Nghien cuu ipv6 va thuc nghiem vpn tren ipv6x

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM

KHOA CÔNG NGHỆ THÔNG TIN

-----------o0o-----------

ĐỒ ÁN CHUYÊN NGÀNH

Đề tài

Nghiên cứu IPv6 và thực nghiệm VPN trên IPv6

Sinh viên thực hiện:

Đỗ Đình Xuân – MSSV:09b1020121

Phạm Hải Hòa – MSSV:105102164

THÀNH PHỐ HỒ CHÍ MINH 2010

Xây Dựng VPN Trên IPv6

LỜI CẢM ƠN

Để thực hiện được đề tài này, chúng em xin chân thành cảm ơn quý thầy cô, các bạn,

gia đình đã tạo điều kiện cho chúng em học tập và nghiên cứu.

Đặc biệt chúng em cảm ơn thầy Nguyễn Văn Sinh đã nhiệt tình giúp đỡ hướng dẫn

chúng em thực hiện đồ án này.

Mặc dù chúng em đã cố gắng hết sức để nghiên cứu đề tài, nhưng do thời gian có hạn

không thể tránh khỏi những thiếu sót, rất mong sự đóng góp của quý thầy cô và các bạn,

để có những kiến thức hoàn thiện hơn.

Cuối cùng chúng em xin cảm ơn, kính chúc quý thầy cô và các bạn dồi dào sức khỏe

GVHD: Nguyễn Văn Sinh - 1 -


MỤC LỤC

Lời mở đầu................................................................................trang 4

Chương 1: Tổng Quan về IPv6

1. Giới thiệu về IPv6............................................................trang 7

1.1.Giới Thiệu.......................................................................trang 7

1.2.Đặc Điểm........................................................................trang 8

1.2.1 Không gian địa chỉ lớn..............................................trang 8

1.2.2 Địa chỉ phân cấp, hạ tầng định tuyến hiệu quả.....................trang 9

1.2.3 Khuôn dạng Header đơn giản hóa.............................trang 9

1.2.4 Tự cấu hình địa chỉ...................................................trang 9

1.2.5 Khả năng sát thực và bảo vệ an ninh.......................trang 9

1.2.6 Hỗ trợ tốt hơn về QoS.............................................trang 9

1.2.7 Hỗ trợ tốt hơn về tính năng di động.........................trang 9

1.2.8 Khả năng mở rộng...................................................trang 10

2. Các cấu trúc địa chỉ IPv6................................................trang 10

2.1 .Địa chỉ IPv6..................................................................trang 10

2.2 .Không gian địa chỉ........................................................trang 12

2.3 .Cấp phát địa chỉ............................................................trang 14

2.4 .Định dạng gói tin..........................................................trang 21

2.5 .Vùng Header mở rộng.....................................................trang 28

3. Sự chuyển tiếp từ IPv4 sang IPv6......................................trang 39

3.1 .Đặt vấn đề.......................................................................trang 39

3.2 .Các phương thức chuyển đổi............................................trang 41

3.2.1 chồng giao thức.........................................................trang 41

3.2.2 Đường hầm ipv6 qua ipv4.....................................trang 42



3.2.3 6 over 4.......................................................................trang 45

3.2.4 6 to 4........................................................................trang 48

3.3.Mô giới đường hầm.......................................................trang 50

3.4.Dịch địa chỉ - dịch giao thức.............................................trang 52

3.5.Một số cơ chế khác..........................................................trang 54

Chương 2: Tổng quan về VPN................................................trang 62

1. Giới Thiệu về VPN...............................................................trang 62

1.1.Giới thiệu.............................................................................trang 62

1.2.Một Số Khái Niệm..............................................................trang 62

1.3.Sự Phát Triển.....................................................................trang 64

1.4.Ưu Điểm/Khuyết Điểm........................................................trang 65

2. Các Dạng VPN.......................................................................trang 67

2.1.Remote access VPN............................................................trang 67

2.2.Intranet VPN........................................................................trang 70

2.3.Extranet VPN.....................................................................trang 72

3. Bảo Mật VPN........................................................................trang 74

3.1.Xác nhận người dùng và quản lý truy cập...........................trang 74

3.2.Mã hóa dữ liệu.................................................................trang 76

3.3.Cơ sở hạ tầng khóa chung..................................................trang 80

4. Các Giao Thức VPN............................................................trang 92

4.1.Kỹ thuật đường hầm..........................................................trang 92

4.2.Giao thức đường hầm.......................................................trang 93

4.3.Ipsec.................................................................................trang 94

4.4.L2TP (Layer 2 tuneling Protocal)......................................trang 101

4.5.PPTP ( Point to point tuneling protocal).........................trang 103

Chương 3: Xây Dựng VPN Trên IPv6.....................................trang 106

1. Ý Tưởng mô hình bài lab.................................................trang 106



2. Từng bước xây dựng và cấu hinh...................................trang 107

2.1.Phần mềm và thiết bị..........................................................trang 107

2.2.Mô tả mô hình mạng..........................................................trang 107

2.3.Từng bước cấu hình...........................................................trang 107

2.4.Kết quả...............................................................................trang 110

Chương 4: Kết Luận và Hướng Phát triển..........................................

1. Kết luận................................................................................................

2. Hướng phát triển...............................................................................


MỞ ĐẦU

1. Giới thiệu

Ngày này, máy tính không đơn thần là công cụ làm việc của mọi người, nó

còn là thiết bị lưu trữ dữ liệu, truyền tải thông tin...góp phần không nhỏ vào công

viêc, học tập, nghiên cứu và các lĩnh kinh doanh, sản xuất....phát triển. Do đó lợi ích

của công nghệ thông đối với xã hội là không nhỏ.

Vì vậy xã hội càng phát triển thì nhu cầu về khoa hoc công nghệ càng cao vì lý

do đó sự bùng nổ về công nghệ thông tin là tất yếu, giá trị của nó là rất lớn góp

phần thúc đẩy mọi lĩnh vực phát triển, làm cho con người có thông tin kiến thức

nhanh hơn, mọi người gần nhau hơn. Các chuyên gia về công nghệ thông tin đã

không ngừng nghiên cứu nhằm đưa ra những sản phẩm, dịch vụ ngày càng tốt hơn,

trong đó phải kể đến mạng máy tính, không thể thiếu với mỗi con người đặc biệt

với các công ty và doanh nghiệp lớn.

2. Đặt vấn đề

Như đã nói internet là nhu cầu không thể thiếu đỗi với mỗi người trong thời đại

hiện nay, nó không chỉ là nguồn cung cấp thông tin, quản cáo, ... nó còn kết nối các

công ty và doanh nghiệp với nhau đặc biệt là với những công ty nhiều chi nhánh

hay công ty đa quốc gia thì việc sử dụng internet giúp cho dữ liệu được thông suốt

các chi nhánh có thể làm việc thống nhất đồng bộ, có rất nhiều giải pháp làm được

điều này, nhưng trong đề tài này tôi chỉ nói đến là giải pháp VPN (vitual protacal

network).

Sự bùng nổ về công nghệ thông tin cũng góp phần làm cho nguồn tài nguyên địa chỉ

IPv4 đang dần cạn kiệt, để khắc phục khó khăn này và đáp ứng nhu cầu xã hội thì

IPv6 đã ra đời, sự ra đời của IPv6 với không gian địa chỉ gần như vô hạn và những

tính năng vượt trội so với IPv4, nhưng trên thực tế IPv6 chưa thể thay thế hoàn toàn


IPv4 cần có những giải pháp để đồng bộ IPv6 và IPv4 với nhau trong giờ gian

chuyển giao công nghệ. Trong để tài này Tôi sẽ nói về IPv6, VPN và giải phát VPN

trên IPv6 trong môi trường mạng internet vẫn còn IPv4.

3. Nhiệm vụ đề tài

Nghiên cứu về IPv6 và xây dựng VPN trên IPv6

4. Cấu trúc đề tài

Gồm 3 chương:

Chương 1: Tổng quan về IPV6

Chương 2: Tổng quan về VPN

Chương 3: Thử nghiệm và ứng dụng VPN trên IPV6

Chương 4: kết luận và hướng phát triển



Chương 1 TỔNG QUAN VỀ IPV6

1. Giới thiệu ipv6

1.1.Giới thiệu

Phiên bản IPv6 là một phiên bản mới của Internet. Nó được xây dựng trên cơ sở

của giao thức IPv4 nhằm tận dụng các ưu điểm và khắc phục hạn chế của IPv4.

Thay đổi của IPv6 chủ yếu sau:

Mở rộng không gia dia chi IPv6 có địa chỉ nguồn và đích dài 128 bít, không

gian địa chỉ lớn của IPv6 được thết kế dự phòng đủ lớn cho phép phân bổ địa chỉ và

mạng con từ trục xương sống Internet đến từng mạng con trong một tổ chức. Tính

biến đổi được lộ trình nhiều sắc thái được cải thiện gần thêm một phạm vi giải

quyết tới những địa chỉ nhiều sắc thái.

Sự đơn giản hoa khuôn dạng đầu mục (Header): Header của IPv6 được thiết

kế để giảm chi phí đến mức tối thiểu. Điều này đạt được bằng cách chuyển các

trường không quan trọng và các trường lựa chọn sang các header mở rộng được đặt

phía sau của IPv6 header. Khuôn dạng header mới của IPv6 tạo ra sự xử lý hiệu quả

hơn tại các ruoter.

Tiến bộ hỗ trợ cho những mở rộng và những tuỳ chọn: Thay đổi trong cách

mà những tuỳ chọn đầu mục IP được mã hoá kể cả hiệu quả hơn đẩy tới ít hơn

những giới hạn về khó khăn trên những tuỳ chọn mới trong tương lai.

Khả năng ghi nhãn luồng: Một khả năng mới được thêm để cho phép sự ghi

nhãn của những gói thuộc về tới giao thông “chảy” đặc biệt cho người gửi nào



những yêu cầu đặc biết điều khiển, như không mặc định chất lượng của dịch vụ

hoặc “ thời gian thực “ dịch vụ.

Những khả năng chứng thự và riêng tư: Những mở rộng để chứng thực sự toàn

vẹn dữ liệu được chỉ rõ cho IPv6

1.2.Đặc điểm

Trong IPv6 giao thức Internet được cải tiến một cách rộng lớn để thích nghi

được sự phát triển không biết trước được của Internet. Định dạng và độ dài của

những địa chỉ IP cũng được thay đổi với những gói định dạng. Những giao thức liên

quan, như ICMP cũng đựơc cải tiến. Những giao thức khác trong tầng mạng như

ARP, RARP, IGMP đã hoặc bị xoá hoặc có trong giao thức ICMPv6. Những giao

thức tìm đường như RIP, OSPF cũng được cải tiến khả năng thích nghi với những

thay đổi này. Những chuyên gia truyền thông dự đoán là IPv6 và những giao thức

liên quan với nó sẽ nhanh chóng thay thế phiên bản IP hiện thời.

Thế hệ mới của IP hay IPv6 có những ưu điểm như sau:

1.2.1. Không gian địa chỉ lớn

IPv6 có địa chỉ nguồn và đích dài 128 bít. Mặc dù 128 bít có thể tạo hơn

3,4*10 tổ hợp, không gian địa chỉ của IPv6 được thiết kế dự phòng đủ lớn cho

phép phân bổ địa chỉ và mạng con từ trục xương sống internet đến từng mạng con

trong một tổ chức. Các địa chỉ hiện đang phân bổ để sử dụng chỉ chiếm một lượng

nhỏ và vẫn còn thừa rất nhiều địa chỉ sẵn sàng cho sử dụng trong tương lai. Với

không gian địa chỉ lớn này, các kỹ thuật bảo tồn địa chỉ như NAT sẽ không còn cần

thiết nữa.

1.2.2. Địa chỉ phân cấp, hạ tầng định tuyến hiệu quả

Các địa chỉ toàn cục của Ipv6 được thiết kế để tạo ra một hạ tầng định tuyến hiệu qủa, phân cấp và có thể tổng quát hoá dựa trên sự phân cấp thường thấy của


38


các nhà cung cấp dịch vụ Internet (ISP) trên thực tế. Trên mạng Internet dựa trên IPv6, các router mạng xương sống (backbone) có số mục trong bảng định tuyến nhỏ hơn rất nhiều.

1.2.3. Khuôn dạng Header đơn giản hóa

Header của IPv6 được thiết kế để giảm chi phí đến mức tối thiểu. Điều này đạt

được bằng cách chuyển các trường không quan trọng và các trường lựa chọn sang

các header mở rộng được đặt phía sau của IPv6 header. Khuôn dạng header mới của

IPv6 tạo ra sự xử lý hiệu quả hơn tại các router.

1.2.4. Tự cấu hình địa chỉ

Để đơn giản cho việc cấu hình các trạm, IPv6 hỗ trợ cả việc tự cấu hình địa chỉ

stateful như khả năng cấu hình server DHCP và tự cấu hình địa chỉ stateless (không

có server DHCP). Với tự cấu hình địa chỉ dạng stateless, các trạm trong liên kết tự

động cấu hình chúng với địa chỉ IPv6 của liên kết (địa chỉ cục bộ liên kết) và với

địa chỉ rút ra từ tiền tổ được quảng bá bởi router cục bộ. Thậm trí nếu không có

router, các trạm trên cùng một liên kết có thể tự cấu hình chúng với các địa chỉ cục

bộ liên kết và giao tiếp với nhau mà không phải thiết lập cấu hình thủ công

1.2.5. Khả năng xác thực và bảo mật an ninh

Tích hợp sẵn trong thiết kế IPv6 giúp triển khai dễ dàng đảm bảo sự tương tác

lẫn nhau giữa các nút mạng.

1.2.6. Hỗ trợ tốt hơn về dich vụ QoS

Lưu thông trên mạng được phân thành các luồng cho phép sử lý mức ưu tiên

khác nhau tại các router.

1.2.7. Hỗ trợ tốt hơn về tính năng di động

Khả năng di động MobileIP tận dụng được các ưu điểm của IPv6 so với IPv4



1.2.8. Khả năng mở rộng

Thiết kế của IPv6 có dự phòng cho sự phát triển trong tương lai đồng thời dễ

dàng mở rộng khi có nhu cầu.

