Aug 18

Capçaleres IPv6

Reading time: 9 – 14 minutes

ipv6.gif

Basant-me en un parell d’articles de Network Systems Design Line vaig escriure l’article IPv6: repassant les novetats tècniques, doncs bé s’han publicat les parts 3 i 4 que continuen amplicant la introducció feta a les parts 1 i 2 que vaig repassar en el meu article. La part número 3 parla específicament de les característiques de les capçaleres IPv6. Part realment important i interessant en aquesta nova versió IP. Així doncs dedicaré aquest article a resumir la part 3 de l’article de Networki System Design Line que parla sobre les capçaleres IPv6.

IPv6 vs IPv4 formats de capçalera

Per entendre quines són les motivacions que han provat els canvis en la capçalera IPv6 cal tenir clar quins eren els camps de la capçalera IPv4.

  • Version (4bits) obviament conté la versió del protocol en aquest cas fixarem la versió a 4.
  • Header Length (4bits) llargada en octets de la capçalera.
  • Type of Service (ToS) identificador usat en QoS per tal de poder classificar els paquets segons la prioritat que li volem donar.
  • Total length (16bits) llargada en octets del paquet sencer, capçalera més dades. La llargada màxima serà 65.535 octets, que és el màxim que podem definir amb 16 bits.
  • Identification (16bits) Flags (3bits) Fragment Offset (13bits) a través d’aquests tres camps IPv4 implementa el suport de la fragmentació de paquets.
  • Time to Live (TTL) (8bits) número màxim de salts que pot fer un paquet abans d’arribar al seu destí. Amb aquest camp s’evita que si hi ha un problema d’enrutament els paquets saltin infinitament en cercle, sense arribar mai al destí. En cada salt que fa el paquet es decrementa el valor del camp i si aquest arriba a 0 es descarta el paquet.
  • Protocol Number (8bits) indica el codi del protocol que encapsula IP en la capa superior, o sigui, la capa 4. Els números que identifiquen aquests protocols (TCP, UDP, ICMP, etc) els defineix la IANA.
  • Header Checksum (16bits) serveix per comprobar la integritat de les dades de la capçalera.
  • Source IPv4 address (32bits) adreça IP origen.
  • Destination IPv4 Address (32 bits) adreça IP destí.
  • Options (mida variable) s’acostuma a guardar-hi informació necessària per interpretar les dades que transporta el paquet.
  • Padding (mida variable) aquest camp s’usa per ajustar la mida del camp Options a 32 bits totals.
IPv6Figure15.gif

La nova capçalera IPv6 intenta millor els principals problemes de la IPv4 a través de:

  • Mida fixa de la capçalera. Sempre de 40bytes, això afavoreix el poder processar-la de forma més ràpida perquè els routers poden buscar les direccions origen i destí de forma més eficient. Les funcionalitats que tenia IPv4 a través del camp de mida variable, Options ara la obtindrem a través de les extensions de la capçalera, concepte del que es parlarà després.
  • La fragmentació deixa de tenir sentit ja que a través del PMTU discovery els routers ajusten la mida de les trames per tal de que no hi hagi fragmentació en els paquets. Així els camps de Identification, Flags, i Fragment Offset deixen de tenir sentit.
  • Les comprobacions de la capçalera (header checksums) s’eliminen. Aquesta tasca ara és deixa per les capes superiors.

Així doncs, les capçaleres d’IPv6 es defineixen al RFC 2460 i queden com segueix:

  • Version (4bits) versió del protocol IP, sempre fixe a 6.
  • Traffic Class (8bits) fa el mateix que el ToS del IPv4.
  • Flow Label (20bits) a través d’aquest camp identifiquem un fluxe de paquets informant al router que els següents ‘n’ paquets seràn iguals a aquest i per tant, no cal que els processi. Aquesta idea es desenvolupa al RFC 3697. Aquesta informació es fixa en l’origen del paquet i no la poden modificar els routers.
  • Payload Lengh (16bits) com que la capçalera sempre té 40bytes amb 16bits en tenim prou per delimitar la mida de les dades. És important recordar que les extensions de la capçalera es consideren part de les dades.
  • Next Header (8bits) definim quin tipus de extensió de la capçalera segueix a la capçalera bàsica.
  • Hop Limit (8bits) és l’equivalent al TTL. Només se li ha canviat el nom perquè sigui més descriptiu del funcionament del camp.
  • Adreça origen IPv6 (128bits)
  • Adreça destí IPv6 (128bits)

Extensions de capçalera IPv6

Bàsicament les extensions de capçalera són una segona capçalera, opcional, que s’usa per donar les funcions que es donava en IPv4 a través del camp, de mida variable i màxim de 40bytes, Otpions. En IPv6 podem fer aquestes extensions de capçalera tran grans com ens interessin, sempre que respectem la mida màxima del paquet.

A continuació podem veure un exemple d’una capçalera bàsica, i d’una capçalera amb uan extensió de capçalera.

IPv6Figure16a.gif
IPv6Figure16b.gif

A l’RFC 2460 podem trobar les definicions de les extencions de capçalera. Podem trobar-hi, una descripció, el format i la funcionalitat.

