Les autres fonctionnalités clés du protocole Neighbor Discovery sont les suivantes :
A la fin de l'article vous trouverez un petit tester cela vous permettra évaluer les connaissances acquises dans cette lecture
Configuration automatique des adresses (SLAAC)
La configuration automatique des adresses IPv6 est un processus par lequel les nœuds attribuent et configurent automatiquement leurs adresses IPv6 sans avoir besoin d'une intervention manuelle ou d'un serveur de configuration. Ce mécanisme de configuration automatique est basé sur le protocole Neighbour Discovery et les extensions de configuration automatique IPv6. Le fonctionnement du SLAAC est le suivant :
Identification du préfixe du réseau
La première étape de la configuration automatique de l'adresse consiste à obtenir le préfixe réseau. Le nœud acquiert ces informations par différentes méthodes, telles que la réception de messages d'annonce de routeur envoyés par les routeurs du réseau ou via d'autres mécanismes de découverte du réseau.
Génération de l'interface des identifiants
Une fois que le nœud obtient le préfixe réseau, il génère un identifiant d'interface pour créer une adresse unique. Cela peut être basé sur l'adresse MAC de l'interface réseau, bien que d'autres méthodes telles que la génération de nombres aléatoires puissent également être utilisées.
Combinaison de préfixe et d'identifiant d'interface
Le nœud combine le préfixe réseau obtenu avec l'identifiant d'interface généré pour former l'adresse IPv6 complète. Cette adresse est unique au sein du réseau.
Détection de duplication d'adresse
Avant d'utiliser l'adresse configurée automatiquement, le nœud effectue une détection de duplication d'adresse. Cela implique l'envoi de messages de sollicitation de voisin à l'adresse IPv6 générée pour vérifier si elle est déjà utilisée par une autre machine du réseau.
Annonce du routeur
Les routeurs du réseau envoient périodiquement des messages d'annonce de routeur, qui contiennent des informations de configuration réseau et des paramètres pour les nœuds. Ces messages permettent aux nœuds d'acquérir le préfixe réseau et d'autres détails nécessaires à la configuration automatique de l'adresse.
Mise à jour de la table voisine
Lorsque les nœuds communiquent entre eux sur le réseau, ils maintiennent une table de voisins qui stocke les adresses IPv6 et MAC des voisins connus. Ce tableau est continuellement mis à jour au fur et à mesure que de nouveaux voisins sont découverts et que la communication est établie avec eux.
La configuration automatique des adresses dans IPv6 simplifie la configuration du réseau et facilite l'attribution automatique des adresses aux nœuds. En tirant parti du protocole Neighbor Discovery et des extensions de configuration automatique IPv6, les nœuds peuvent attribuer des adresses uniques et établir une communication sur le réseau sans nécessiter de configuration manuelle complexe.
Maintien du statut de quartier
La maintenance de l'état de voisinage dans IPv6 fait référence au processus par lequel les nœuds d'un réseau IPv6 continuent de surveiller et de mettre à jour les informations sur les voisins du réseau.
Ce processus garantit que la table des voisins de chaque nœud est à jour et reflète avec précision les adresses IPv6 et MAC des voisins connus.
Vous trouverez ci-dessous une explication détaillée du fonctionnement de la maintenance de l'état du quartier dans IPv6 :
Surveillance de la connectivité
- Chaque nœud vérifie périodiquement la connectivité avec ses voisins pour s'assurer qu'ils sont toujours actifs et accessibles.
- Ceci est accompli en envoyant des messages de sollicitation de voisin aux adresses IPv6 des voisins et en attendant les réponses d'annonce de voisin.
Mise à jour de la table voisine
- Lorsqu'un nœud reçoit un message d'annonce de voisin, il met à jour sa table de voisins avec l'adresse IPv6 et l'adresse MAC du voisin correspondant.
- Si un changement dans les informations des voisins est détecté, tel qu'un changement d'adresse MAC ou une nouvelle adresse IPv6, la table des voisins est mise à jour avec les dernières informations.
Détection des voisins inaccessibles
- Si un nœud cesse de recevoir des réponses aux demandes de voisins envoyées à une adresse IPv6 spécifique, il marque le voisin correspondant comme inaccessible dans sa table des voisins.
- Cette détection des voisins inaccessibles permet aux nœuds de mettre rapidement à jour leurs informations de voisinage et de s'adapter aux changements du réseau.
Délai aléatoire dans les messages de sollicitation de voisin
- Pour éviter de congestionner le réseau avec des messages simultanés de sollicitation de voisin, les nœuds introduisent un délai aléatoire avant d'envoyer des requêtes.
- Ce délai aléatoire permet de répartir les requêtes dans le temps et réduit la probabilité de collisions et de congestion du réseau.
Expiration des entrées voisines
- Chaque entrée dans la table voisine d'un nœud a une durée de vie associée.
- Si un nœud ne reçoit pas de mises à jour des voisins pendant une période de temps donnée, l'entrée est considérée comme expirée et est supprimée de la table des voisins.
- Cela garantit que la table des voisins est tenue à jour et contient uniquement des informations sur les voisins actifs et accessibles.