2. Cấu trúc địa chỉ ipv6

2.1.Địa chỉ ipv6

Một địa chỉ gồm có 16 byte, đó là 128 bít độ dài. Kiểu ký hiệu dấu 2 chấm

trong hệ đếm 16 ( Hexadecimal Colon Notation):

Để làm cho những địa chỉ trở nên có thể đọc được nhiều hơn, IPv6 trình bầy rõ

trong kiểu ký hiệu dấu 2 chấm trong hệ đếm 16. Trong kiểu ký hiệu này, 128 bít

được chia thàng 8 phần, mỗi phần rộng 2 byte. 2 byte trong kiểu ký hiệ hệ đếm 16

yêu cầu 4 chữ số trong hệ đếm 16 này. Vì thế cho nên địa chỉ gồm có 32chữ số

trong hệ đếm 16 với mỗi 4 chữ số một lại có một dấu : chấm(Hình1)

128 bít= 16 bytes= 32chữ số trong hệ đếm 16

FDEC : : 7654 3210 ADBF 2922 FFFF

Hình 1: Địa chỉ IP phiên bản 6 ( IPv6 Address)

*Su rút gọn:

Mặc dù là địa chỉ IP ngay cả khi ở trong định dạnh hệ số đếm 16, vẫn rất dài,

nhiều chữ số 0 trong một địa chỉ.

Thí dụ: 1080:0000:0000:0000:0008:0800:200C:417A


111111101111101100…………………………..111111111111


Do đó cơ chế nén địa chỉ được dùng để biểu diễn dễ dàng hơn các loại địa chỉ

dạng này. Ta không cần viết các số 0 ở đầu các nhóm, nhưng những số 0 bên trong

thì không thể xoá.

Chưa rút gọn

1080:0000:0000:0000:0008:0800:200C:417A

Đã rút gọn

1080: 0: 0: 0: 8: 800:200C:417A

Hình 2 : Sự rút gọn địa chỉ (Abbreviated Address)

Hơn nữa ta có thể sử dụng ký hiệu :: để chỉ một chuỗi các số 0. Tuy nhiên

ký hiệu trên chỉ được sử dụng một lần trong một địa chỉ. Địa chỉ IP có độ dài cố

định, ta có thể tính được số các bit 0 mà ký hiệu đó biểu diễn. Ta có thể áp dụng ở

đầu hay ở cuối địa chỉ. Cách viết này đặc biệt có lợi khi biểu diễn các địa chỉ

multicast, loopback hay các điạ chỉ chưa chỉ định.

Chưa rút gọn

1080: 0: 0: 0: 8: 800:200C:417A

Đã rút gọn

1080::8:800:200C:417A

Hình 3: Sự rút gọn địa chỉ có số 0 liên tiếp(Abbreviated Address with consecutive zeros)



Việc khôi phục lại sự rút gọn địa chỉ là rất đơn giản: thêm số 0 vào cho đến

khi nhận được địa chỉ nguyên bản (4 chữ số trong 1 phần , 32 chữ số trong một địa

chỉ)

IPv6 cho phép giảm lớn địa chỉ và được biểu diễn theo ký pháp CIDR.

Ví dụ: Biểu diễn mạng con có độ dài tiền tố 80 bít:

1080:0:0:0:8::/80

Hình 4 : Địa chỉ CIDR ( CIDR Address)

2.2.Không gian địa chỉ ipv6

Không gian địa chỉ có độ dài lớn hơn IPv4( 128 bít so với 32 bít) do đó cung

cấp không gian địa chỉ lớn hơn rất nhiều. Trong khi không gian địa chỉ 32 bít của

IPv4 cho phép khoảng 4 tỉ địa chỉ, không gian địa chỉ IPv6 có

thể có khoảng 6.5*10 địa chỉ trên mỗi mét vuông bề mặt trái đất. Địa chỉ IPv6 128

bít được chia thành các miền phân cấp theo trật tự trên Internet. Nó tạo ra nhiều

mức phân cấp và linh hoạt trong địa chỉ hoá và định tuyến hiện không có trong

IPv4.

Không gian địa chỉ có nhiều mục đích khác nhau. Người ta thiết kế địa chỉ IP

đã chia không gian địa chỉ thành 2 phần, với phần đầu được gọi là kiểu tiền tố. Phần

giá trị tiền tố này cho bíêt mục đích của địa chỉ. Những mã số được thiết kế sao cho

không có mã số nào giống phần đầu của bất kỳ mã số nào khác. Do đó không có sự

nhập nhằng khi một địa chỉ được trao kiểu tiền tố có thể dẽ dàng xác định được.

Hình 5 cho chúng ta thấy dạng của địa chỉ IPv6:


23


128 bít

Biến Biến

Kiểu tiền tố Phần cón lại của địa chỉ

Hình 5 : Cấu trúc địa chỉ ( Address Structure)

Không gian IPv6 được chia trên cơ sở các bít đầu trong địa chỉ. Trường có

độ dài thay đổi bao gồm các bít đầu tiên trong địa chỉ gọi là Tiền tố định dạng

( Format Prefix) FP. Cơ chế phân bổ địa chỉ như sau:

Phân bố Tiền tồ định dạng Tỷ lệ trong không gian địa chỉ

Dự phòng 0000 0000 1/256Dự phòng 0000 0001 1/256Dự phòng cho địa chỉ NSAP 0000 001 1/128Dự phòng cho địa chỉ IPX 0000 010 1/128Chưa cấp phát 0000 011 1/128Chưa cấp phát 0000 1 1/32Chưa cấp phát 0001 1/16Địa chỉ dựa trên vị trí địa lý ( Hiện đã loại bỏ)

001 1/8

Chưa cấp phát 101 1/8Chưa cấp phát 110 1/8Chưa cấp phát 1110 1/16Chưa cấp phát 1111 0 1/32Chưa cấp phát 1111 10 1/64Chưa cấp phát 1111 110 1/128Chưa cấp phát 1111 1110 0 1/512Địa chỉ liên kết cục bộ 1111 1110 10 1/1024



Địa chỉ site cục bộ 1111 1110 11 1/1024Địa chỉ multicast 1111 1111 1/256

Hình 6 : Cơ chế phân bổ địa chỉ

2.3.Cấp phát địa chỉ

2.3.1. Địa chỉ unicast

Địa chỉ trên cơ sở người cung cấp được sử dụng chung bởi 1 host bình

thường như 1 địa chỉ unicast. Định dạng địa chỉ được diễn tả như sau:

128 bits 8 bits

3 bits 5 bits

Hình 7: Địa chỉ trên cơ sở người cung cấp (Provider-based Address)

Những trường cho địa chỉ người dùng trên cơ sở cung cấp như sau :

+ Chứng thực kiểu (Type indentifier): Trường 3 bít này định nghĩa những

địa chỉ như là 1 địa chỉ trên cơ sở người cung cấp.

+ Chứng thực đăng ký (Registry indentifier) : Trường 5 bít này trình bày

chi nhánh đã đăng ký địa chỉ. Hiện thời thì có 3 trung tâm địa chỉ được định nghĩa:

RIPE- NCC (mã 01000): Tại Châu Âu.

INTERNIC (mã 11000): Tại Bắc Mỹ.

APNIC (mã 10100): Tại Châu á - Thái Bình Dương


0000 Cố định

0001Tạm thời

ProviderIndentifler

SubscriberIndentifler

SubnetIndentifler

NodeIndentifler

010 Registry


+ Chứng thực hà cung cấp (Provider indentifier): Trường độ dài tuỳ biến

này xác nhận nhà cung cấp (provider) cho truy cập Internet 16 bit độ dài là khuyến

cáo đối với trường này.

+ Chứng thực thuê bao (Subscriber indentifier): Khi một tổ chức đặt mua

Internet dài hạn thông qua 1 nhà cung cấp, nó được cấp phát 1 thẻ nhận dạng người

đặt mua (Subscriber indentification). 24 bít độ dài là khuyến cáo đối với trường này.

+ Chứng thực Subnet (Subnet indentifier): Mỗi subscriber có thể có nhiều

subnetwork khác nhau, và mỗi network có thể có nhiều chứng thực. Chứng thực.

Chứng thực subnet định nghĩa một network cụ thể dưới khu vực của subscriber. 32

bít độ dài là khuyến cáo đối với trường này.

+ Chứng thực None (None indentifier): trường cuối cùng định nghĩa nhận

dạng giao điểm kết nối tới subnet. Độ dài 8 bít là khuyến cáo với trường này để làm

nó thích hợp với địa chỉ link 48 bít (Vật lý) được sử dụng bởi Ethernet. Trong tương

lai địa chỉ link này có lẽ sẽ giống địa chỉ vật lý node.

Chúng ta có thể nghĩ về một điạ chỉ cung cấp trung tâm như 1 đẳng cấp

chứng thự có một số tiền tố. Như những gì thấy ở hình 8, mỗi tiền tố định nghĩa một

cấp bậc của hệ thống. Kiểu tiền tố định nghĩa kiểu, tiền tố định nghiã 1 cách duy

nhất về nhà cung cấp bậc đăng ký, tiền tố nhà cung cấp định nghĩa 1 cách duy nhất

về nhà cung cấp, tiền tố subnet định nghĩa 1 cách duy nhất về subscriber, và tiền tố

subnet định nghĩa 1 cách duy nhất về subnet.

Subnet

Subscriber

Provider


ProviderIndentifier

Subscriberindentifier

SubnetIndentifier

Nodeindentifier


Hình 8 : Hệ thống địa chỉ (Address Hierarchy)

2.3.2. Địa chỉ dự trữ

Những địa chỉ mà sử dụng tiền tố dự trữ (0000 0000) sẽ được thảo luận một

cách ngắn gọn tại đây.

+ Địa chỉ không xác định (Unspecified Address): Đây là một địa chỉ mà

phần không phải tiền tố chỉ chứa chữ số 0. Nói một cách khác phần còn lại của địa

chỉ gồm toàn zero. Địa chỉ này được sử dụng khi host không hiểu được địa chỉ của

chính nó và gửi 1 câu hỏi thăm để tìm địa chỉ của nó. Tuy nhiên trong câu hỏi thăm

phải định nghĩa 1 địa chỉ nguồn. Địa chỉ không xác định có thể được sử dụng cho

mục đích này. Chú ý là địa chỉ không thể được sử dụng làm địa chỉ đích. Địa chỉ

này được trình bày trong hình sau :

00000000 Tất cả toàn bít 0

8 bít 120 bit

Hình 9 : Địa chỉ không rõ (Unspecified Address)

+ Địa chỉ vòng ngược (Loopback Address): Đây là một địa chỉ được sử

dụng bởi 1 host để kiểm tr nó mà không cần vào mạng. Trong trường hợp này 1

thông điệp được tạo ra ở tầng ứng dụng nó gửi tới tầng chuyển tải và đi qua tầng

mạng. Tuy nhiên thay vì đi đến mạng vật lý nó trở lại tầng chuyển tải và đi qua tầng

ứng dụng. Địa chỉ này rất hữu dụng cho việc kiểm tra những gói phần mềm chức

năng trong tầng này trước khi thậm chí cả việc kết nối máy tính vào mạng. Địa chỉ

được mô tả trong hình dưới đây gồm có tiền tố 0000 0000 và theo sau là 119 bit 0

và 1 bit 1.



00000000 000000000000………….00000000000001

8 bít 120 bit

Hình 10 : Địa chỉ vòng ngược ( Loopback Address)

+ Địa chỉ IPv4: Những gì chúng ta thấy được trong suốt quá trình chuyển

đổi từ địa chỉ IPv4 và IPv6, host có thể sử dụng địa chỉ IPv4 của nó đã được nhúng

vào địa chỉ IPv6. Có 2 định dạng địa chỉ được thiết kế cho mục đích này: thích ứng

( compatible) và hoạ đồ (mapped)

+ Địa chỉ thức ứng ( Compatile Address): Là một địa chỉ của 96 bit 0 theo

sau 32 bit của địa chỉ IPv4. Địa chỉ này được sử dụng khi 1 máy tính sử dụng IPv6

muốn gửi một thông điệp sang 1 máy tính sử dụng IPv6. Tuy nhiên gói tin phải đi

qua một miền mà ở đó mạng vẫn sử dụng IPv4. Người gửi sử dụng địa chỉ thích

ứng IPv4 để làm cho thuận tiện việc chuyển gói tin qua miền sử dụng IPv4.

Thí dụ: Địa chỉ IPv4 là 2.13.17.14 (định dạng dấu chấm trong hệ đếm 10)

được chuyển thành 0::020D:110E (định dạng dấu 2 chấm trong hệ đếm 16). Địa chỉ

IPv4 được thêm 96 bít 0 để tạo ra địa chỉ IPv6 128 bít.

8 bít 88 bít 32 bít

00000000 Tất cả toàn bít 0 Địa chỉ IPv4

a. Địa chỉ thích ứng

Địa chỉ IPv6 Địa chỉ IPv4


0::020D:110E 2.13.17.14


b. Chuyển đổi địa chỉ

Hình 11: Địa chỉ tuong ứng ( Compatible Address)

Địa chỉ anh xa (Mapped Address): Gồm 80 bít o theo sau là 16 bít 1 sau

nữa là 32 bít của địa chỉ IPv4. Địa chỉ này được sử dụng khi 1 máy tính vẫn sử dụng

IPv4. Gói tin du lịch phần lớn qua mạng IPv6 nhưng sau hết được chuyển tới 1 host

sử dụng IPv4. Địa chỉ IPv4 được thêm 16 bít 1 và 80 bít 0 để tạo địa chỉ IPv6 128

bít.

8 bít 72 bít 16 bit 32 bít

00000000 Tất cả bít 0 Tất cả bít 1 Địa chỉ IPv4

a.Địa chỉ anh xa

Địa chỉ IPv6 Địa chỉ IPv4

b. Chuyển đổi địa chỉHình 12: Địa chỉ anh xa (Mapped Address)

Một điều thú vị về địa chỉ thích ứng và địa chỉ hoạ đồ là chúng được thiết kế

bằng một cách mà khi tính toán checksum chúng ta có thể sử dụng hoặc địa chỉ

nhúng hoặc địa chỉ đầy đủ vì những bít 0 hoặc bít 1 thêm vào là bội của 16, không

có bất kỳ một tác động nào lên việc tính toán checksum. Địa chỉ này quan trọng vì

nếu địa chỉ của gói tin được chuyển tư IPv6 sang IPv4 bởi router, việc tính toán

checksum sẽ không được tính toán.