Hop-by-Hop Options Header

La capçalera Hop-by-Hop és una extenció de la capçalera bàsica, es defineix en el camp Next Header, de la capçalera bàsica, amb el codi 0. És la única extenció de capçalera que s’ha de processar per tots els nodes del camí entre l’origen i el destí del paquet. S’úsa per exemple per facilitar la expedició de dels Jumbograms (després s’explica què és això), o també facilita que els routers es passin informacions d’expedició (forwarding).

Les opcions que transporta aquesta extenció de capçalera es codifiquen en un format que es diu TLV, a continuació es pot veure un diagrama del format.

IPv6Figure17.gif

Tots els nodes que hi ha en el camí rebran aquesta capçalera i la processaran. Si algún dels nodes no entengues les opcions que conté la capçalera i que ha de processar generaria un paquet de tipus ICMP. Tot i que no totes les opcions han de generar forçosament aquest missatge ICMP, amb això s’eviten problemes d’atacs de denegació de serveig per inundació de paquets ICMP.

És important tenir en compte l’impacte en el rendiment que té el fet de processar les capçaleres hop-by-hop en cada un dels routers. Una de les funcionalitats que té és el fet de suportar paquets molt grans. La capçalera bàsica només permet una mida que es pugui definir en 16bits, o sigui, de com a molt 65.536 octets.

Les extensions hop-by-hop contenen un camp de 32 bits de llargada que pot representar paquets molt grans, anomenats Jumbograms. Quan volguem usar el camp de 32bits de la capçalera hop-by-hop el camp Payload length de la capçalera bàsica el posarem a 0, amb això s’idenfica un paquet Jumbogram.

A través de l’RFC 2711 es defineix l’opció Router Alert que a través de la caçalera hop-by-hop permet enviar intruccions d’expedició (forwarding instructions). Per exemple, per fer reserves d’amplada de banda amb RSVP. O per alertar als routers que han de processar paquets multicast, això es fa a través dels paquets Multicast Listener Discovery.

Destination Options Header

Com el propi nom indica, aquesta extenció de la capçalera bàsica es refereix nomes a les Option de la direcció de destí. Per exemple s’usen amb MIPv6. El codi usat en el camp Next Header a la capçalera bàsica és el 60.

Routing Header

Identificada amb el codi 43, al camp Next Header. S’usa per reforçar el camí a seguir per alguns paquets. El camí el defineix l’origen, i podria no coincidir amb el camí calculat pels routers intermitjos.

La capçalera routing header conté un camp de tipus (type) que permet saber amb exactitut a funcionlitat d’aquesta capçalera. En aquest moment hi ha dos tipus de funcionalitats definides:

  • Type 0 (RFC 2460) especifica tots els salts que ha de fer el paquet per viatjar fins al seu destí. El que faràn els routers intermitjos és anar canviant la direcció destí de la capçalera bàsica en funció de la capçalera extesa per forçar el salt cap al següent node, si haguessin de fer algún salt no contemplat aquest no modificaria la direcció destí d’aquell moment ni apareixeria ni s’afegiria a la capçalera extesa. Per tant, aquests salts no contemplats serien transparents al procés.
  • Type 2 (RFC 3775) usat amb MIPv6. Conté una única adreça unicast, l’adreça del home, i habilita al node corresponent perquè re-envii el tràfic directament a un node mòbil.

Fragment Header

La fragmentació requereix molt de procés en els nodes. Per tal d’evitar les necessitats de sobrecarregar els processadors dels nodes a IPv6 no s’admet la fragmentació de paquets. Abans d’enviar un paquet, l’origen ha de passar per un procés de descobriment de PMTU. Això determinarà quina és la màxima mida que pot tenir un paquet per aquell camí sense que es fragmentin els paquets. Malgrat els routers ja no han de controlar el problema de la fragmentació els nodes destí si que han de saber recomposar un paquet fragmentat. Per tal de poder-ho fer, s’usen les extensions de capçalera Fragment Option Header.

Authentication Header

Aquesta capçalera s’assembla a la capçalera IPSec AH (RFC 2402) usada en IPv4. Aquest sistema autentica l’origen d’una transmissió i assegura la integritat del paquet. El camp Next Header l’identifica amb el codi 51.

Encapsulating Security Payload Header

S’assembla a la idea implmentada en IPSec ESP (RFC 2406) en IPv4. Identificat amb el codi 50 al camp next header.

Mobility Header

Definit a l’RFC 3775 i usat en les comunicacions entre nodes mòbils, nodis corresponents (correspondent nodes) i amb agents domèstics (home agents) en l’establiment i el control de bindings. Identificat amb el codi 135 al next header field.

Acabant…

Amb aquest article n’hi ha prou per veure que el tema de la capçalera s’ha cuidat moltíssim i que hi ha infinitat de combinacions que permeten extendre la capçalera bàsica per gaire bé qualsevol necessitat que se’ns ocurreixi. A més si ens cal fins hi tot podem crear noves extencions per les nostres necessitats. Sota el meu punt de vista aquest és un dels avantatges més potents en IPv6.

