Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation du traitement basé sur les flux IPv6

Découvrez comment les pare-feu SRX Series traitent les paquets IPv6, les en-têtes d’extension IPv6 et les paquets ICMPv6.

L’en-tête de paquet IPv6 et la présentation de SRX Series

Chaque paquet IPv6 possède un en-tête de paquet de base d’au moins 40 octets (320 bits). L’en-tête de paquet IPv6 comporte éventuellement des en-têtes d’extension, qui contiennent des informations supplémentaires sur les périphériques réseau.

Pour les paquets IPv6, le traitement de flux analyse les en-têtes d’extension et les en-têtes de couche de transport de la manière suivante :

  • Si le logiciel rencontre un en-tête TCP, UDP, ESP, AH ou ICMPv6, il analyse l’en-tête et suppose que la charge utile du paquet correspond au type de protocole spécifié.

  • Si le logiciel rencontre un en-tête saut par saut, un en-tête de routage et de destination, ou un en-tête de fragment, il continue d’analyser l’en-tête d’extension suivant.

  • S’il rencontre l’en-tête d’extension no-next-header, le logiciel détecte que le paquet est celui d’un protocole inconnu (protocol est égal à 0).

  • Pour les autres en-têtes d’extension, le logiciel analyse l’en-tête et identifie le paquet comme appartenant au protocole indiqué par l’en-tête d’extension.

Comprendre les extensions d’en-tête de paquet IPv6

Les en-têtes d’extension IPv6 contiennent des informations supplémentaires utilisées par les périphériques réseau (tels que les routeurs, les commutateurs et les hôtes de terminaison) pour décider de la manière de diriger ou de traiter un paquet IPv6. La longueur de chaque en-tête d’extension est un multiple entier de 8 octets. Cela permet aux en-têtes d’extension suivants d’utiliser des structures de 8 octets.

Tout en-tête suivi d’un en-tête d’extension contient une valeur d’en-tête suivant qui identifie le type d’en-tête d’extension. Les en-têtes d’extension peuvent être placés entre l’en-tête IPv6 et l’en-tête de la couche supérieure d’un paquet. La figure 1 montre un paquet IPv6 avec l’en-tête des options saut par saut. De même, un en-tête IPv6 peut comporter zéro, un ou plusieurs en-têtes d’extension, chacun étant identifié par le champ En-tête suivant de l’en-tête précédent. Les en-têtes d’extension suivent toujours l’en-tête IPv6 de base dans l’ordre indiqué dans le Tableau 1 :

Figure 1 : en-tête IPv6 Extension Header de l’extension IPv6
Tableau 1 : en-têtes d’extension IPv6

Nom de l’en-tête

But

Valeur de l’en-tête suivant

Options saut par saut

Spécifie les paramètres de remise à chaque saut sur le chemin vers l’hôte de destination.

Une option saut par saut ne peut apparaître qu’après l’en-tête de base IPv6. S’il est utilisé, il doit s’agir du premier en-tête d’extension. Il ne peut pas apparaître après un autre en-tête d’extension.

0

Destination Options

Spécifie les paramètres de distribution des paquets pour les périphériques de destination intermédiaires ou l’hôte de destination final. Lorsqu’un paquet utilise cet en-tête.

60

Routage

Définit un routage source strict et un routage source lâche pour le paquet. (Avec un routage source strict, chaque périphérique de destination intermédiaire doit être à un seul saut de distance. Avec un routage source lâche, les périphériques de destination intermédiaires peuvent être à un ou plusieurs sauts)

43

Fragment

Spécifie comment exécuter les services de fragmentation et de réassemblage IPv6.

Un nœud source utilise l’en-tête de l’extension de fragment pour indiquer au nœud de destination la taille du paquet qui a été fragmenté afin que le nœud de destination puisse réassembler le paquet.

44

Authentification

Fournit l’authentification, l’intégrité des données et la protection anti-rejeu.

51

Encapsulation de la charge utile de sécurité

Assure la confidentialité des données, l’authentification des données et la protection anti-rejeu pour les paquets ESP (Encapsulated Security Payload).

50

Adresse IP de destination

Identifie l’équipement hôte, ou l’interface sur un nœud, vers lequel le paquet IPv6 doit être envoyé.

L’adresse de destination peut apparaître deux fois, la première instance après la limite de saut suivant l’adresse IP source et la seconde instance après l’en-tête d’extension final.

60

Pour plus d’informations sur IPv6, reportez-vous à RFC2460.