2.3.3. Địa chỉ cục bộ


0::020D:110E 2.13.17.14


Nhũng địa chỉ mà sử dụng tiền tố dự trữ (1111 1110) sẽ được thảo kuận một

cách ngắn gọn tại đây.

+ Địa chỉ link cục bộ ( Link local Address): Những địa chỉ này được sử

dụng khi 1 mạng LAN muốn sử dụng giao thức Internet nhưng không kết nói

Internet vì lý do an ninh. Kiểu địa chỉ này sử dụng tiền tố 1111 1110 10. Đại chỉ

link cục bộ đựơc sử dụng trong mạng đôc lập và không có ảnh hưởng chung nào.

Không ai ở ngoài mạng độc lập này có thể gửi thông điệp đến những máy tính gia

nhập 1 mạng sử dụng những địa chỉ này.


Hình 13 : Địa chỉ link cục bộ ( Link local Address)

+ Địa chỉ site cục bộ (Site Local Address): Những địa chỉ này được sử

dụng nếu như 1 site có một số mạng sử dụng giao thức Internet nhưng không kết

nối Internet vì những lý do an ninh. Kiểu địa chỉ này sử dụng tiền tố 1111 1110 11.

Địa chỉ site cục bộ được sử dụng trong mạng độc lập và không có ảnh hưởng chung

nào. Không ai ở ngoài mạng độc lập này có thể gửi thông điệp đến máy tính gia

nhập mạng sử dụng những địa chỉ này.

10 bít 38 bít 32 bít 48 bít

Hình 14 : Địa chỉ site cục bộ ( Site Local Address)


11111111010 Tất cả bít 0 Địa chỉ Node

11111111010 Tất cả bít 0 Địa chỉ Subnet Địa chỉ Node

0000 Dành trước0001 Node cục bộ0010 Link cục bộ0101 Site cục bộ1000 tổ chức cục bộ1110 Chung1111 Dành tiêng

0000 Cố định0001 Tạm thời


2.3.4. Địa chỉ multicast

Địa chỉ multicast được sử dụng để định nghĩa cho một nhóm các host thay vì

chỉ 1. Tất cả đều sử dụng tiền tố 1111 1111 trong trường đầu tiên. Trường thứ hai là

cờ (flag) định nghĩa 1 nhóm địa chỉ hoặc cố định hoặc tạm thời. Một nhóm địa chỉ

cố định được định nghĩa bởi nhà cầm quyền Internet và có thể truy cập bất cứ lúc

nào. Một nhóm địa chỉ tạm thời, nói một cách khác được sử dụng một cách tạm

thời. Hệ thống tham dự vào một hội nghị từ xa có thể sử dụng một nhóm tạm thời.

Trường thứ 3 định nghĩa phạm vi hoạt động của nhóm địa chỉ. Nhiều phạm vi đã

được định nghĩa.

8 bít 4 bít 4 bít 112 bít

Hình 15 : Địa chỉ Multicast (multicast address)

2.4.Định dạng gói tin

Gói tin trong IPv6 được thấy như trong hình dưới đây. Mỗi gói tin bao gồm

một vùng header nền tảng bắt buộc theo sau bởi payload. Payload gồm có 2 phần:

những vùng Header mở rộng tuỳ ý chọn và dữ liệu từ tầng cao hơn. Vùng Header


11111111 Cờ Phạm vi ID nhóm


nền tảng chiếm giữ 40 byte, trong khi đó những vùng Header mở rộng và dữ liệu từ

tầng cao hơn chứa đến 65535 byte thông tin.

40 byte Có thể lên đến 65535 byte

Hình 16 : Định dạng gói tin IPv6 (IPv6 Data Packet Format)

2.4.1. Vùng nền tảng

Vùng header nền tảng trong hình 17 cho ta thấy nó có 8 trường, những

trường này mô tả như sau:


Đầu mục nền tảng Payload

Đầu mục mở rộng (tuỳ ý lựa chọn)

Gói dữ liệu từ tầng cao hơn


VER PRI Flow lable

Độ dài PayloadVùng Header kế tiếp

Giới hạn nhảy

Những địa chỉ nguồn

Những địa chỉ đích

Những đầu mục mở rộng Payload

Gói dữ liệu từ tầng cao hơn

Hình 17 : Định dạng của 1 đơn vị dữ liệu IPv6( Format of an IPv6 datagram)

+ Phiên bản (VER- version): Trường 4 bít này định nghĩa số phiên bản của

IP. Với IPv6 giá trị là 6.

+ Quyền ưu tiên (PRI- prority): Trường 4 bít này định nghĩa sự ưu tiên của

những gói tin đối với sự tắc nghẽn giao thông.

+ Nhãn lưu lượng (Flow lable): Nhãn lưu lượng là một trường 3 byte – 24

bit được thiết kế để cung cấp sự điều khiển đặc biệt đối với những lưu lượng đặc

biệt của dữ liệu.

+ Độ dài Payload (Payload Length): Trường độ dài Payload 2 byte này

được định nghĩa độ dài tổng cộng của đơn vị dữ liệu IP trừ vùng Header nền tảng.

+ Vùng Header kế tiếp (Next Header): Vùng Header kế tiếp là 1 trường 8

bít định nghĩa 1 đầu mục mà theo sau vùng Header nền tảng trong đơn vị dữ liệu.

Vùng header kế tiếp là 1 trong những vùng mở rộng tuỳ ý lựa chọn được sử dụng

bởi IP hoặc vùng Header cho 1 giao thức tầng cao hơn như UDP hay TCP. Mỗi

vùng Header mở rộng lại có chứa trường này. Bảng sau cho chúng ta thấy những

giá trị của vùng Header kế tiếp.

Mã số Vùng Header kế tiếp



02617434450515960

Tuỳ chọn nhảy từng bước mộtICMPTCPUDPRouting nguồnSự phân miếngPayload bảo mật mã hoáSự chứng thựcTrống ( Không vùng Header kế tiếp)Tuỳ chọn đích

Giới hạn nhảy ( Hot Limit): Trường giới hạn nhảy 8 bít này phục vụ

cho mục đích tương tự trường TTL trong IPv4.

Địa chỉ nguồn ( Source Address): Trường địa chỉ nguồn là 1 điạ chỉ

Internet 16 byte (128 bit) mà xác minh nguồn bản gốc của đơn vị dữ liệu

Địa chỉ đích ( Destination Address): Trường địa chỉ đích là 1 địa chỉ

Internet 16 byte ( 128 bit) mà thường xác minh đích cuối cùng của đơn vị dữ liệu.

Tuy nhiên nếu router nguồn được sử dụng thì trường này sẽ chứa địa chỉ của router

kế tiếp.

+ Quyền ưu tiên (Priority): Trường quyền ưu tiên của gói tin IPv6 định nghĩa

quyền ưu tiên của từng gói tin có quan hệ với những gói tin khác trong cùng 1

nguồn. Ví dụ khi 1 trong 2 đơn vị dữ liệu liên tiếp phải bị loại bỏ đi vì chật chội,

đơn vị dữ liệu có quyền ưu tiên nhỏ hơn sẽ bị loại bỏ. IPv6 chia giao thông (traffic)

làm 2 loại: điều khiển tắc nghẽn (congestion- controlled) và điều khiển không tắc

nghẽn (nocongestion- controlled).

Giao thông điều khiển tắc nghẽn ( congestion- controlled traffic):

Nếu 1 nguồn tự điều chỉnh giao thông chậm lại khi có tắc nghẽn, giao thông sẽ gán

cho giao thông điều khiển tắc nghẽn. Ví dụ như giao thức TCP sử dụng giao thức

cửa sổ trượt (Sliding window protocol), có thể dễ dàng đáp ứng giao thông. Trong

giao thông điều khiển tắc nghẽn nó được hiểu là những gói tin có thể đến chậm

hoặc thậm chí mất hoặc được nhận ngoài yêu cầu. Dữ liệu điều khiển tắc nghẽn

được cấp phát quyền ưu tiên từ 0 đến 7 được thể hiện ở bảng sau:



Quyền ưu tiên Mô tả

0

1

2

3

4

5

6

7

Không có giao thông cụ thể

Dữ liệu nền

Giao thông dữ liệu không được quan tâm

Dự trữ

Giao thông dữ liệu tham dự khối lới

Dự trữ

Giao thông tương giao

Giao thông điều khiển

Có thể mô tả quyền ưu tiên như sau:

Không có giao thông cụ thể ( No specific traffic): quyền ưu tiên 0 được cấp

phát cho gói tin khi tiến trình không định nghĩa 1 ưu tiên nào.

Dữ liệu nền (Background data): nhóm này (quyền ưu tiên 1) định nghĩa dữl

iệu thường xuyên được nhận ở nền. Sự nhận tin tức là 1 ví dụ.

Giao thông dữ liệu không được quan tâm (unattended data tranffic): Nếu

người sử dụng đang không đợi dữ liệu sẽ được nhận, gói tin sẽ được quyền ưu tiên

2. Email thuộc nhóm này. Một người sử dụng gửi email cho người sử dụng khác,

nhưng người nhận không biết email đó sẽ đến sớm. Thêm vào email thường được

lưu trữ trước khi được gửi đi.

Giao thông dữ liệu tham dự khối lớn ( Attended bulk data tranffi): Giao thức

mà chuyển phần lớn dữ liệu khi người sử dụng đang đợi nhận dữ liệu (có thể trì

hoãn) được quyền ưu tiên 4. FTP và HTTP thuộc nhóm này.

Giao thông tương dao (Interactive tranffic): Giao thức dạng như TELNET

cần sự tương giao với người sử dụng cấp sự tương giao với người sử dụng được

cấp ưu tiên cao thứ 2 (6) trong nhóm.



Giao thông điều khiển (Control traffic): Giao thông diều khiển được quyền

ưu tiên cao nhất (7) trong loại này. Giao thức routing như OSPF và RIP và giao

thức quản trị SNMP sử dụng quyền ưu tiên này.

Giao thông điều khiển không tắc nghẽn ( Noncongestion- controlled

tranffic): Kiểu này gán cho kiểu giao thông mà chờ đợi một sự hãon lại nhỏ nhất.

Loại bỏ gói tin không phải là tốt. Sự chuyển giao lại trong hầu hết tình huống là có

thể hti hành được. Nói 1 cách khác nguồn không sửa lại nó thích nghi với sự tắc

nghẽn. Audio và video thời gian thực là những ví dụ điển hình cho dạng giao thông

này.

Quyền ưu tiên từ 8 đến 15 được cấp phát cho giao thông điều khiển không tắc

nghẽn. Mặc dù ở đây không có bát kỳ một sự cấp phát chuẩn đặc biệt nào cho loại

dữ liệu này, quyền ưu tiên thường được cấp phát dự vào số lượng cảu dữ liệu nhận

có thể bị tác động bởi việc loại bỏ gói tin. Dữ liệu chứa ít sự rườm rà (như audio và

video chất lượng thấp) có thể được đưa 1 quyền ưu tiên cao hơn (15). Dữ liệu chứa

nhiều sự rườm rà (như video và audio chất lượng cao) có thể bị đưa 1 quyền ưu tiên

thấp hơn (8).

Quyền ưu tiên Mô tả8...15

Dữ liệu với nhiều sự rườm rà nhất

Dữ liệu với ít sự rườm rà nhất

+ Nhãn lưu lượng ( Flow Lable):

Một dãy các gói tin được gửi từ 1 nguồn riêng đến đích riêng, cần sự điều

khiển đặc biệt từ router gọi là lưu lượng của những gói tin. Sự kết hợp của địa chỉ

nguồn và giá trị của nhãn lưu lượng định nghĩa 1 cách duy nhất 1 lưu lượng của

những gói tin.

Đối vơ router 1 lưu lượng là 1 dãy các gói tin chia sẻ cùng đặc tính như là

việc di chuyển cùng 1 đường, sử dụng cùng một nguồn, có cùng kiểu an toàn vv…

Một router mà hỗ trợ sự điều khiển của nhãn lưu lượng có 1 bảng nhãn lưu lượng.



Bảng này có 1 mục vào cho mỗi nhãn lưu lượng hoạt động, mỗi mục định nghĩa 1

dịch vụ được yêu cầu bởi nhãn lưu lượng tương ứng. Khi router nhận được 1 gói tin

nó tra cứu bảng nhãn lưu lượng của nó để tìm mục vào tương ứng cho giá trị nhãn

lưu lượng được định nghĩa trong gói tin. Sau đó nó cung cấp cho gói tin những dịch

vụ đã đề cập trong mục vào. Tuy nhiên chú ý là nhãn lưu lượng tự nó không cung

cấp thông tin cho những mục vào của bảng nhãn lưu lượng, thông tin được cung cấp

bởi những thứ khác như là tuỳ chọn nhảy từng bước một hay những giao thức khác.

Trong hình thức đơn giản nhất của nó, 1 nhãn lưu lượng có thể được sử dụng

để tăng tốc 1 tiến trình của 1 gói tin bởi 1 router. Khi router nhận được gói tin thay

vì xem bảng tìm đường và đi đến thuật toán tìm đường để định nghĩa địa chỉ cảu

bước nhảy kế tiếp, nó có thể dễ dàng được nhìn thấy trong 1 bảng nhãn lưu lượng

cho bước nhảy kế tiếp.

Trong hình thức rắc rối hơn của nó 1 nhãn lưu lượng có thể được sử dụng để

hỗ trợ quá trình chuyển giao audio và video thời gian thực. Audio và video thời gian

thực một cách đặc biệt trong hình thức kĩ thuật số đòi hỏi những nguồn như băng

thông rộng, buffer lớn, thời gian tiến trình dài vv… Một tiến trình có thể đặt trước

chỗ cho những nguồn này trước để đảm bảo là dữ liệu thời gian thực sẽ không bị

tạm hoãn do thiếu nguồn. Sự sử dụng dữ liệu thời gian thực và chỗ đặt trước của

những nguồn đòi hỏi những giao thức khác như là giao thức thời gian thực ( Real-

Time Protocol- RTP) hay giao thức đặt trước nguồn (Resource Reservation

Protocol- RRP) trong bổ sung của IPv6.