Aug 05

IPv6: repassant les novetats tècniques

Reading time: 17 – 28 minutes

ipv6.gif

IPv6 el protocol que des de fa anys i anys ens diuen que serà la versió a substituir al IPv4 comença a estar cada dia més implantat als backbones de les grans empreses, com podria ser google. Malgrat això sota la meva opinió encara trigarem força temps a notar-ho els usuaris mortals. Però mai esta de més començar-se a preparar pel canvi que ens ve a sobre. Per això he decidit resumir un article de dues parts publicat a Network Systems Design Line: An IPv6 Refresher part I (local) i part II (local).

Adreçament IPv6

El principal problema que ha tingut IPv4 per tal de que s’acabessin les direccions IP disponibles ha estat sobretot que no hi havia una planificació d’assignació d’IPs. Els 32bit dels quals disposa IPv ofereixen uns 2.000 milions d’IPs usables. IPv6 planteja usar 128bits per les adreces IP així doncs l’espai adreçable és brutal: 3.402823669e+38 adreces. Malgrat sembli un espai adreçable excessivament gran també es va pensar això dels 32bits del IPv4 fa uns quants anys així doncs millor curar-se en salut. Cal pensar però que el fet de tenir unes adreces IP amb tants bits tindrà un impacte amb el rendiment dels equips de comunicacions. Per exemple, un processador de 64bits és capaç de processar l’adreça origen i la destí d’IPv4 en un sol cicle de CPU però en IPv6 necessitarà 4 cicles de CPU, realment l’increment és molt gran.

Obviament els 128bits es poden respresentar com una successió de 0s i 1s, que a la vegada per tal d’escursar aquesta mida exagerada ho podem representar en números hexadessimals fins a obtenir una successió de 32 caràcters. Però això pels humans encara es fa intractable així doncs podem separar aquesta representació en 8 grups de 4 caràcters hexadessimals separats per dos punts (:). La representació decimal que s’usava en IPv separada per punts no és aplicable a IPv6. Pel que fa a la representació de les adreces IPv6 s’afegeixen un parell de normes més:

  • Eliminem els zeros a l’esquerra. P.e. 00A1 -> A1
  • Els grups de 4 zeros seguits es poden obviar i coloquem només l’indicador de grup, o sigui, els dos punts (:). P.e. 0000:0000:23A1 -> ::23A1
IPv6Figure1.gif

Com que els (:) sempre s’han usat per separar la IP del port, l’RFC 2732 suggereix posar la direcció IPv6 entre corxets per evitar confusions.

IPv6Example1.gif

Arquitectura de les adreces IPv6

A l’RFC 3513 es parla de tres tipus d’adreces:

  • Unicast identifica un node, el tràfic unicast va dirigit a un únic node.
  • Multicast identifica a un grup de nodes, el tràfic multicast va dirigit als nodes del grup.
  • Anycast identifica a un grup de nodes, el tràfic anycast va dirigit al node més proper del grup.

Adreces IPv6 Unicast

El tràfic més important de la xarxa és l’unicast que intenta transportar la informació dels servies IP a través de la xarxa, des d’un node origen cap a un node destí. Per tal de fer agrupacions de nodes que es puguin enrutar IPv4 ens ofereix mecanismes com l’adreçament per subnetting. Així doncs qualsevol IP d’IPv6 esta formada per dos grups un que indica a quina xarxa pertany i un altre que indica quin host és. Per tal de mantenir un paral·lelisme en la forma de d’adreçament es fa igual que en subnetting al final de l’adreça es posa una (/) i el número de bits que defineixen les IPs de xarxa.

L’RFC 3513 deixa molt clar que l’ID d’interficie hauria de ser: “Per totes les adreces unicast, excepte per les que comencin amb el valor binary 000, els IDs haurien de tenir 64 bits de llargada i amb format “Modified EUI-64″”. Aquesta regla preten mantenir un ID únic per totes les interficies de xarxa de forma global. Per generar l’ID d’interficie es pot fer de les següents formes:

  • Generat a partir de l’adreça de capa 2 en format “modified EUI-64”, amb aquesta informació generem el ID de la interficie. Els 7 primer bits de més pes del EUI-64 defineixen l’abast local quan aquests bits els trobem a 0, si els trobem en valor a 1 l’abast és global, no només local. Hi ha diferents mecanismes per definir cada tipus de medi al construir el ID d’interficie en el format “modified EUI-64” (més endavant en tornaré a parlar).
  • L’RFC 3041 defineix com autogenerar de forma aleatoria l’adreça. Aquest mecanisme s’ha desevolupat bàsicament per preservar la privacitat de les adreces globals.
  • Es pot obtenir l’ID d’interficie via DHCPv6.
  • Es pot configurar de forma manual.
  • CGAs basades en l’RFC 3972 a través de hash amb una clau pública. Aquest mètode de generar IDs d’interficie afegeix un nivell de seguretat i ofereix la capacitat d’autenticació. Els procés de descobriment dels veïns (Neighbor Discovery process) usen CGAs.

És important tenir clar el concepte de l’abast (scope), que seria algo així com l’abast del domini d’una xarxa, ja sigui a nivell físic o lògic. El fet de dominar el concepte de l’abast (scope) ens permetrà entendre millor el tràfic d’una xarxa i podrem aplicar polítiques sobre aquest tràfic de forma molt més senzilla. És obvi, que en les xarxes que usen adraçament enrutable, com IP, el direccoinament és essencial i això dona encara més importància a l’abst (scope) al que pertanyen els direccionaments unicast.

