd. Laquelle est la plus complexe à mettre en œuvre? Pourquoi? Laquelle offre la meilleure utilisation des numéros de port?

    4rd est beaucoup plus simple a mettre en oeuvre que CDN. Quand un paquet IPv4 arrive a l’élément central pour être tunnelé vers une box, dans le cas de 4rd, il suffit de faire une opération simple de traduction pour trouver l’adresse IPv6, dans le cas de CGN, il faut regarder dans la liste des flux actifs pour y retrouver l’adresse IPv6. Par contre le CGN offre un meilleur multiplexage statistique des numéros de port, tandis que 4rd offre un nombre fixe de ports à chaque utilisateur qu’il soit actif ou non

  24. Howdy, I think your site could possibly be having web browser
    compatibility problems.Whenever I take a look at your site
    in Safari, it looks fine however, when opening in IE, it’s
    got some overlapping issues. I simply wanted to provide you with a quick heads up!
    Other than that, excellent website!

    • NO, I cannot deal with all the browsers, I’ve tested with Firefox and Chrome and it is fine. Since I’m on a Mac I’ve not access to IE

Leave a Reply to Adnane Cancel reply