Để cho phép những hiệu quả sử dụng của nhãn lưu lượng 3 điều luật được

đưa ra :

Nhãn lưu lượng được cấp phát cho 1 gói tin bởi 1 host gốc. Nhãn

là một số bất kì từ 1 đến 2 -1. Nó sẽ không sử dụng lại một nhãn lưu lượng cho 1

lưu lượng mới khi lượng dang tồn tại vẫn hoạt động.

Nếu như 1 host không hỗ trợ nhãn lưu lượng, nó sẽ đặt trường này là 0.

Nếu như 1 router không hỗ trợ nhãn lưu lượng, nó đơn giản sẽ phớt lờ đi .


24


Tất cả những gói tin thuộc cùng 1 lưu lượng có thể có cùng nguồn, cùng

đích, cùng sự ưu tiên và cùng nhưng tuỳ chọn.

2.4.2. So sánh Header ipv4 & Header ipv6

Trường độ dài vùng header đã bị loại đi trong IPv6 vì độ dài vùng header đã

được xử lý trong phiên bản này.

Trường kiểu dịch vụ đã bị loại đi trong IPv6. Trường quyền ưu tiên và nhãn

lưu lượng cùng kiểm soát chức năng của trường kiểu dịch vụ.

Trường độ dài tổng cộng đã bị loại đi trong IPv6 và được thay thế bằng

trường độ dài payload.

Những Trường chứng thực ( identification ), Trường cờ ( flag ), và những

Trường offset đã bị loại bỏ từ vùng header nền tảng trong IPv6. Chúng được đi kèm

trong vùnh header mở rộng từng miếng.

Trường TTL được gọi là Giới hạn nhày trong IPv6.

Trường giao thức dược thay thế bởi Trường vùng header kế tiếp.

Vùng header checksum bị loại đi vì checksum được cung cấp bởi giao thức

của tầng cao hơn nó vì thế không cần thiết ở đây.

Những Trường tuỳ chọn trong IPv4 được trang bị như những vùng header

mở rộng trong IPv6.

2.5.Vùng Header mở rộng

Độ dài của vùng header được bố trí 40 byte. Tuy nhiên, để đem đến nhiều

chức năng hơn cho đơn vị dữ liệu IP vùng header nền tảng có thể cho theo sau đến 6

vùng header mở rộng. Nhiều vùng header này là những tuỳ chọn trong IPv4.



VER PRI Flow label

Độ dài Payload Vùng Header kế tiếp Giới hạn nhảy

Địa chỉ nguồn

Địa chỉ đích

Vùng Header kế tiếp Độ dài vùng Header



Hình 18 : Định dạng vùng header mở rộng

( Extenion header format )

Sáu loại vùng header đã được định nghĩa. Chúng là tuỳ chọn nhảy từng

bước, lộ trình nguồn, sự phân mảnh, sự chứng thực, Payload bảo mật mã hoá và tuỳ

chọn đích (Xem hinh 19).



Những vùng Header mở rộng

Tuỳ chọn nhảy từng bước

Nguồn tìm đường

Sự phân miếng

Sự chứng thực

Bảo mật Payload mã hoá

Tuỳ chọn đích

Hình 19 : Những loại vùng header mở rộng (Extension header types)

2.5.1. Tùy chon bước nhảy (Hop – by - Hop option)

Tuỳ chọn nhảy từng bước được sử dụng khi nguồn cần chuyển thông tin qua

tất cả các router được thăm bởi đơn vị dữ liệu. Ví dụ, không chừng những router sẽ

phải bị gây ra bởi sự quản trị, sự gỡ rối hay những chức năng điều khiển nào

đó.Hay,nếu như độ dài của đơn vị dữ liệu rộng hơn thông thường là 65,535 byte,

nhưng router phải có thông tin này. Hình 20 cho thấy định dạng của vùng header kế

tiếp trong một chuỗi vùng header. Độ dài vùng header định nghĩa số byte trong

vùng headerbao gồm cả trường vùng header kế tiếp). Phần còn lại của vùng header

chứa những tuỳ chọn khác nhau.

Vùng header nền tảng

Những tuỳ chọnPhẫn còn lại của Payload


Vùng header kế tiếp Độ dài vùng header


Hình 20 : Định dạng vùng header tuỳ chnj nhảy từng bước(Hop – by – hop option header format)

Xa hơn, chỉ có 3 tuỳ chọn được định nghĩa: Pad1, PadN và jumbo payload (Xem hình 21).

Mã số (8 bít) Độ dài (8 bít) Dữ liệu (Độ dài có thể thay đổi)


Hành động : sẽ thực hiện nếu tuỳ chọn không được xác nhận

00 Bỏ qua tuỳ chọn Kiểu

01 Loại bỏ đơn vị dữ liệu không có hành động nào nữa 00000 Pal1

10 Loại bỏ đơn vị dữ liệu và gửi 1 thông điệp lỗi 00001 PadN

11 Như mã 10, nhưng nếu đích không phải địa chỉ munlticast

C: (change) giá trị thay đổi tuỳ chọn 00010 jumbo payload

0 : không bị thay đổi trong vận chuyển

1 : Có thể bị thay đổi trong vận chuyển

Hình 21 : Định dạng của những tuỳ chọn của vùngheader tuỳ chọn nhảy từng bước

(Format of options in a hop–by–hop option header)

Pad1: Tuỳ chọn này dài 1 byte và nó được thiết kế cho những mục đích sắp

nhóm. Một số tuỳ chọn cần phải băt đầu ở 1 bit riêng biệt trong 32 bit (xem mô tả

jumbo payload). Nếu một tuỳ chọn của sự yêu cầu này rớt chính xác là 1 byte, Pad1

sẽ được thêm vào để làm nên sự khác biệt. Pad1 không chứa trường độ dài tuỳ chọn

mà còn không cả chứa trường dữ liệu tuỳ chọn. Nó gồm có duy nhất trường mã tuỳ


Hành C Kiểu


chọn với tất cả các bít được đặt là 0 ( hành động là 00, C là kiểu 00000). Pad1 có

thể được chèn vào bất kỳ chỗ nào trong vùng header tuỳ chọn nhảy từng bước.

~ Dữ liệu ~

a. Pad1

b. Sử dụng làm đệm

Hình 22 : Pad1

PadN: PadN giống Pad1 về ý tưởng. Sự khác nhau là PadN được sử dụng khi 2

hay nhiều bít được cần cho việc sắp nhóm. Tuỳ chọn này gồm có 1 byte mã tuỳ

chọn, 1 byte độ dài tuỳ chọn, và một biến số những số 0 làm byte đệm. Giá trị của

mã tuỳ chọn là 1 (hành động là 00, C là 0 và kiểu là 00001). Độ dài tuỳ chọn chứa

số byte đệm.

Mã Độ dài Dữ liệu


Những tuỳ chọn Pad1

Mã00000000


00000001 Tất cả bít 0

1 byte 1 byte số byte có thể thay đổi

Hình 24: Jumbo Payload

2.5.2. Lộ trình nguồn ( Resource rourting

Vùng header mở rộng lộ trình nguồn kết hợp với ý tưởng của những tuỳ chọn

lộ trình nguồn chính xác và lộ trình nguồn không chính xác của IPv4. Vùng header

lộ trình nguồn chứa một số nhỏ nhất của 7 trường. Hai trường đầu tiên, vùng

header kế tiếp và độ dài vùng header, là đúng với vùng header mở rộng nhảy từng

bước.

Trường kiểu định nghĩa lộ trình là chính xác hoặc không chính xác. Trường

những địa chỉ còn lại chỉ ra số bước nhảy cần để tới đích. Trường mặt nạ tuyệt đối/

tương đối xác định sự chắc chắn của lộ trình. Nếu mặt nạ là tuyệt đối, lộ trình phải

theo chính xác những gì được chỉ ra bởi nguồn. Nếu thay vào mặt nạ tương đối

những router khác có thể thêm vào trong vùng header.



Vùng header nền tảngVùng header kế Độ dài vùng Kiểu Những địa chỉDự trữ Mặt nạ tuyệt đối/ tương đốiĐịa chỉ thứ nhấtĐịa chỉ thứ haiĐịa chỉ cuối cùngPhần còn lại của Payload

Hình 25 : Lộ trình nguồn (Source Routing)

Địa chỉ đích trong lộ trình nguồn không tuân theo sự định nghĩa trước đó của

chúng ta (địa chỉ cuối cùng trong đơn vị dữ liệu). Thay vào đó nó thay đổi từ router

sang router.

Thí dụ : Host muốn gửi tới 1 đơn vị dữ liệu sang host B sử dụng 1 lộ trình riêng: A

đến R1 đến R2 đến R3 đến B. Chú ý là địa chỉ đích nằm trong những vùng header

nền tảng. Nó không liên tiếp như bạn mong đợi. Thay vào đó nó thay đổi theo từng

router. Những địa chỉ trong vùng header mở rộng cũng thay đổi theo từng router.



Nguồn: A Đích: R1Còn lại: 3R2R3B

A B

R1 R3

R3

Hình 26: Ví dụ lộ trình nguồn (Source Routing Example)

2.5.3. Sự phân miếng

Ý tưởng về sự phân miếng như ở trong IPv4. Tuy nhiên nơi mà sự phân miếng

chiếm giữ không giống nhau. Ở IPv4 nguồn hoặc router cần phân miếng nếu cỡ của

đơn vị dữ liệu lớn hơn MTU của mạng vơi nhóm đơn cị dữ liệu sẽ được đưa đi. Ở

IPv6 chỉ những nguồn nguyên thuỷ mới được phân miếng. Một nguồn phải sử dụng

1 kỹ thuật khám phá quỹ đạo MTU (Path MTU Discovery) để tìm MTU nhỏ nhất

được hỗ trợ bởi bất kỳ một mạng nào trong quỹ đạo. Nguồn sau đó phân miếng sự

khám phát này.

Nếu nguồn không sưe dụng kỹ thuật khám phá quỹ đạo MTU nó có thể phân

miếnh đơn vị dữ liệu thành những miếng cỡ 576 byte hoặc nhỏ hơn. Đây là cỡ nhỏ

nhất MTU yêu cầu cho mỗi mạng kết nối vào Internet. Hình dưới đây cho ta thấy

định dạng của vùng header mở rộng sự phân miếng:






Vùng Header nền tảng

Vùng header kế tiếp

Độ dài vùng header

Sự phân miếng bù đắp

0 M

Địa chỉ thứ nhất

Phần còn lại của Payload

Hình 26: Ví dụ lộ trình nguồn (Source Routing Example)

2.5.4. Sự chứng thực

Vùng header mở rộng sự chứng thực có một mục đích kép: nó làm cho

thông điệp gửi có giá trị và đảm bảo sự nguyên vẹn của dữ liệu. Đầu tiên cần để

người nhận có thể chắc chắn là từ người gửi thật và không phải là từ 1 kẻ mạo danh.

Điều cuối cùng cần kiểm tra là dữ liệu không bị thay đổi trong vận chuyển bởi

hacker.

Định dạng của vùng Header mở rộng sự chứng thực được trình bày ở hình 28 .

Trường chỉ mục tham gia số bảo mật định nghĩa thuận toán được sử dụng cho sự

chứng thực. Trường chứng thực chứa dữ liệu chứa những dữ liệu thật được sinh ra

bởi thuật toán.




Chỉ mục tham số bảo mật

Sự chứng thực dữ liệu

Phần còn lại của Payload

Hình 28 : Sự chứng thực (Authentication)

Nhiều thuật toán khác nhau có thể được sử dụng cho sự chứng thực. Hình 29

phác hoạ những phương thức tính toán trường chứng thực dữ liệu.

Hình 29 : Sự tính toán của sự chứng thực dữ liệu

(Calculation Of Authentication Data)

Người gửi đi qua khoá bảo mật 128 bít, toàn bộ đơn vị dữ

liệu IP và khoá bảo mật 128

bít lần nữa để đến thuật toán.

Những trường này

trong đơn vị dữ liệu

với những giá trị có thay

đổi trong quá trình vận chuyển (Ví dụ như bước nhảy) sẽ

được đặt là 0. Đơn vị dữ liệu qua được thuật toán sẽ chứa vùng header

sự chứng thực, với trường sự chứng thực dữ liệu được đặt là 0. Thuật toán tạo ra sự

chứng thực dữ liệu với những thứ đã được đưa vào trong vùng header mở rộng

trước khi tới quá trình vận chuyển đơn vị dữ liệu.


Sự chứng thực dữ liệu 128 bít

Khoá bảo mật 128 bít

Đơn vị dữ liệu IP với những trường sự thay đổi và sự chứng thực được đặt là 0

Khoá bảo mật 128 bít

Thuật toán sự chứng thực


Những chức năng người nhận trong 1 phương pháp tương tự. Nó nhận mang đi

khoá bảo mật và nhận lấy đơn vị dữ liệu ( lần nữa với những trường thay đổi được

đặt là 0) và đi qua chúng để đến thuật toán sự chứng thực. Nếu kết quả giống sự

chứng thực dữ liệu, đơn vị dữ liệu được chứng thực nếu không chúng sẽ bị loại.

2.5.5. Playload bảo mật mã hóa

Payload bỏ mật mã hoá là phần mở rộng mà cung cấp một cách tín nhiệm và

bảo vệ chống lại sự nghe lén. Hình 30 trình bày sự định dạng. Trường chỉ mục tham

số bảo mật 32 bít định nghĩa kiểu mã hoá / không mã hoá được sử dụng.


Chỉ mục tham số bảo mật



Dữ liệu mã hoá

Hình 30 : Payload bảo mật mã hoá

Trường khác chứa những dữ liệu đang mã hoá với bất kỳ những tham số thêm

nào được cần bởi thuật toán. Sự mã hoá có thể được trang bị trong 2 cách :

Mode vận chuyển (Transport Mode): Trong mode vận chuyển một TCP hay

đơn vị dữ liệu người sử dụng UDP là cái đầu tiên được mã hoá và được gói vào

trong 1 gói IPv6. Sự mã hoá trong mode vận chuyển được sử dụng đa số để mã hoá

dữ liệu từ host sang host.