En IPv6, les adreces unicast tenen definits tres tipus d’abst (scopes):

  • The link-local scope identifica tots els hosts en un domini de capa 2. Les adreces unicast usades en aquest scope s’anomenen link-local addresses.
  • The unique-local scope identifica tots els dispositius descobribles dintre d’una administrative site o domini que tipicament conté diferents enllaços. Les adreces unicast usades en aquest scope s’anomenen ULAs.
  • The global scope identifica tots els dispositius descobribles a través d’internet. Les adreces unicast usades en aquest scope s’anomenen GUAs.
IPv6Figure2.gif

Els rangs de direccions privades (p.e. 10.x.y.z) usades actualment en les xarxes privades de moltes empreses és un dels temes importants a comentar. El grup de treball de la IETF que ha definit el IPv6 ha definit un scope i un tipus d’adreces unicast anomenat unique-local, mantenint les propietats que ja teniem amb les IPs privades d’IPv4.

Link-Local Addresses

Quan un node d’una xarxa IPv6 es posa en marxa, cada interficie té una direcció de capa 3 que només pot accedir als altres nodes del mateix enllaç. Aquest enllaç local té un abast de les adreces que estan connectats a ell, les adreces d’aquestes interficies s’anomenen adres link-local. En principi aquestes direccions no sabem sortir a través d’un gateway. Com a molt poden descobrir quina és la direcció d’aquesta porta d’enllaç.

IPv6Figure3.gif
IPv6Figure3.gif

Unique Local Unicast Address (ULAs)

Si el que volem és montar-nos un direccionament privat, no enrutable de forma global, tal com feiem amb IPv4 amb, per exemple, 10.x.y.z. el que hem de fer és referir-nos al RFC 4193 on es defineix un scope anomenat unique-local unicast address i les adreces d’aquest abast malgrat han de ser úniques per tot internet, per evitar els problemes que origina en IPv4 el fet de tenir rangs privats no únics, podem continuar tenint direccionaments privats a les nostres xarxes de forma local. Però ara enrutables a través de la resta de nodes d’internet. Per tant, ja no tenim la dependència del NAT com passava en IPv4.

IPv6Figure4.gif

L’espectre reservat per les adreces unicast de tipus ULA és el FC00::/7, tal com podem veure en l’esquema anterior. Alguns comentaris dels elements de l’esquema:

  • L identifica la política d’assignacions. Actualment només s’usa el valor 1 (FD00::/8) informant de que es tracta d’una assignació local.
  • Global ID és un identificador de 40 bits que assegura que la direcció és única. Aquest identificador es genera de forma pseu-aleatoria i no pot ser seqüèncial. Perquè les ULAs no huarien de ser enrutables globalment, no tenen la necessitat de ser agregades, per això els IDs globals no cal que siguin seqüèncials.
  • Subnet ID l’administrador de la xarxa local assigna aquest valor per tal d’organitzar la jerarquia de la xarxa local.
  • Interface ID té el mateix significat per totes les adreces unicast i té 64 bits en format “modified EUI-64”.

Una millora important pel que fa a les ULAs, respecte al sistema de direccions privades anterior, és que ara és més senzill internconnectar dues xarxes privades aïllades a través d’internet. Ja que aquestes saben la forma d’arribar entre una i l’altre sense necessitat d’una VPN. Per exemple, mai hi haurà conflictes d’IP entre dues xarxes privades aïllades gràcies al direccionament IPv6.

Global Unicast Address

Les direccions GUA, com el seu nom indica pretenen ser úniques a nivell mundial i enrutables. Aquestes direccions s’idenfiquen amb els 3 bits de més pes fixats amb els valors “001” (2000::/3), com es defineix en el RFC 3587.

Degut a que l’espai de direccions és molt més gran que en IPv4, per tal de que les taules d’enrutament no sigui excessivament grans IPv6 es veu obligat a establir unes normes en els prefixes d’agregació molt estrictes. Gràcies a això es poden controlar molt millor aquestes taules d’enrutament que tan podrien preocupar pel rendiment dels dispositius de xarxa. S’han dedicat molts esofrços a desenvolupar una estructura flexible que faciliti una simple agregació de les GUAs.

Finalment a l’RFC 3587 es defineixen les agregacions a través d’unes polítiques molt riguroses per tal de simplificar al màxim l’estructura de les GUAs:

IPv6Figure5.gif
  • Global routing prefix l’ISP assigna un tros del seu prefix assignat per la IANA, i aquest reservar un subespai pels seus clients. Normalment menys de 48bits, els procediments a seguir estan comentat a l’RFC 3177.
  • Subnet ID cada organització rep un prefix del seu ISP on el prefix global d’enrutament identifica el SP i la organitzación dins l’SP, i el subnet ID identifica l’estructura de l’organització.
  • Interface ID els 64bits de menys pes s’usen per l’ID d’interficie dels nodes del l’enllaç.