Voir aussi

Comprendre comment les pare-feu SRX Series gèrent les paquets ICMPv6

Cette rubrique explique le protocole ICMP (Internet Control Message Protocol), les messages ICMP et la manière dont Junos OS pour les pare-feu SRX Series les utilisent.

ICMP fournit un cadre pour signaler les erreurs de traitement des paquets, à des fins de diagnostic et pour des fonctions spécifiques à l’implémentation. Les messages d’erreur ICMP permettent à un nœud d’informer un autre nœud qu’un problème s’est produit au cours du transfert de données. Lorsque la version IP 6 (IPv6) a été définie, les différences entre la version IP 4 (IPv4) et celle-ci étaient suffisamment importantes pour nécessiter une nouvelle version d’ICMP.

Chaque message ICMPv6 est précédé d’un en-tête IPv6 et d’un ou plusieurs en-têtes d’extension IPv6. L’en-tête ICMPv6 est identifié par une valeur d’en-tête suivant de 58 dans l’en-tête précédent. Elle est différente de la valeur utilisée pour identifier ICMP pour IPv4. Tous les messages d’erreur ICMPv6 contiennent 32 bits de données spécifiques au type pour aider le destinataire du paquet à localiser le paquet appelant incorporé.

La plupart des paquets ICMPv6 ont les mêmes caractéristiques et le même comportement que les paquets IPv6 normaux, et le module de flux Junos OS les traite via le traitement du premier chemin et du chemin rapide de la même manière que les paquets IPv6 normaux. Le Tableau 2 présente les types de paquets embarqués ICMPv6 que le module de flux gère différemment des paquets ICMPv6 normaux.

Pour ces paquets, le module de flux utilise un tuple qu’il crée à partir du paquet ICMPv6 incorporé pour rechercher une session correspondante. Il continue de traiter le paquet sans modifier l’unité de transmission maximale (MTU) jusqu’à ce qu’il trouve une session correspondante, sauf s’il reçoit un message ICMPv6 Packet Too Big pour l’interface. Dans ce cas, il modifie la taille MTU de cette interface. Si le module de flux ne trouve pas de session correspondante ou s’il ne parvient pas à obtenir un en-tête IPv6 valide à partir de la charge utile intégrée, il abandonne le paquet.

Note:

Un message Packet Too Big est le seul type de paquet ICMPv6 qui peut amener le module de flux à modifier une interface.

Tableau 2 : paquets ICMPv6 que Junos OS gère différemment des autres paquets ICMPv6

Message

Signification

01-Destination inaccessible

Lorsqu’un paquet ne peut pas être livré en raison d’un problème avec la façon dont il est envoyé, il est utile de disposer d’un mécanisme de rétroaction qui peut informer la source du problème, y compris la raison de l’échec de la livraison du paquet. Pour IPv6, le message Destination inaccessible sert à cette fin.

Chaque message comprend un code qui indique la nature du problème à l’origine de l’échec de la livraison des paquets. Il inclut également tout ou partie du paquet qui n’a pas pu être livré, afin d’aider l’équipement source à résoudre le problème.

Lorsque le module de flux rencontre un paquet ICMP de destination inaccessible dont les données d’en-tête de paquet incorporées correspondent aux données à 5 uplets d’une session, le logiciel met fin à la session.

02-Paquet trop gros

Lorsque le module de flux reçoit un message ICMPv6 Packet Too Big qui lui est destiné, il envoie le paquet à la pile de protocoles ICMP sur le moteur de routage pour engager le processus de découverte de l’unité de transmission maximale du chemin (MTU du chemin).

Si le message Packet Too Big ne se rapporte pas à l’appareil, mais qu’il s’agit plutôt d’un paquet de transit, l’appareil tente de faire correspondre les données à 5 uplets incorporées avec une session.

  • S’il existe une session correspondante, l’appareil la transmet au nœud source.

  • S’il n’existe pas de session correspondante, l’appareil abandonne le paquet

Note:

Un message Packet Too Big est le seul type de paquet ICMPv6 qui peut amener le module de flux à modifier une interface.

03-Temps dépassé

Lorsque le module de flux reçoit un paquet qui ne peut pas être livré parce qu’il a dépassé le nombre de sauts spécifié dans le champ d’en-tête de base saut par saut, il envoie ce message pour informer le nœud source du paquet que le paquet a été rejeté pour cette raison.

04-Problème de paramètre

Lorsque l’équipement détecte un problème dans un champ de l’en-tête IPv6 ou des en-têtes d’extension qui l’empêche de traiter le paquet, le logiciel l’ignore et envoie ce message ICMPv6 au nœud source du paquet, en indiquant le type et l’emplacement du problème.