Sự mã hoá

Hình 31 : Sự mã hoá mode vận chuyển (Transport Mode Encryption)

Mode tunnel (Tunnel Mode): Trong mode tunnel toàn bộ dữ liệu IP với những

vùng Header nền tảng của nó và những vùng Header mở rộng được mã hoá và gói

vào trong 1 gói IP mới sử dụng vùng Header mở rộng Paylaod bảo mật mã hoá. Nói

cách khác chúng ta có 2 vùng Header nền tảng: 1 đã mã hoá, 1 chưa mã hoá.

2.5.6. Tùy chọn đính


Vùng header nền tảng và những vùng header khác

Chỉ mục

Dữ kiệu mã hoáDữ liệu thô


Tuỳ chọn đích được sử dụng khi nguồn chỉ cần chuyển thông tin đến đích.

Những router không ngay lập tức trao quyền truy cập cho những thông tin này.

Định dạng của tuỳ chọn đích tương tự như tuỳ chọn nhảy từng bước. Xa hơn chỉ có

Pad1 và PadN được định nghĩa.

So sánh giữa IPv4 và IPv6: Chúng ta hãy thực hiện một số sự so sánh giữa

những vùng Header mở rộng của IPv4 và IPv6:

Tuỳ chọn không hoạt động (no-operetion) và kết thúc tuỳ chọn ( end- of -

option) trong IPv4 được thay bằng Pad1 và PadN trong IPv6.

Tuỳ chọn bản ghi tìm đường không được trang bị trong IPv6 vì nó không

được sử dụng.

Tuỳ chọn ten thời gian (timestamp) không được trang bị vì nó không được

sử dụng.

Tuỳ chọn nguồn tìm đường (source route) được gọi là vùng Header mở

rộng tuỳ chọn nguồn tìm đường trong IPv6.

Những trường sự phân miếng (fragmentation) trong khu vực vùng Header

nèn tảng của IPv4 được chuyển đến vùng Header mở rộng tuỳ chọn sự phân miếng

của IPv6.

Vùng Header sự chứng thực là mới trong IPv6.

Vùng Header mở rộng Payload bảo mật mã hoá là mới trong IPv6.

3. Sự chuyển tiếp từ ipv4 sang ipv6

3.1. Đặt vấn đề

Giao thức IPv6 có nhiều ưu điểm vượt trội so với IPv4, đáp ứng được nhu cầu

phát triển của mạng Internet hiện tại và trong tương lai. Do đó, giao thức IPv6 sẽ

thay thế IPv4.

Tuy nhiên, không thể chuyển đổi toàn bộ các nút mạng IPv4 hiện nay sang IPv6

trong một thời gian ngắn. Hơn nữa, nhiều ứng dụng mạng hiện tạichưa hỗ trợ IPv6.



Theo dự báo của tổ chức ISOC, IPv6 sẽ thay thế IPv4 vào khoảng 2020- 2030. Vì

vậy, cần có một quá trình chuyển đổi giữa hai giao thức để tránh hiện tượng tương

tự như sự cố Y2K.

Các cơ chế chuyển đổi (Transition mechanism) phải đảm bảo khả năng tương tác

giữa các trạm, các ứng dụng IPv4 hiện có với các trạm và ứng dụng IPv6. Ngoài ra,

các cơ chế cũng cho phép chuyển tiếp các luồng thông tin IPv6 trên hạ tầng định

tuyến hiện có.

Trong giai đoạn chuyển đổi, điều quan trọng là phải đảm bảo sự hoạt động bình

thường của mạng IPv4 hiện tại.

Yêu cầu đối với các cơ chế chuyển đổi:

+ Việc thử nhiệm IPv6 không ảnh hưởng đến các mạng IPv4 hiện đang hoạt

động.

+ Kết nối và các dịch vụ IPv4 tiếp tục hoat động bình thường.

+ Hiệu năng hoạt động của mạng IPv4 không bị ảnh hưởng. Giao thức IPv6 chỉ

tác động đến các mạng thử nghiệm.

+ Quá trình chuyển đổi diễn ra từng bước. Không nhất thiết phải chuyển đổi toàn

bộ các nút mạng sang giao thức mới.

Các cơ chế chuyển đổi được phân thành 2 nhóm với hai chức năng khác nhau:

+ Kết nối các mạng và các nút mạng IPv6 qua hạ tầng định tuyến IPv4 hiện có.

Các cơ chế này bao gồm: Đường hầm (tunnel), 6to4, 6over4.

+ Kết nối các nút mạng IPv4 với các nút mạng IPv6. Các cơ chế này bao gồm:

SIIT, NAT- PT, ALG, DSTM, BIS, BIA, SOCK64.

- Mối cơ chế đều có ưu, nhược điểm và phạm vi áp dụng khác nhau. Tùy từng thời

điểm trong giai đoạn chuyển đổi, mức độ sử dụng của các cơ chế chuyển đổi sẽ

khác nhau.

Giai đoạn đầu: Giao thức IPv4 chiếm ưu thế. Các mạng IPv6 kết nối với nhau

trên nền hạ tầng IPv4 hiện có thông qua các đường hầm IPv6 qua IPv4.

Giai đoạn giữa: Giao thức IPv4 và IPv6 được triển khai về phạm vi ngang nhau

trên mạng. Các mạng IPv6 kết nối với nhau qua hạ tầng định tuyến IPv6. Các mạng


UDP

Data link (Ethernet)

TCP

Ipv6Ipv4


IPv4 kết nối với các mạng IPv6 sử dụng các phương pháp chuyển đổi địa chỉ giao

thức như NAT- PT, ALG…

Giai đoạn cuối: Giao thức IPv6 chiếm ưu thế. Các mạng IPv4 còn lại kết nối với

nhau trên hạ tầng định tuyến IPv6 thông qua các đường hầm IPv4 qua IPv6 khi

chuyển hoàn toàn sang IPv6.

3.2.Các phương thức chuyển đổi

3.2.1. Chồng giao thức

Đây là cơ chế đơn giản nhất cho phép nút mạng đồng thời hỗ trợ cả hai giao thức

IPv6 và IPv4. Có được khả năng trên do một trạm Dual Stack càI đặt cả hai giao

thức, IPv4 và IPv6. Trạm Dual Stack sẽ giao tiếp bằng giao thức IPv4 với các trạm

IPv4 và băng giao thức IPv6 với các trạm IPv6.

Application

Hình 32. Chồng hai giao thức



Do hoạt động với cả hai giao thức, nút mạng kiểu này cần ít nhất một địa chỉ

IPv4 và một địa chỉ IPv6. Địa chỉ IPv4 có thể được cấu hình trực tiếp hoặc thông

qua cơ chế DHCP. Địa chỉ IPv6 được cấu hình trực tiếp hoặc thông qua khẳ năng tự

cấu hình địa chỉ.

Nút mạng hỗ trợ các ứng dụng với cả hai giao thức. Chương trình tra cứu tên

miền có thể tra cứu đồng thời cả các truy vấn kiểu A lẫn kiểu AAAA(A6). Nếu kêt

quả trả về là bản ghi kiểu A, ứng dụng sẽ sử dụng giao thưc IPv4. Nếu kêt quả trả

về là bản ghi AAAA(A6), ứng dụng sẽ sử dụng giao thức IPv6. Nếu cả hai kết quả

trả về, chương trình sẽ lựa chọn trả về cho ứng dụng một trong hai kiểu địa chỉ hoặc

cả hai.

- Ưu điểm:

+ Đây la cơ chế cơ bản nhất để nút mạng có thể hoạt động đồng thời với cả hai

giao thứ do đó, nó được hỗ trợ trên nhiều nền tảng khác nhau như FreeBSD,

Linux, Windows và Solaris.

+ Cho phép duy trì các kết nối bằng cả hai giao thức IPv4 và IPv6.

Nhược điểm:

+ Khả năng mở rộng kém vì phảI sử dụng địa chỉ IPv4.

3.2.2. Đường hầm ipv6 qua ipv4

Đường hầm cho phép kết nối các nút mạng IPv6 qua hạ tầng định tuyến IPv4 hiện

có. Các trạm và các router IPv6 thực hiện bằng cách đóng các gói tin IPv6 bên rong

gói tin IPv4.Có 4 cách thực hiện đường hầm:

+ Đường hầm từ router dến router.

+ Đường hầm từ trạm đến router.

+ Đường hầm từ trạm đến trạm

+ Đường hầm từ router đến trạm.


Ipv4host host

IPv4 header IPv6 header Data

IPv6 header Data

IPv6 header Data


Hình 33. Đường hầm Ipv6 qua Ipv4

- Các cách thực hiện đường hầm khác nhau ở vị trí của đường hầm trong tuyến

đường giữa hai nút mạng. Trong hai cách đầu, gói tin được định đường hầm tới một

router trung gian sau đó, router này sẽ chuyển tiếp gói tin đến đích. Với hai cách

sau, gói tin được định đường hầm thẳng tới địa chỉ đích.

- Để thực hiện đường hầm, hai điểm đầu đường hầm phải là các nút mạng hỗ trợ cả

hai giao thức. Khi cần chuyển tiếp một gói tin IPv6, điểm đầu đường hầm sẽ đóng

gói gói tin trong một gói tin IPv4 bằng các thêm phần mở đầu header IPv4 phù hợp.

- Khi gói tin IPv4 đến điểm cuối đường hầm, gói tin IPv6 sẽ được tách ra để xử lý

tùy theo kiểu đường hầm

Gói tin ban đầu:

Gói tin đường hầm:


3ff:b00:a:1::111

Src=3ffe:b00:a:1::1

192.168.1.1 192.168.2.1

IPv66 Ipv44

IPv6 IPv6Header Dataheader

IPv6 IPv6 Header data

IPv4 IPv6 IPv6Header header data

3ffe:b00:a::3::2

Dst=3ffe:b00:a:3::2 Dst=192.168.2.1

Src=192.168.1.1


Gói tin ra klhỏi đường hầm

- Có hai loại đường hầm chính là đường hầm có cấu hình và đường hầm tự động.

Đường hầm có cấu hình (Configured tunnel)

Đặc điêm của đường hầm có cấu hình là địa chỉ điểm cuối đường hầm không

được xác định tự động mà dựa trên những thông tin cấu hình trước tai điểm đầu

đường hầm.

Hình 34: Đường hầm có cấu hình.

Đường hầm tự động (Automatic tunnel)

Đặc điểm của đường hầm tự động là địa chỉ điểm cuối đường hầm được xác định

một cách tự động. Đường hầm được tạo ra một cách tự động và cũng tự động mất

đi. Mô hình đầu tiên là dùng địa chỉ IPv6 có khuôn dạng đặc biệt: địa chỉ IPv6

tương thích IPv4 để mã hóa thông tin về địa chỉ IPv4 trong địa chỉ IPv6.


96 bit 32 bit

0:0:0:0:0:0: IPv4 ADDR


Hình 45: Địa chỉ IPv6 tương thích địa chỉ IPv4

- Tại điểm đầu đường hầm, nút mạng đóng gói sẽ tách phần địa chỉ IPv4 làm địa chỉ

điểm cuối đường hầm để đóng gói gói tin.

Ưu điểm:

+ Đường hầm tự động đơn giản, cho phép hai nút mạng IPv6 dễ dàng kết nối với

nhau qua kết nối IPv4 hiện có mà không cần các cấu hình đặc biệt.

Nhược điểm:

+ Hạn chế về không gian địa chỉ do phụ thuộc vào không gian địa chỉ IPv4.

+ Nguy cơ bị tấn công phá hoại bởi các tin tặc.

- Do địa chỉ cuối đường hầm được xác định hoàn toàn tự động và gói tin đường hầm

sẽ được giử đến địa chỉ IPv4 đó. Nếu không có cơ chế kiểm tra đặc biệt, giả sử có

một gói tin được giửi dén router của mạng (203.162.7.0) với địa chỉ IPv6

đích ::203.162.7.255. Địa chỉ IPv4: 203.162.7.255 là địa chỉ broadcast của mạng do

đó, các gói tin đường hầm sẽ được giử tới mọi trạm trong mạng.

- Do đó, các đường hầm tự động thường được han chế sử dụng. Sau này người ta đề

xuất một số phương pháp cải tiến như 6over, 6to4…

3.2.3. 6 over 4

Cơ chế cho phép các trạm IPv6 cô lập trên các liên kết vật lý không có các

router IPv6 hoạt động dựa trên các gói tin multicast IPv4 như một liên kết cục bộ

ảo. Cơ chế này còn gọi là mạng Ethernet ảo.

Để hỗ trợ các cơ chế Phát hiện láng giềng và tự cấu hình địa chỉ stateless, một số

các địa chỉ có phạm vi quản trị được sử dụng. Các nhóm multicas để giả lập một



tầng liên kết Ethernet. Do đó, cơ chế phat hiện láng giềng (ND) giữa các trạm IPv6

với các trạm 6over4 giống như trong tầng Ethernet thông thường. Cách tiếp cận này

tạo ra liên kết IPv6 thật trên một mạng LAN ảo. Điểm khác biệt là các trạm 6over4

vào cùng một miền IPv4 multicast thay vì một mạng chia sẻ đường truyền.



IPv6

IPv6 over IPv4

IPv4

Hình 36. 6over4

- Việc ánh xạ địa chỉ IPv6 sang địa chỉ tầng liên kết được thực hiện giống giao

thức ND. Trong trường hợp này, tùy chọn Địa chỉ tầng liên kết nguồn/đích sử

dụng IPv4 làm tầng liên kết. Do đó, toàn bộ mạng IPv4 được coi như một tầng

liên kết chia sẻ đường truyền thông qua việc sử dụng các địa chỉ multicast sau

đây:

+Địa chỉ multicast tất cả các nút mạng (239.X.0.1): Địa chỉ quản trị này được

dùng để đến mọi nút mạng trong miền IPv4 hỗ trợ cơ chế này.

+ Địa chỉ multicast tất cả các rouuter (239.X.0.2): Địa chỉ quản trị này được

dùng để đến mọi router trong miền IPv4 hỗ trợ cơ chế này.

+ Địa chỉ multicast solicited-node (239.X.C.D): Địa chỉ quản trị này được

dùng để xác định địa chỉ nút láng giềng (C và D là hai byte thấp trong địa chỉ

IPv4).

- Trong tấ cả các địa chỉ này, X chỉ định danh cục bộ liên kết (thường bằng 192).