Taula amb el resum de les assignacions d’adreces IPv6 de tipus ULA en el moment d’escriure aquest document:

IPv6Table1.gif

El RIRs actuals són:

  • African Network Information Center (AfriNIC)
  • Asia Pacific Network Information Center (APNIC)
  • American Registry for Internet Numbers (ARIN)
  • Regional Latin-American and Caribbean IP Address Registry (LACNIC)
  • Rseaux IP Europens (RIPE NCC)

Els RIRs assignen troços dels prefixes que han rebut de la IANA als NIR, als LIR, o als ISPs. Per fer totes aquestes assignacions s’usen de 32 a 35 bits.

IPv6Figure6.gif

Special-Use Addresses

Finalment, un petit grup d’adreces unicast té ua definició especial d’ús. No tenen un scrope associciat, per això es discuteixen a part de les altre adreces unicast.

  • The unspecified address is not assigned to any interfaces. However, it is used as an SA by devices that do not have an IPv6 address or their IPv6 address has not been yet proven to be unique within the local link. The unspecified IPv6 address has all 128 bits set to 0. It can be represented as 0:0:0:0:0:0:0:0, or as :: in compressed form.
  • The loopback address is used by every node to refer to itself, and it is similar to the 127.0.0.1 address in IPv4. In IPv6, the loopback address has all the 127 leading bits set to 0, and the last bit is 1. It can be represented as 0:0:0:0:0:0:0:1, or as ::1 in compressed form.

Les altres dos tipus espacials d’adreces esta relacionat en la coexistència entre IPv4 i IPv6. Enllaçant els dos espais d’adreces és molt important suportar la coexistència d’aquests dos espais d’adreces. Així doncs s’han desenvolupat dos mecanismes per mantenir les relacions entre adreces IPv4 i IPv6:

  • The IPv4-compatible IPv6 address was defined to be used for dynamic tunneling and is built by adding the IPv4 address to 96 bits set to 0. This address type was deprecated and it is no longer used.
  • The IPv4-mapped IPv6 address is used to represent the address of an IPv4 node in an IPv6 format. The IPv4-mapped IPv6 address is built by adding the IPv4 address to 80 bits set to 0 followed by 16 bits set to 1.

Exemple: la IPv4 192.168.10.1 amb les seves correspondències IPv6 segons el sistema IPv4-compatible i IPv4-mapped.

IPV6Example4.gif
IPv6Table2.gif

IPv6 Anycast Addresses

Quan una direcció unicast s’assigna a múltiples interficies, típicament que pertanyen a diferents nodes, això s’esdevé en una adreça anycast i s’especifica a l’RFC 3513. Les adreces anycast i unicast no es poden distingir, així doncs cal indicar-li al node que la seva adreça unicast és del tipus anycast. Un paquet de tipus anycast serà entregat a l’adreça destí unicast més propera que trobi. Una adreça anycast no es pot usar com a adreça origen. Sovint aquest recurs, anycast, s’usa per replicar serveis molt importants dins d’una xarxa, com podrien ser els DNS, els servidors web, etc.

L’adreça anycast del router de la subxarxa es defineix a l’RFC 3513 per cada prefix com l’adreça amb l’ID d’interficie a ‘0’. Un router ha de suportar l’adreça anycast del router de la subxarxa per tots els prefixes configurats a les seves interficies. Un paquet que vagi dirigit a alguna de les interficies haurà de ser entregat al router més proper que tingui una interficie amb aquest prefix.

L’RFC 2526 defineix un conjunt adicional d’adreces anycast reservades donat un prefix. A continuació podem veure l’estrucutra de les adreces anycast.

IPv6Figure8.gif

El format de les adreces deixa clar l’intent de reservar part de les adreces d’una subxarxa per usar-les com a anycast. Això es va fer per evitar possibles conflictes amb altres adreces reservades. El camp anycast ID del gràfic anterior pot prendre els següents valors: 0 a 125,127 (00-7D, 7F) estan reservades; ID 126 (7E) és l’única que esta en ús per les adreces anycast dels agents domèstics d’MIPv6.

Note: MIPv6 provides a host with a mechanism to discover the address of one of his home agents (HAs). The host can attempt to register to the home agent’s anycast address (described in this section) hosting its home prefix. One of the HAs will receive the request, reject the registration, and instead reply to the host with a list of the actual addresses of the HAs it can use.

IPv6 Multicast Addresses

Una adreça multicast identifica un grup d’interficies. Un paquet amb una direcció de destí multicast s’entregarà a tots els membres del grup. Cal recordar també que una adreça multicast no pot ser mai origen. Una adreça multicast té els seus 8 bits de més pes amb valors a 1 (FF00::/8) com podem veure en el següent gràfic.

IPv6Figure9.gif

Tres dels quatre bits en els flag estan en usa actualment:

  • El bit de menys pes “T” definit a l’RFC 3513 té sempre com a valor 0 per les adreces multicast assignades per la IANA. Si té valor 1, es refereix a adreces multicast no assignades de forma permanent.
  • El bit “P” definit a l’RFC 3306, indica que una adreça multicast esta basada (1) o no (0) en una adreça unicast.
  • El bit “R” definit a l’RFC 3956, si té com a valor 1 indica que conté adreces unicast del tipus RP (repetidors de multicast) en el grup d’adreces que conté.