Découverte d'itinéraire par défaut
La découverte de route par défaut dans IPv6 est un processus par lequel les nœuds déterminent la route à emprunter pour envoyer des paquets en dehors du réseau local. Cela implique d'identifier et de configurer l'itinéraire par défaut à utiliser lorsqu'un itinéraire spécifique n'est pas spécifié pour une destination particulière.
L'opération de découverte d'itinéraire par défaut est la suivante :
Publicités sur les routeurs
- Les routeurs du réseau envoient périodiquement des messages « Annonces de routeur » via l'adresse de multidiffusion « Tous les routeurs ».
- Ces messages contiennent des informations pertinentes pour la configuration des nœuds, y compris l'indication de la route par défaut.
Indication d'itinéraire par défaut
- Les messages d'annonce de routeur peuvent contenir une option appelée « Route par défaut », qui spécifie l'adresse du prochain saut ou le lien sortant pour les paquets qui n'ont pas de route spécifique.
Traitement des messages d'annonce du routeur
- Lorsqu'un nœud reçoit un message d'annonce de routeur, il vérifie si une option de route par défaut existe.
- Si une option Route par défaut est trouvée, le nœud configure sa table de routage pour inclure la route par défaut spécifiée dans le message.
Sélection de l'itinéraire par défaut
- S'il existe plusieurs options de route par défaut dans les messages d'annonce de routeur, le nœud doit en sélectionner une.
- Le processus de sélection peut reposer sur différents critères, comme la priorité du routeur publicitaire ou la qualité de la connexion.
Mise à jour de la table de routage
- Une fois une route par défaut sélectionnée, le nœud met à jour sa table de routage avec les informations correspondantes.
- Ce tableau comprendra l'adresse de destination de la route par défaut et l'adresse du prochain saut ou de la liaison sortante associée.
Routage des paquets
- Lorsqu'un nœud a besoin d'envoyer un paquet en dehors du réseau local et ne dispose pas de route spécifique, il utilise la route par défaut configurée dans sa table de routage.
- Le paquet est envoyé au saut suivant ou envoyé directement au lien de sortie comme spécifié dans la route par défaut.
La découverte de route par défaut dans IPv6 permet aux nœuds de déterminer automatiquement la route à emprunter pour envoyer des paquets en dehors du réseau local. Lors de la réception et du traitement des messages d'annonce de routeur, les nœuds configurent leur table de routage avec la route par défaut appropriée, garantissant ainsi un routage efficace et correct des paquets dans le réseau IPv6.
Protection contre les attaques d'usurpation d'identité
La protection contre les attaques d'usurpation d'identité dans IPv6 est un aspect important pour garantir la sécurité des communications et empêcher un nœud malveillant d'usurper l'identité d'un autre nœud sur le réseau.
Voici quelques mesures de protection courantes contre les attaques d’usurpation d’identité dans IPv6 :
Filtrage d'adresse MAC
- Le filtrage des adresses MAC implique la configuration des périphériques réseau pour autoriser uniquement la communication avec des adresses MAC spécifiques.
- Cela empêche les nœuds non autorisés de se connecter ou de communiquer sur le réseau.
Configuration appropriée du protocole de découverte de voisin (NDP)
- Le Neighbour Discovery Protocol (NDP) dans IPv6 fournit des mécanismes pour découvrir et maintenir les voisins sur le réseau.
- Il est important de configurer correctement NDP pour empêcher les attaques d'usurpation d'identité, telles que limiter l'acceptation des messages d'annonce de voisin aux seuls routeurs autorisés.
Authentification des messages NDP
- Pour protéger davantage NDP contre les attaques d'usurpation d'identité, l'authentification des messages NDP peut être mise en œuvre.
- Cela implique l'utilisation de techniques cryptographiques, telles que les signatures numériques, pour garantir que les messages NDP proviennent de sources fiables et n'ont pas été modifiés pendant la transmission.
Déploiement de la découverte sécurisée des voisins (SEND)
- Le protocole Secure Neighbor Discovery (SEND) est une extension de sécurité du NDP en IPv6.
- SEND fournit des mécanismes d'authentification et de protection pour les messages NDP, contribuant ainsi à prévenir les attaques d'usurpation d'identité et à garantir l'intégrité et l'authenticité des communications.
Utiliser IPv6 sur VPN
- L'utilisation d'IPv6 sur VPN peut fournir une couche de sécurité supplémentaire en acheminant le trafic IPv6 via une connexion sécurisée.
- Cela permet de protéger les communications IPv6 contre les attaques potentielles d'usurpation d'identité en chiffrant le trafic et en authentifiant les connexions VPN.
Mise en œuvre de politiques de sécurité sur les appareils réseau
- La configuration et l'application de politiques de sécurité sur les périphériques réseau, tels que les pare-feu et les systèmes de prévention des intrusions, permettent de détecter et de bloquer les activités malveillantes sur le réseau IPv6.
- Ces politiques peuvent inclure l'inspection des paquets, la détection des anomalies et la prévention des attaques d'usurpation d'identité connues.
Bref quiz de connaissances
Que pensez-vous de cet article?
Oserez-vous évaluer vos connaissances acquises ?
Livre recommandé pour cet article
Livre IPv6 avec MikroTik, RouterOS v7
Matériel d'étude pour le cours de certification MTCIPv6E mis à jour vers RouterOS v7