Ipv6 network

Ipv6network


3.2.4. 6 to 4

6 to 4 router 6 to 4 router

192.168.99.1 192.168.30.1

Network Preix: Network Preix: 2002: c0a8:6301::/48 2002: c0a8:6301::/48

Hình 37 : 6 to 4

Khuôn dạng của một địa chỉ 6to4 như sau:

FP TLA IPv4ADDR SLAID Interface ID

Hình 38:Khuôn dạng địa chỉ 6to4

Cơ chế hoạt động:


Ipv6 IPv6Ipv4 IPv6


Type: native IPv6 Type: IPv6 in IPv4 2002:c0a8:1e01::1Dst:2002:c0a8:1e01::1 Dst:192.168.30.1 192.168.30.1

Hình 39 : Cơ chế hoạt động 6 to 4

Khi có một gói tin IPv6 với địa chỉ đích có dạng 2002::/16 được giử đến một router

6to4, router 6to4 tách địa chỉ IPv4 (địa chỉ Ipv4 vừa tách được chính là địa chỉ IPv4

của 6to4 router đích), bọc gói tin IPv6 trong gói tin IPv4 với địa chỉ đích là địa chỉ

IPv4 vừa tách được. Sau đó, các gói tin sẽ được chuyển tiếp trên hạ tầng IPv4. Khi

router 6to4 đích nhận được gói tin, gói tin IPv6 sẽ được tách ra và chuyển đến nút

mạng IPv6 đích.

- Ưu điểm:

+ Các nút mạng không bắt buộc phải dùng địa chỉ IPv6 kiểu tương thích IPv4

như đường hầm tự động.

+ Không cần nhiều cấu hình đặc biệt như đường hầm có cấu hình.

+ Không bị ảnh hưởng bởi các hệ thống tường lửa của mạng, chỉ cần routercủa

mạng có địa chỉ IPv4 toàn cục có thể định tuyến.

- Nhược điểm:

+ Chỉ thực hiện với một lớp địa chỉ mạng đặc biệt.

+ Có nguy cơ bị tấn công theo kiểu của đường hầm tự động nếu phần địa chỉ

IPv4ADDR trong địa chỉ đích của gói tin 6to4 là địa chỉ broadcast hay multicast.

- Triển khai:



+ 6to4 được hỗ trợ trên nhiều hệ điều hành như Linux, Windows 2000.

+ Linux: radvd có thể cấu hình để quảng bá tiền tố địa chỉ 6to4.

+ Windows 2000: chương trình 6to4cfg dùng để cấu hình mạng 6to4.

3.3.Mô giới đường hầm

Hiện nay, mạng IPv6 sử dụng rất nhiều đường hầm trên hạ tầng IPv4. Tunnel

Broker được đưa ra để giảm nhẹ chi phí cấu hình và duy trì các đường hầm này.

- Cơ chế này sử dụng một tập các server chuyên dụng gọi là Tunnel Broker để

cấu hinh và duy trì các đường hầm. Chúng có thể xem như các ISP IPv6 ảo cho các

người dùng đã kết nối vào Internet IPv4. Cơ chế này phù hợp cho các trạm (hoặc

site) IPv6 nhỏ cô lập muốn kết nối dễ dàng vào mạng IPv6.

- Cấu trúc của TUnnel broker bao gồm:

+ Một server tunnel broker.

+ Một DNS server.

+ Một số các server đường hầm.



IPv6 IPv4

host

IPv4 network

IPv4 network IPv6 network

Hình 40: Môi trường đường hầm

- Cách thức thực hiện:

+ Các khách hàng của dịch vụ Tunnel broker là các nút mạng IPv6 stack kép

(host hoặc router) đã kết nối vào Internet IPv4. Trước khi thiết lập đường hầm, cần

có sự trao đổi thông tin giữa Tunnel broker với khách hàng như xác thực, quản lý và

thông tin tài khoản.

+ Khách hàng kết nối tới tunnel broker để đăng kí và kích hoạt các đương hầm.

Tunnel broker có thể chia sẻ tại các điểm cuối đường hầm trên các server đường

hầm. Nó cũng có thể đăng kí tên và địa chỉ IPv4 của đầu đường hầm phía họ, tên

đăng kí trong DNS và đó là một trạm hay một router.

+ Tunnel broker chọn một server đường hầm làm điểm cuối đường hầm thực

sự. Nó chọn tiền tố cấp phát cho khách hàng (từ 0 đến 128) và cố định thời gian tồn

tại của đường hầm.



+ Tunnel broker đăng kí địa chỉ IPv6 cấp cho các điểm cuối đường hầm trong

DNS.

+ Tunnel broker cấu hình đường hầm phía server và thông báo các thông tin

liên quan cho khách hàng.

- Sau đó, khách hàng có thể kết nối vào mạng IPv6 thông qua cơ chế đường hầm

như bình thường.

- Ưu điểm:

+ Quản lý tập trung các đường hầm phía server, giảm bớt chi phí.

+ Có thể sử dụng các ISP ảo trên IPv6.

- Các Tunnel Broker trên mạng Internet:

+ Freenet6 www.freenet6.net

+ Hurriane Electric www.ipv6tb.he.net

3.4.Dịch địa chỉ dịch giao thức

Dịch địa chỉ và dịch giao thức được phát triển trên cơ sở cơ chế NAT trong

IPv4 nhằm cho phép các nút mạng IPv4 và IPv6 kết nối với nhau. Cơ chế này hoạt

động trên cơ sở chuyển đổi các khác biệt giữa các gói tin IPv4 và IPv6.

- Khác biệt về địa chỉ: Dịch địa chỉ IPv4- IPv6.

- Khác biệt về phần mở đầu header: Dịch giao thức thay đổi header gói tin.

Thiết bị NAT- PT được cài đặt tại biên giới giữa mạng IPv4 với Ipv6. Cơ chế này

không đòi hỏi các cấu hình dặc biệt tai các máy trạm và các sự chuyển đổi gói tin tại

thiết bị NAT- PT hoàn toàn trong suốt với người dùng.

- Mỗi thiết bị NAT- PT duy trì một tập các địa chỉ IPv4 dùng đẻ ánh xạ các yêu cầu

với địa chỉ IPv6.

- NAT- PT có thê mở rộng thành NAPT- PT cho phép sử dụng một địa chỉ - - IPv4

cho nhiều phiên làm việc khác nhau.

NAT- PT cũng như NAT cũng như IPv4 không có khả năng hoạt động với các gói

tin có chứa địa chỉ trong phần tải tin. Do đó, NAT- PT thường đi kèm với cơ chế


http://www.ipv6tb.he.net/

http://www.freenet6.net/


Cửa khẩu tầng ứng dụng ALG. Cơ chế này cho phép xử xý các gói tin ứng với từng

dịch vụ nhất định như DNS hay FTP, ...

- Ưu điểm:

+ Quản trị tập trung tại thiết bị NAT- PT.

+ Có thể triển khai nhiều thiế bị NAT- PT để tăng hiệu năng hoạt động.

- Nhược điểm:

+ Tạo lên một điểm gây lỗi loạn single poin of failure tại thiết bị NAT- PT.

- Các triển khai của NAT- PT: NAT- PT đã được thử nghiệm trên các hệ điều hành

mạng như:

+ Linux, Free BSD, Microsoft Windows 2000.

+ Ngoài ra, nó cũng là một phần của hệ điều hành Cisco IOS IPv6 bản beta với

hai phiên bản dựa trên IOS v11.3 và IOS v12.0. Các triển khai này có cho nhiều

loại router khác nhau.

Hình 41: NAI- PT

- SIIT (Stateless IP/ICMP Translation Algorithm) là một chuẩn của IETF

(RFC2765) mô tả bộ dịch IPv6/IPv4 không lưu trạng thái (Stateless).

- Tương tự cơ chế NAT- PT ngoại trừ nó không cấp phát động địa chỉ IPv4 cho các

trạm IPv6. Chức năng chuyển đổi thực hiện giữa header IPv6 và IPv4. SIIT không

bao gồm các tùy chọn IPv4 và header mở rộng trong IPv6.

SIIT cũng thực hiện chuyển đổi các thông điệp điều khiển ICMP giữa hai giao thức.

- Đối với quá trình chuyển đổi IPv4 sang IPv6, một địa chỉ IPv4 tạm thời được gán

cho nút mạng IPv6.


IPv4


- Các gói tin đến thiết bi SIIT sẽ được chuyển đổi header và địa chỉ từ IPv4 sang các

địa chỉ IPv4-dịch (IPv4- translated) và IPv4- ánh xạ (IPv4- mapped). Một địac hỉ

IPv4-dịch tương ứng với một nuts mạng IPv6 còn địa chỉ IPv4- ánh xạ tương ứng

một nút mạng IPv4. Đối với chiều ngược lại, các địa chỉ này sẽ được chuyển đổi

ngược lại thành địa chỉ IPv4.

- Do quá trình chuyển đổi không lưu trạng thái, có thể tồn tại nhiều bộ chuyển đổi

giữa hai mạng IPv4 và IPv6. Không có sự ràng buộc mỗi phiên truyền phải đi qua

một thiết bị duy nhất như trong NAT- PT.

3.5.Một số cơ chế khác.

3.5.1. BIS (Bump Into the Stack)

BIS là sự kết hợp của hai cơ chế NAT- PT và DNS- ALG nhưng được cài đặt

ngay tại các nút mạng IPv6. Qua đó, các ứng dụng trên các trạm IPv4 có thể kết nối

với các trạm IPv6.

Ưu điểm:

+ Hỗ trợ nhanh chóng và đơn giản các ứng dụng IPv4 có thể kết nối với các nút

mạng IPv6 khác.

+ Cài đặt ngay trên từng trạm nên không phụ thuộc vào một thiết bị trung gian

như NAT- PT.

Nhược điểm:

+ Không hỗ trợ khả năng tự cấu hình.

+ Cần cài đặt và cấu hình riêng rẽ trên từng nút mạng: card mạng, cấu hình IP,

NAT. Các thông số cấu hình này cần được thực hiện lại mỗi khi có sự thay đổi

về topo và địa chỉ mạng.

+ Về lâu dài và với các mạng có kích thước lớn, hoạt động không hiệu quả và

chi phí quản trị cao.

- Triển khai:



+Phần mềm Tôlnet6 hỗ trợ BIS hạn chế với một số card mang họ 3Com,

NE2000 dưới dạng driver cho card mạng do công ty Hitachi cung cấp. Chương trình

hoạt động với Win9x và NT cho phép kết nối với các trạm IPv6.

+Sau7 khi cài đặt phần driver của card mạng, cần cấu hình các ánh xạ địa chỉ

IPv6- IPv4 trước khi có thể thực hiện kết nối thông qua chương trình NAT

MAnager.

3.5.2. BIA (Bump Into the API

Phương pháp này áp dụng cho các dual- stack host (các host hỗ trợ cả IPv4 và

IPv6), cho phép các host IPv6 khác với các ứng dụng IPv4 hiện có.

Mục đích của phương pháp cũng giống như cơ chế Bump-in-the-stack (BIS) nhưng

nó đưa ra cơ chế dịch giữa các API IPv4 và IPv6. DO vậy, quá trình đơn giản không

cần dịch header gói tin IP và không phụ thuộc vào các giao thức tầng dưới và trình

điều khiển của giao diện mạng.

Host Translatorr( BIA) IPv6 hative host (API) IP v6 network

IPv4 Applications

IPv6 hative host

Hình 42: BIA



Phương pháp BIA không sủ dụng được trong các host chỉ hỗ trợ IPv4 như

phương pháp BIS. Nó chỉ được sử dụng trên các host IPv6/Ipv4 nhưng có một số

trình ứng dụng IPv4 không thẻ hoặc khó chuyển đổi sang hỗ trợ IPv6.

Do BIA hoạt động tại mức API socket nên ta có thể sử dụng các giao thức an

ninh tại tầng mạng (IPsec).

BIA hiện nay chỉ áp dụng được cho các trao đổi kiểu Unicast, chưa áp dụng được

cho kiểu Multicast. Các tính năng mới của socket IPv6 không thể sử dụng.

Phương thức hoạt động:

+ Phương pháp BIA chèn thêm một bộ dịch API vào giữa module socket API và

module TCP/IP trên dual-stack host và dịch các hàm API socket IPv4 thành các

hàm API socket IPv6 và ngược lại.

Để áp dụng phương pháp này, host hỗ trợ cả TCP(UDP)/IPv4 và TCP(UDP)/IPv6.

+ Khi một ứng dụng IPv4 giao tiếp với một host IPv6 khác, bộ dịch API phát hiện

các hàm APG socket mà ứng dụng sử dụng và gọi tương ứng các hàm API socket

IPv6 để giao tiếp với host IPv6 và ngược lại.

+ Quá trình chuyển đổi IPv6 sang một tập các địa chỉ IPv4 được thực hiện trong

module ánh xạ tên (name resolver).

- Kiến trúc của dual-stack host sử dụng BIA.

- Module BIA gồm 3 phần:

+ Module tra cứu tên (Name resolver): Đáp ứng các yêu càu tra cứu tên miền của

các ứng dụng IPv4. Khi một ứng dụng giửi một truy vấn các bản ghi kiểu A tới

name server, module này sẽ nhận truy vấn này, phân tích và tạo ra truy vấn tương

ứng với tên máy đó cho cả các bản ghi kiểu A và AAAA rồi giửi cho name server.



IPv4 Applications

Socket API (IPv4 , IPv6)

API Translator

TCP(UDP)/IPv4 TCP(UDP)/IPv6

Hình 43. Kiến trúc của dual- stack host sử dụng BIA

Nếu trả lời từ name server chỉ có bản ghi kiểu AAAA, module này sẽ yêu cầu

module ánh xạ địa chỉ gán một địa chỉ IPv4 tương ứng với địa chỉ IPv6 này rồi tạo

ra một trả lời kiểu A chứa địa chỉ IPv4 trả về cho ứng dụng

+ Module ánh xạ địa chỉ (Address mapper).

Duy trì một bảng các cặp địa chỉ IPv4 và IPv6. Các địa chỉ IPv4 được gán từ một

tập các địa chỉ này và cập nhật thêm một mục trong bảng. Quá trình cập nhật xảy ra

trong hai trường hợp:

Khi module ánh xạ tên chỉ nhận được trả lời về bản ghi kiểu AAAA và không có

mục nào trong bảng chứa địa chỉ IPv6 tương ứng.