El 4rt bit que falta esta reservat per usos futurs i actualment es deixa sempre fix a 0. El bit “P” indica que una adreça multicast esta formada en base a una adreça unicast; perquè una adreça unicast es considera que té un temps de vida limitat, per tant, una adreça multicast d’aquest tipus no podrà ser permanent. Això vol dir que el bit “P” amb valor 1 requereix que el bit “T” també tingui valor 1.

Scoping és una potent funcionalitat incorporada a les adreces multicast d’IPv6. Proporciona als routers la informació necessaria per transportar el tràfic multicast al domini que toca. A continuació podem veure una taula amb els possibles valors dels 4 bits.

IPv6Table3.gif

Unicast-Prefix-Based Multicast Addresses

Les adreces GLOP que es van introduir a IPv4 per tal de crear adreces multicast globals i úniques per organitzacions que tinguessin ASNs. Les adreces es contruien en base als ASNs globlas i únics. L’RFC 3306 amplia aquest concepte i defineix un mecanisme que genera adreces multicast IPv6 globals basades en un prefixe unicast com podem veure en el següent gràfic.

IPv6Figure10.gif

Els bits reservats es fixen a 0 (els 64 bits del camp del prefixe unicast). Per exemple, a continuació podem veure l’adreça multicast de la direcció unicast 2001:100:abc:1::/64.

IPv6Example5.gif

Nota: L’abast de l’adreça unicast basada en el prefix no huaria d’exedir la del prefixe unicast “embedid”.

Solicited-Node Multicast Addresses

A partir de l’adreça unicast de capa 3 gràcies a aquest mecanisme podem saber l’adreça d’enllaç local (la MAC). El format de l’adreça FF02::1:FF00:0000/104, on els 24 bits de menys pes són els mateixos per les adreces unicast que anycast que les han generat. Això representa un mètoda deterministic per identificar el grup d’enllaços locals multicast en que un host amb una direcció IPv6 unicast esta escoltant. Si no es pot determinar això llavors aquesta informació multicast s’ha d’enviar a l’adreça del solicited-node multicast.

IPv6 and Layer 2 Addressing

Les adreces IPv6 tenen dues correlació amb les adreces de capa 2. La primera IPv6 és capaç de generar un ID d’interficie a partir d’una adreça de capa 2. La segona és comuna amb IPv4, proveeix d’un mecanisme per mapejar les adreces IP mutlicast amb les adreces multicast de capa 2.

EUI-64 Interface Identifiers

La IEEE va especificar el format d’identificadors EUI-64. Per fer un identificador IPv6 d’ID d’interficie, la única cosa que s’ha de fer és moure el sisé bit en l’ordre estàndard d’internet (universal/bit local).

La IEEE també va especificar un mecanisme per generar un identificador de 64bits (EUI-64) a partir dels 48 bits de l’adreça de capa 2. Amb aquest mecanisme podem establir una correlació entre les adreces MAC i les ID d’interficie com a part de l’adreça IPv6. A continuació pdoem veure un exemple de com es genera un ID d’interficie a partir d’una MAC. Primer cal crear l’identificador EUI-64 i després el modifiquem per crear l’ID d’interficie.

IPv6Figure13.gif

Pv6 Addressing Architecture at a Glance

IPv6Table6.gif
IPv6Table6b.gif
Mar 07

protocol de capa 4: SCTP (Stream Control Transmission Protocol)

Reading time: 3 – 4 minutes

Tot navegant per la xarxa fa uns dies que vaig trobar un breu document d’IBM que parlava d’un protocol que fa temps que coneixo però que mai m’havia parat a pensar com funcionava per dintre. Es tracta d’un protocol de la capa de transport que intenta ser una eina molt més precisa i efectiva en alguns problemes que presenten els protocols TCP i UDP al transportar aplicacions d’streaming per sobre seu. Tot i la seva orientació a aplicacions multimèdia es pot usar per moltes altres aplicacions.

stack-ip.gif

Més que fer un resum de les aplicacions que són òptimes corre sobre aquest relativament nou protocol (l’RFC és de l’any 2000) el que jo he trobat molt interessant i que vull explicar una mica aquí són dues funcionalitats que desconeixia completament d’aquest protcol:

1) Multi-homing

En un enllaç podem adreçar el tràfic d’un host a un altre a través de més d’una interficie de xarxa i de més d’una IP. A diferència del protocol TCP les comunicacions no s’estableixen entre un socket que uneix dos hosts, sinó que SCTP ens permet establir connexions que permeten connectar dos hosts a través de més d’una interficie simultaneament. El sorprenent és que el propi protocol de transport, al igual que fa TCP, s’encarrega d’entregar els paquets de forma ordenada a la capa d’aplicació.

esquema1.gif

2) Multi-streaming

Cada paquet SCTP té una associació d’stremas, o sigui, multiples streams en el seu interior. L’importància d’això esta en que, per exemple, quan estem esperant una retransmissió després d’haver perdut un paquet; això no afecta als altres streams de l’associació d’streams. Aquest és el problema més greu que tenim en TCP, perquè si ens falta el paquet inicial aquest bloc d’informació que ens falta bloqueja la resta d’informació que ja hem rebut. Per això, no és gens òptim treballar en connexions TCP si estem usant aplicacions basades en stream de dades. A part dels problemes de sobrecarrega de tràfic que suposa haver de tenir una capçalera tan pesada com la TCP, en protcol que depenen tan de la latència del canal.

esquema2.gif

El document també ens parla d’altres característiques molt interessants d’aquest protocol de transport. Per exemple, que per negociar l’obertura d’un enllaç ja no es fa amb una three-way handshake sinó que s’usa un sistema millorat que evita de forma intrínseca els problemes de SYN flood. La resta de característiques no les he vist especialment interessants així que si les voleu coneixer us convido a llegir el document en que m’he inspirat per escriure això: Better networking with SCTP (local).

Dec 09

eXternalTest – control de serveis i sites online des d’internet

Reading time: 1 – 2 minutes

externaltest.gifTot posant-me al dia dels tropocientosmil feeds que tenia atrassats d’aquests dies de massa feina m’he trobat, no em feu dir on, un site molt útil. Ens permet supervisar des de tot el món quina és la visibilitat dels nostres sites i/o serveis. Ens fa informes tan en format de text, com gràfics. Realment si teniu aquesta necessitat ús el recomano moltíssim ja que sobretot de cara a informar a clients de forma certificiada quina és la vostre disponibilitat, latència, etc. crec que és molt útil. A més també pot generar alarmes per falles de servei.

De moment no fa prou dies que tinc funcionant el servei com per posar-vos alguna gràfica xula, però ús animo a que monitoritzeu les vostres xarxes públiques a internet amb eXternalTest gratuïta, almenys de moment.

Nov 19

La web de Torrelavit: www.torrelavit.net

Reading time: 1 – 2 minutes

sadevesal.jpg

Impressionant, fa uns dies vaig descobrir la ‘súper web’ del meu poble i no només això sinó que tinc un iman d’aquells que es pengen a la nevera perquè no se m’oblidi la web. Realment impressionant, com avança el poble.

Per cert, si ho voleu saber tot, però tot sobre el poble no ús perdeu la web. Me l’he estat mirant una bona estona i jo diria que no li falta res, fins hi tot m’ha aparegut una esglesia que no he vist mai i això que hi vaig neixer aquí. Però bé, ara ja tinc una missió buscar aquesta esglèsia que mai he vist. Això de Sant Martí Sadevesa em sona, però la veritat no sé ni on és.

De fet, com ja vaig comentar fa un temps he de redescobrir el meu entorn. Recordeu aquest post: re-descobrint els voltants de casa. Així que hauré de continuar amb el tema, perquè això no pot ser. Ara si tenim en compte que sóm unes mil persones i si mires tot el que posa a la web sembla fins hi tot que siguem un gran poble. A veure si realment ho serem i ja no ho recordava. Però com deia abans, sempre esta bé re-descobrir-se.

Dec 08

Siproxd – a masquerading SIP proxy

Reading time: 1 – 2 minutes

De ben segur que en la mesura que Movilpoint ho permeti em sentireu parlar molt de VoIP, ja que fa temps que en Xoli i jo hi remenem coses que amb el temps i una canya podrien arribar a ser grosses, mentrestant aquí teniu aquesta utlitat tan interessant: Siproxd

Siproxd is a proxy/masquerading daemon for the SIP protocol. It handles registrations of SIP clients on a private IP network and performs rewriting of the SIP message bodies to make SIP connections work via an masquerading firewall (NAT).

It allows SIP software clients (like kphone, linphone) or SIP hardware clients (Voice over IP phones which are SIP-compatible, such as those from Cisco, Grandstream or Snom) to work behind an IP masquerading firewall or NAT router.

SIP (Session Initiation Protocol, RFC3261) is the protocol of choice for most VoIP (Voice over IP) phones to initiate communication. By itself, SIP does not work via masquerading firewalls as the transfered data contains IP addresses and port numbers. There do exist other solutions to traverse NAT existing (like STUN, or SIP aware NAT routers), but such a solutions has its disadvantages or may not be applied to a given situation. Siproxd does not aim to be a replacement for these solutions, however in some situations siproxd may bring advantages.

Nov 19

Extensions de Firefox que uso

Reading time: 3 – 5 minutes

firefox.png

Per win ja fa temps que uso Firefox i totes les versions que han anat sortint fins a la versió 1, que tan soroll va fer fa uns dies. Però al linux fins avui usava el Mozilla, així que finalment m’he decidit a instal·lar la versió 1.0 de Firefox i disfrutar de les seves millores sobretot a nivell de velocitat. També he notat que usa una serie de fonts que no són iguals que les que em sortien en Mozilla, molt més boniques, és clar. Bé doncs com no li he posat algunes extensions que em són molt útils:

  • Linky permet administrar enllaços existens dis d’una pàgina, encara que no estiguin marcats com a tal en el codi HTML. La utilitat més interessant que li trobo és permetre verificar que tots els enllaços inclosos en un post publicat al weblog són vàlids. Per això només cal seleccionar l’entrada, primer el botó dret del ratolí­ i seleccionar l’opció Linky -> Open Selected Links in Tabs. D’aquesta forma tots els enllaços que tenim dins el text seleccionat es previsualitzen i, si volem, s’obren en pestanyes separades la qual cosa ens permet verificar que realment funcionen d’una forma encara més comode.
  • BUGMENOT ens dona un usuari i un pass en milers de pàgines que ho requereixen, sobre tot les més famoses. Tot i que jo dec ser gafe perquè al NYT no m’ha funcionat mai.
  • MozEx podem editar una ‘textarea’ amb l’editor que volguem. Aquesta extensió la vaig coneixer a partir del forum del Blog:CMS, concretament en aquest article, on es parla del mozex de mozilla.
  • Web Developer es tracta d’una barra de botons, que no tinc sempre carregada, però que és molt útil quan alguna de les webs personals que mantinc dona algún que altre problema de codi, és realment útils si toqueu webs a nivell de codi, o su uns ‘fisgons’.
  • AdBlock simplement una extensió que intenta bloquejar-nos tots els anuncis que porten les webs d’avui en dia, un ‘incordio’ realment. No va malament del tot.
  • Bloglines Toolkit permet sindicar-se als RSS a través de bloglines mentre estas navegant.
  • SiteBar aquesta extensió em permet usar el SiteBar a la sidebar del Firefox. Si no coneixeu el SiteBar, jo el trobo molt més útil que el del.icio.us. Fa temps vaig escriure sobre el SiteBar: SiteBar: Servidor de Bookmarks/Favoritos

Si busqueu alguna extensió més ‘rara’ que jo no uso, podeu passar-vos per la part d’extensions de la web de mozilla, concretament al producte firefox. Per altra banda també he trobat una pàgina amb una recopilació de les extensions que esta molt bé: Extensions Room de mozdev.org. Si algú vol desenvolupar extensions per Firefox he trobat una guia ràpida.

Una cosa que no sé fer amb el firefox i que m’agradaria saber fer, per si algú ho sap, és aconseguir que es guardin les pàgines de tots els tabs quan tanqui el navegador de forma que quan el torni a obrir es tornin a carregar automàticament.

Nov 15

Treballant amb cookies de sessió i PHP

Reading time: 1 – 2 minutes

A vegades necessitem parlar amb una web des de PHP i aquesta usa cookies de sessió sense les quals no podem parlar amb la web. Per agafar la cookie d’inici de sessió podem usar aquesta funció:

function getgaleta($server, $port)
{
   $cont = "";
   $ip = gethostbyname($server);
   $fp = fsockopen($ip, $port);
   if (!$fp)
   {
       return "Unknown";
   }
   else
   {
       $com = "GET http://www.barcelonastyle.com/gc/web/webesp/framesetxsl.asp HTTP/1.0rnrn";
       fputs($fp, $com);
       while (!feof($fp))
       {
           $cont .= fread($fp, 500);
       }
       fclose($fp);
       return substr($cont, strpos($cont, "Set-Cookie: ")+12, 45);
   }
}

Si ara que ja tenim la cookie el que volem fer és usar-la per fer peticions contra el site, podem usar aquesta altre funció:

function getcontent($server, $port, $file,$galeta)
{
   $cont = "";
   $ip = gethostbyname($server);
   $fp = fsockopen($ip, $port);
   if (!$fp)
   {
       return "Unknown";
   }
   else
   {
       $com = "GET http://".$server.$file." HTTP/1.0rnCookie:".$galeta."rnrn";
       fputs($fp, $com);
       while (!feof($fp))
       {
           $cont .= fread($fp, 500);
       }
       fclose($fp);
       return $cont;
   }
}

Tonto però útil, tinc moltíssimes més funcions però tampoc és qüestió de marejar, només que les he trobat útils aquestes junt amb les dues anteriors.

Nov 14

Understanding and Attacking DNS

Reading time: 2 – 2 minutes

dns.gif

The Domain Name System (DNS) is a distributed resource used by most every network application. DNS data is generally trusted implicitly; false data therefore can jeopardize the integrity of network traffic and allow attackers to play manin- the-middle with all traffic. DNS security depends on the client, server, and their respective trust relationship. Securing the trust relationship and building a reliable server can create a reliable and secure DNS structure for the system administrator behind your corporate and private communication requirements. Security of a DNS server varies according to its active role and name resolution requirements. Server responsibilities can be classified as one of three types. Depending on the need of the server, one specific role should be chosen; in particular situations, multiple roles can be supported simultaneously on one physical server. In this shared configuration, authoritative and resolver servers are generally together. Running an individual server for each DNS role is ideal, specifically in a large production environment. After understanding the individual roles and mechanics between each server and experiencing problems individually, an administrator can securely and reliably maintain multiple DNS roles on a single system. DNS security is custom for each type of server, each type of communication, and each common software distribution, all of which will be explained in this article via an in-depth walkthrough.

Nov 24

Presentació IDS

Reading time: < 1 minute Pel treball final de carrera estic preparant la presentació que usaré, de moment ja estic elavorant la segona versió i porto 36 diapositives... si algú esta interessat en donar-li un cop d'ull i criticar que sempre va bé, aquí ús adjunto la URL on es pot veure: http://oriol.joor.net/IDS/presentacio

també ús recordo que el diari del q vaig fent del projecte final de carrera continua penjat a:

http://oriol.joor.net/IDS/diari.txt

Com sempre desitjo que ús sigui útil. Per cert, per molt que pesi només es veu bé amb Explorer la presntació, coses del powerpoint…