Khi module ánh xạ hàm nhận được một lời gọi hàm API socket từ dữ liệu thu nhận

mà không có mục nào trong bảng tương ứng với địa chỉ IPv6 nguồn.

+ Module ánh xạ hàm (Function mapper): Chuyển đổi các hàm API socket IPv4

thành các hàm API socket IPv6 và ngược lại.



- Các vấn đề liên quan

+ Chuyển đổi API socket.

Các hàm API socket IPv4 được chuyển đổi tương ứng sang các hàm API socket

IPv6. Quá trình này chuyển đổi cả các địa chỉ IP nhúng trong các giao thức tầng

ứng dụng (FTP, DNS,...). Sự tương thích giữa các hàm API socket là không hoàn

toàn do các hàm API socket IPv6 có nhiều tính năng hơn.

Các hàm API socket được chuyển đổi:

bind()

connect()

sendmsg()

sendto()

accept()

rrecvfrom()

recvmsg()

getpeername()

gétockname()

gétocketopt()

sétocketopt()

recv()

send()

Bảng 3- 1. Các hàm API socket được chuyển đổi Các cấu trúc và hàm API cơ bản

AF_ INET AF- INET6

sockaddr_in sockaddr_in6

gethostbyname() getaddrinfo()



gethosbyaddr() getnameinfo()

inet_ntoa()/inet_addr() inet_pton()/inet_ntop()

INADDR_ANY in6addr_any

Bảng 3- 2. Các cấu trúc và hàm API cơ bản

- Các thông điệp ICMPv4 được chuyển thành ICMPv6 và ngược lại giống trong

phưong pháp SIIT.

+ Tập các địa chỉ IPv4 và bảng ánh xạ địa chỉ.

Để tránh hiện tượng dùng hết tập địa chỉ IPv4 dẫn đến không thể tiếp tục đáp ứng

các yêu cầu trao đổi với bên ngoài, BIA đưa ra các cơ chế để loại bỏ các mục tồn tại

lâu nhất trong bảng để sử dụng trong các yêu càu mới.

+ Các địa chỉ IPv4 nội bô.

Để tránh đụng độ về địa chỉ, BIA sử dụng các địa chỉ không được cấp phát (0.0.0.0

đến 0.0.0.255).

+ Vấn đề không phù hợp giữa kết quả DNS (AAAA) với phiên bản ứng dụng

(v4).

- Nếu server ứng dụng chưa hỗ trợ IPv6 nhưng chạy trên một máy có hỗ trợ IPv6 và

có tên dưới kiểu bản ghi AAAA trong DNS, ứng dụng client có thể không kết nối

được với server do có sự không phù hợp giữa bản ghi kết quả DNS (AAAA) với

phiên bản ứng dụng server (IPv4).

- Một trong các giải pháp là thử tất cả các địa chỉ trong DNS và không kết thúc

ngay sau lần thử đầu tiên. Điều này có thể ứng dụng bởi sự mở rộng module tra cứu

tên và bộ dich API trong BIA. BIA thực hiện lặp công việc tìm kiếm các địa chỉ

hoạt động sử dụng bởi các ứng dụng khác bên ngoài các địa chỉ trả về từ name

server.



3.5.3. Cơ chế chuyển đổi hai giao thức (DSTM)

Cơ chế này cho phép kết nối các nút mạng stack kếp (IPv6/IPv4) trên một

mạng IPv6 với các nút mạng IPv4 ở xa. DSTM không áp dụng được cho các nút

mạng chỉ hỗ trợ IPv6.

- DSTM cấp một địa chỉ IPv4 toàn cục tạm thời cho nút mạng IPv6 và sử dụng

đường hầm IPv4-in-IPv6 để truyền gói tin IPv4 trên mạng IPv6.

- Đây là cơ chế hai chiều, quá trình truyền thông có thể bắt đầu từ nút mạng IPv6

hoặc nút mạng IPv4.

- Cách thức hoạt động:

+ DSTM được cài đặt trên tất cả các nút mạng trong mạng IPv6 và router biên giới

giữa hai miền IPv6 và IPv4. Nó cũng sử dụng DHCPv6. Do vậy, DSTM cần một

server DHCPv6 và các client tại mỗi nút mạng.

DHCP

Border router(Y)IPv4IPv6

IPv4 only node (Z)

Dual stack node (X)

DNS

Bảng 3- 3. Cơ chế chuyển đổi hai giao thức (DSTM)



- Chức năng các bộ phận như sau:

+ DHCPv6 Server: Cấp địa chỉ IPv4 tạm thời cho các nút mạng muốn giao tiếp

với nút mạng IPv4 ở xa. Nó cũng duy trì sự ánh xạ giữa địa chỉ IPv4 và IPv6. Để

hỗ trợ DSTM, DHCPv6 phải hỗ trợ một tùy chọn mới cho phép nút mạng IPv6

nhận địa chỉ IPv4 tạm thời và thông báo cho phía client biết địa chỉ IPv6 của

cuối đường hầm.

+ DSTM daemon: Sử dụng DHCPv6 client trên nút mạng để yêu cầu địa chỉ

IPv4 toàn cục mỗi khi khởi tạo truyền thông.

+ Giao diện đường hầm động (DTI): Đây là một giao diện IPv4 ảo trongnut

stack kép để cho phép truyền các gói tin IPv4 một cách trong suốt trên mạng

IPv6. Các gói tin chuyển đến giao diện này được bọc trong gói tin IPv6 và được

giửi thông qua giao diện IPv6 đến router biên mạng.

+ Router biên mạng: Đây là một router stack kép kết nối miền IPv4 với IPv6.

Đây là nơi kết thúc đường hầm 4 trong 6. Router cũng lưu các ánh xạ giữa địa

chỉ IPv6 với địa chỉ IPv4 tạm thời.

- Ưu điểm:

+ Trong suốt đối với mạng, chỉ cần duy trì định tuyến IPv6 trên mạng, giảm chi

phí quản trị mạng.

+ Trong suốt đối với ứng dụng, cho phép các ứng dụng chỉ cho IPv4 hoạt động

bình thường trên nút mạng IPv4/IPv6.

+ Khắc phuc sự thiếu hụt địa chỉ IPv4 bằng cách sử dụng DHCPv6.

- Nhược điểm:

+ Đòi hỏi nhiều cơ chế đặc biệt.

+ Sử dụng các địa chỉ IPv4 toàn cục.

- Triển khai:

+Hiên mới chỉ có trên hệ điều hành Free BSD.



Chương 2: Tổng quan về VPN

1. Giới Thiệu về VPN

1.1. Giới thiệu

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn

thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ

dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối

vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc

sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau...

Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và

dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành

thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua

mạng internet.

Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin

quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát

triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các

chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng

cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức.

Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu

quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề

này, một giải pháp đưa ra là mạng riêng ảo (VPNs). Chính điều này là động lực cho

sự phát triển mạnh mẽ của VPNs như ngày nay.

Trong chương này, chúng ta sẽ đề cập đến những vấn đề cơ bản của kĩ thuật VPN

1.2. Một Số Khái Niệm

Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi

dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của

VPNs. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được

truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy

cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPNs là



đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng

với chi phí bổ sung hợp lý.

Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force

(IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP

chia sẻ và công cộng như mạng Internet hay IP backbones riêng.

Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang

mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông

tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical

"tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là

giao thức thông tin point-to-point.

Hình 1: VPN setup

Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật

của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau:

Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu

sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi,

người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong

phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng

một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện

nay thì sử dụng 2 khóa:



Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá

trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác

nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn

giao tiếp một cách an toàn với thực thể đó.

Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể,

tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất

cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể

có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao

tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử

dụng khóa riêng để giải mã dữ liệu đó.

Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and

Data Encryption Standard (DES).

Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến

được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một

dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy

cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một

khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key

encryption)

Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên

mạng sau khi người sử dụng đã xác nhận thành công.

1.3. Sự Phát Triển

VPNs không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô

hình VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành

như hiện nay.

Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được

biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết



nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên

ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông

qua hệ thống chuyển mạch chia sẻ công cộng.

Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated

Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho

phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao

thức X.25 và ISDN được xem là nguồn gốc của giao thức VPNs. Tuy nhiên do hạn

chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người

nên thời gian tồn tại của nó khá ngắn.

Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-

based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ

thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR này. Hai kĩ thuật này dựa trên

mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không

chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ

đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ

truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25

hay ISDN.

Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90,

người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng

quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPNs hiện tại đã đáp

ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling

technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác

định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol

(PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi

thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải

có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM

1.4. Ưu Điểm/Khuyết Điểm



a. Ưu điểm:

Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các

giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là

VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết

nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP).

Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông

khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể.

Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng

WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân nữa giúp làm

giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho

nhiều người người quản lý mạng.

Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet

cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy

cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể

kết nối dễ dàng với mạng intranet chính

Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông

qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPNs

sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy

quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin.

Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối

Internet nào được kích hoạt. Trong kĩ thuật VPNs thì các “đường hầm” chỉ được

hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng

khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.

Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó

cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh

doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối

thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển

trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.

b. Khuyết điểm:



Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn

mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng

VPNs.

Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ

sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes)

và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs

không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải

quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin

SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất

làm việc của cả mạng.

2. Các Dạng VPN

2.1. Remote access VPN

Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống. Hệ thống bao gồm

các thành phần chính:

Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và

ủy quyền của yêu cầu truy cập từ xa.

Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà

khoảng cách xa

Nhân sự: những người có trách nhiệm cấu hình hệ thống, bảo trì và quản

lý RAS và hỗ trợ người dùng ở xa.



hình 2: VPN remote access

Để nâng cấp Remote Access VPNs, người dùng xa và các văn phòng chi

nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết

nối với mạng trung tâm thông qua Internet. Mô hình thiết lập Remote Access VPN

được mô tả ở hình 1-3



Hình 3: VPN remote access setup

Ưu khuyết điểm của Remote Access VPNs so với Remote Access truyền

thống:

Không có thành phần RAS và các thành phần modem liên quan

Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi

ISP

Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối

địa phương. Do đó chi phí vận hành giảm rất nhiều.

Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ

cao hơn so với phải truyền dữ liệu đi xa.

VPNs cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó

hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập

mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất

lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất.



Bên cạnh những ưu điểm của VPNs thì vẫn tồn tại một số khuyết điểm còn

tồn tại của Remote Access truyền thống:

Remote Access VPNs không đảm bảo chất lượng của dịch vụ QoS.

Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân

mảnh và mất trật tự

Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên

khá nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó,

dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt.

Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa

phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường

truyền.

2.2. Intranet VPN

Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánh của

tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ

thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus

router. Mô hình được mô tả như hình 1-4:

Hình 4: VPN intranet



Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để

kết nối. Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu

cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa

lý của mạng intranet.

Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được

thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng

intranet sẽ giảm xuống. Giải pháp VPNs được mô tả như hình 1-5:

Hình 5: VPN extranet

Ưu điểm :

Giảm chi phí cho router được sử dụng ở WAN backbone.

Giảm số nhân sự hỗ trợ ở các nơi, các trạm

Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối

peer-to-peer mới.

Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết

hợp với kĩ thuật chuyển mạch nhanh như FR



Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt

hơn. Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành

intranet rất nhiều.

Khuyết điểm :

Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet -

mạng chia sẻ công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như

tấn công từ chối dịch vụ (denial-of-service)

Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao.

Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải,

chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.

Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và

QoS không thể đảm bảo

2.3. Extranet VPN

Không giống như giải pháp của intranet VPNs và remote access VPNs,

extranet VPNs không tách riêng với thế giới ngoài. Extranet VPNs cho phép điều

khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các

đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong

hoạt động thương mại của tổ chức

Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở

hình1-6



Mô hình truyền thống có chi phí rất cao do mỗi mạng phân chia của intranet

phải có bộ phận kết nối (tailoring) tương xứng các mạng ngoài. Do đó sẽ vận hành

và quản lý rất phức tạp các mạng khác nhau. Ngoài ra yêu cầu nhân sự để bảo trì và

quản lý hệ thống phức tạp này trình độ cao. Ngoài ra, với thiết lập dạng này sẽ

không dễ mở rộng mạng do phải cài đặt lạu cho toàn bộ intranet và có thể gây ảnh

hưởng đến các kết nối mạng ngoài khác.

Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên

dễ dàng hơn và giảm chi phí. Thiết lập extraner VPNs được mô tả như hình 1-7:



Ưu điểm :

Giảm chi phí rất nhiều so với phương pháp truyền thống

Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn.

Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho

giải pháp tailoring phù hợp với nhu cầu tổ chức

Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi

phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống.

Khuyết điểm:

Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại

Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức.

Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải,

chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.

Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không

ổn đinh và QoS không thể đảm bảo.



Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs đã

thõa mãn rất tốt nhu cầu của các doanh nghiệp.

3. Bảo Mật VPN

3.1. Xác nhận người dùng và quản lý truy cập

Xác nhận người dùng

Cơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn

truy xuất tài nguyên trong mạng thì phải được xác nhận cho phép truy cập. Do đó

chỉ có những người sử dụng được cho phép mới truy xuất tài nguyên mạng, giảm

thiểu sự truy xuất trái phép các tài nguyên mạng.

Sự xác nhận có thể bao gồm các thành phần sau hoạt động riêng biệt hay kết

hợp với nhau:

Đăng nhập ID và password: Người sử dụng dùng ID và password để xác

nhận truy cập từ các nút VPN.

S/Key password: Người dùng thiết lập S/KEY bằng cách chọn một

password bí mật và một số nguyên n. Số nguyên này có ý nghĩa là số lần mà hàm

mã hóa ( hiện tại là MD4) được áp dụng đối với password. Kết quả được lưu lại trên

server tương ứng. Khi người sử dụng đăng nhập tạm thời, server yêu cầu. Phần

mềm trên máy người sử dụng sẽ yêu cầu password bí mật và áp dụng lặp lại n-1 lần

hàm mã hóa và gửi kết quả về server. Server sẽ áp dụng hàm này thêm 1 lần nữa lên

kết quả vừa nhận được. Nếu kết quả nó đưa ra trùng lặp với giá trị được lưu trước

đó thì người sử dụng xác nhận thành công. Người sử dụng được cho phép truy cập

mạng, server sẽ thay thế và lưu giữ giá trị nhận được từ máy khách và giảm

password counter.

Remote Access Dial-In User Service (RADIUS). RADIUS là giao thức

bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là

máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server

RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu.



RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của

các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng

có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho

các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể

sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như

Password Authentication Protocol (PAP) và Challenge Handshake Authentication

Protocol (CHAP).

Two-factor token-based technique. Yêu cầu xác nhận bằng dấu hiệu

(token) và password. Trong quá trình xác nhận, phần cứng (thiết bị điện) được sử

dụng như các dấu hiệu và duy nhất như Personal Identification Number (PIN) được

sử dụng làm password. Theo truyền thống thì các dấu hiệu là các thiết bị phần cứng

(có thể là card), nhưng hiện nay thì một số nhà cung cấp sử dụng dấu hiệu dựa trên

phần mềm

Quản lý truy cập

Sau khi người sử dụng xác nhận thành công thì mặc định người đó có thể

truy cập đến tất cả các tài nguyên, dịch vụ và các ứng dụng trong nội bộ mạng. Nó

có thể tăng các nguy cơ bảo mật cho người sử dụng bởi vì người sử dụng có thể cố

ý hay không cố ý xáo trộn dữ liệu trên các thiết bị khác nhau. Bằng cách phân loại

các loại dữ liệu quan trọng và các dữ liệu không quan trọng mà người sử dụng làm

việc hằng ngày, bạn có thể ngăn chặn hiệu quả điều đó. Kết quả là sự truy cập có

thể bị ngăn cấm đến thiết bị lưu trữ những thông tin quan trọng này

Phân quyền quản lý truy cập cũng là 1 phần của quản lý truy cập. Nguy cơ

bảo mật này có thể được giảm bằng cách giới hạn quyền truy cập của người sử

dụng. Ví dụ, dữ liệu có thể được bảo vệ bằng cách cho phép các người sử dụng bình

thường chỉ được phép đọc dữ liệu. Và một số người sử dụng đặc biệt mới có khả

năng thay đổi hay xóa dữ liệu đó.

Quản lý truy cập dựa trên mã xác nhận người sử dụng (ví dụ ID). Tuy nhiên

một số thông số khác như địa chỉ IP nơi gửi hay nơi đến, địa chỉ cổng, và các nhóm

có thể đóng vai trò quan trọng trong phương pháp quản lý truy cập truyền thống. Cơ



chế quản lý truy cập hiện đại cũng dựa trên các thông số như thời gian, ngày, phần

mềm ứng dụng, dịch vụ hay phương pháp xác nhận URL và cơ chế mã hóa

3.2. Mã hóa dữ liệu

Mã hóa dữ liệu hay mật mã là một phần quan trọng trong vấn đề bảo mật

VPN và đóng vai trò quan trọng khi truyền dữ liệu quan trọng. Đó là cơ chế chuyển

đổi dữ liệu sang định dạng khác mà không có khả năng đọc được gọi là ciphertex,

do đó các truy xuất trái phép vào dữ liệu có thể ngăn được khi dữ liệu truyền qua

môi trường trung gian không an toàn.

Mã hóa dữ liệu có thể ngăn được các nguy cơ sau:

Xem dữ liệu trái phép Thay đổi dữ liệu Dữ liệu giả Ngắt dịch vụ mạng

Ở dữ liệu nhận được, người nhận phải giải mã trở lại định dạng ban đầu.

Trong trường hợp ciphertext bị ngăn chặn trong quá trình truyền đi thì người có dữ

liệu đó cũng không thể biết phương pháp để chuyển đổi nó về dạng ban đầu, do đó

nó cũng trở nên vô dụng với người đó. Hình 3-2 mô phỏng mô hình phương pháp

mã hóa truyền thống:

Người gửi và nhận trong tiến trình mã hóa gọi là hệ thống mã

hóa(cryptosystem). Cryptosystem thuộc một trong 2 dạng sau:

Đồng bộ Không đồng bộ



Cryptosystem được phân loại dựa theo số khóa (key) được sử dụng. Khóa có

thể là số, từ hay đoạn cú pháp được sử dụng nhằm mã hóa và giải mã

Hệ thống mã hóa đồng bộ

Hệ thống mã hóa đồng bộ dựa trên một khóa duy nhất, đó là một chuỗi bit cố

định độ dài. Nên cơ chế mã hóa này cũng được gọi là mã hóa khóa duy nhất. Khóa

là cá nhân (bi mật) và được sử dụng cho mã hóa cũng như giải mã.

Symmetric cryptosystems are based on a single key, which is a bit string of

fixed length. Therefore, this encryption mechanism is also referred to as single-key

encryption. The key is private (or secret) and is used for encryption as well as

decryption.

Trước khi truyền tải thông tin giữa 2 thành phần, khóa phải được chia sẻ với

nhau. Người mã hóa thông tin gốc sử dụng khóa cá nhân và gửi đến cho người

nhận. Khi nhận được dữ liệu đã được mã hóa, người nhận sử dụng cùng khóa đó để

giải mã.

Quá trình mã hóa đồng bộ được mô tả như hình 3-3

Như đã đề cập ơ trên, người nhận và nguời gửi cần phải chia sẻ cùng một

khóa. Một phương pháp chia sẻ khóa là người nhận cung cấp khóa bí mật hóa đối

với người nhận bằng cách gặp trực tiếp. Tuy nhiên điều này làm lãng phí thời gian

và cũng mất đi ý nghĩa của truyền thông tin bằng mạng. Một phương pháp khác để

chuyển khóa cho người nhận là bằng cách điện thoại. Nhưng phương pháp này có



thể bị nghe trộm. Một cách khác nữa là gửi bằng thư hay email. Và cũng như các

phương pháp trước, nguy cơ bị lấy mất thông tin là rất lớn.

Bởi vì các phương pháp gửi khóa đều không an toàn, một giải pháp khả thi

cho vấn đề này là làm cho độ dài khóa đủ lớn. Bất cứ người nào cũng cần phải “phá

vỡ” hay giải mã khóa trước nếu muốn xem thông tinh gốc. Tuy nhiên với khóa có

độ dài lớn thì việc giải mã khóa sẽ rất khó khăn. Phụ thuộc vào độ dài khóa, nhiều

thuật toán mã hóa đồng bộ đã được phát triển qua nhiều năm, một số thuật toán phổ

biến sử dụng mã hóa đồng bộ trong VPN là:

Data Encryption Standard (DES). DES đề xuất độ dài khóa đến

128bit. Tuy nhiên kích thước khóa đã giảm xuống còn 56bits bởi chính phủ Mĩ

nhằm tăng tốc độ thuật toán. Tuy nhiên với độ dài khóa được rút ngắn như vây thì

thuật toán mã hóa này bảo mật không tốt, có thể bi tấn công ví dụ như tấn công

Brute Force. Tong tấn công Brute Force thì khóa sẽ được tạo ra ngẫu nhiên và

được ghép vào file text cho đến khi khóa đúng được xác định. Với độ dài khóa nhỏ

hơn có thể dễ dàng tạo ra khóa đúng và hệ thống mã hóa mất tác dụng

Triple Data Encryption Standard (3DES). Giống như hệ thống

DES, 3DES cũng sử dụng khóa 56bit. Tuy nhiên, nó bảo mật tốt hơn do sử dụng 3

khóa khác nhau để mã hóa dữ liệu. Tiến trình thực hiện: Sử dụng khóa thứ nhất để

mã hóa dữ liệu, sử dụng khóa thứ 2 để giải mã dữ liệu mã hóa bước 1 và cuối cùng

sử dụng khóa 3 để mã hóa lần 2. Do đó nó tăng tính bảo mật nhưng cũng đồng thời

do tính phức tạp của thuật toán nên chậm hơn gấp 3 lần so với DES.

Ron's Code 4 (RC4). Phát triển bởi Ron Rivest, sử dụng khóa có độ

dài thay đổi đến 256bit. Vì độ dài của khóa nên RC4 được xếp vào một trong các cơ

chế mã hóa tốt nhất, nhưng cũng hoạt động nhanh. RC4 tạo một chuỗi byte ngẫu

nhiên và XOR chúng với file văn vản gốc. Vì byte được tạo ngẫu nhiên nên RC4

yêu cầu khóa mới cho mỗi lần gửi đi thông tin.

Hệ thống mã hóa xuất hiện 2 vấn đề chính. Đầu tiên là chỉ sử dụng một khóa

cho mã hóa và giải mã. Nếu một người ngoài mà biết được khóa này thì tất cả thông

tin truyền đạt sử dụng khóa này đều gặp nguy hiểm, nguy cơ mất mát cao. Di đó



khóa cần được thay đổi theo chu kì. Vấn đề thứ 2 là số lượng thông tin lớn, quản lý

khóa trở nên nhiệm vụ phức tạp. Thêm vào đó tổng chi phí cho thiết lập khóa ban

đầu, phân phối hay thay thế các khóa chu kì là rất đắt và lãng phí thời gian.

Hệ thống mã hóa không đồng bộ có thể giải quyết các vấn đề của hệ thống

mã hóa đồng bộ.

Hệ thống mã không đồng bộ

Thay thế cho khóa duy nhất của hệ thống mã hóa đồng bộ, hệ thống mã hóa

không đồng bộ sử dụng một cặp khóa liên quan toán học với nhau. Một khóa là cá

nhân và chỉ được biết bởi chủ của cặp khóa này. Khóa thứ 2 là khóa chung và được

phân phối tự do. Khóa chung được sử dụng cho mã hóa còn mã cá nhân được sử

dụng cho giải mã thông tin.

Trong giải pháp VPN, 2 hệ thống mã hóa không đồng bộ được sử dụng phổ

biến nhất là Diffie-Hellman (DH) algorithm và the Rivest Shamir Adleman (RSA)

algorithm.

a. Thuật toán Diffie-Hellman

Trong thuật toán Diffie-Hellman, mỗi thực thể giao tiếp cần 2 khóa, một để

phân phối cho các thực thể khác và một khóa cá nhân

b. Thuật toán The Rivest Shamir Adleman (RSA)

RSA là cơ chế mã hóa mạnh, là chuẩn trong hệ thống mã hóa không đồng

bộ. Không giống như Diffie-Hellman, thông tin gốc được mã hóa sử dụng khóa

chung của người nhận, Người nhận sẽ khôi phục lại thông tin ban đầu bằng khóa

chung của người gửi.

3.3. Cơ sở hạ tầng khóa chung (Public Key Infrastructure - PKI)

PKI là một bộ khung của các chính sách dể quản lý các khóa và thiết lập mộ

phương pháp bảo mật cho việc trao đổi dữ liệu. Các sự trao đổi dữ liệu sử dụng PKI

có thể xảy ra trong một tổ chức, một quốc gia, một khu công nghiệp hay một vùng.



Để nâng cao sự quản lý khóa và bảo đảm các giao dịch dữ liệu có độ an toàn cao,

một khung dựa trên PKI bao gồm các chính sách và thủ tục được hỗ trợ bởi các tài

nguyên phần cứng và phần mềm. Chức năng chính của PKI như sau :

Tạo ra các cặp khóa cá nhân và công cộng cho khách hàng PKI

Tạo và xác nhận chữ ký số

Đăng ký và xác nhận người sử dụng mới

Cấp phát các sự chứng nhận cho người sử dụng

Bám theo các khóa đã được cấp phát và lưu trữ lịch sử của mỗi khóa

( dùng để tham khảo trong tương lai)

Thu hồi rút lại các giấy chứng nhận không hợp lệ hoặc quá hạn

Xác nhận người sử dụng PKI

Trước khi cố tìm hiểu công việc của PKI, chúng ta hãy tìm hiểu các thành

phần tạo thành khung PKI

Các thành phần PKI

Các thành phần chính tạo thành khung PKI là

Khách hàng PKI Người cấp giấy chứng nhận (CA) Người cấp giấy đăng ký (RA) Các giấy chứng nhận số Hệ thống phân phối các giấy chứng nhận (CDS)

a. Khách hàng PKI

Một khách hàng PKI là thực thể mà yêu cầu giấy chứng nhận số từ CA hoặc

RA. Trườc khi một khách hàng PKI tham gia cvào các sự giao dịch dữ liệu, nó phải

có được một giầy chứng nhận số. Để làm được điều này, khách hàng phát ra một

yêu cầu về một giầy chứng nhận từ CA hoặc RA được chỉ định cho tổ chức. Khi

một khách hàng được xác nhận thành công, nó nhận được giấy xác nhận mà nó yêu



cầu. Sau khi nhận được giấy xác nhận, khách hàng sử dụng nó để nhận dạng mình.

Tuy nhiên trách nhiệm duy nhất của khách hàng là bảo vệ giữ gìn giấy chứng nhận

b. Certification Authority (CA)

CA là một người thứ ba tin cậy cấp phát các gấiy chứng nhận số đến khách

hàng PKI. Trườc khi cấp phát một xác nhận số, CA kiểm tra tính đồng nhất và tính

xác thực của khách hàng PKI

CA sử dụng các thủ tục và các nguyên tắc thực hiện riêng của nó để cấp phát

các giấy chứng nhận số. NHư bạn kỳ vọng, quá trình cấp giấy chứng nhận thay đổi

phụ thuộc vào cơ sở hạ tầng hợp lệ được hỗ trợ bởi CA, các chính sách tổ chức của

nó, mứ độ của giấy chứng nhận được yêu cầu. Quá trình có thể yêu cầu một vài

thông tin, như bằng lái xe, notarization hoặc dấu vân tay.

Một ví dụ của một CA nổi tiếng là Verisign,Inc

c. Registration Authority ( RA)

Trước khi thỏa mãn một yêu cầu về giấy chứng nhận số, CA phải xác nhận

và kiểm tra tính hợp lệ của yêu cầu. Tuy nhiên, bởi vì số lượng lớn các yêu cầu cho

giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ của yêu cầu cho

RA. RA nhận tất cả các yêu cầu cấp giấy chứng nhận và kiểm tra chúng

Sau khi một RA kiểm tra một yêu cầu thành công, nó chuyển yêu cầu tới

CA. CA phát giấy chứng nhận yêu cầu và chuyển nó tới cho RA. Ra sau đ1o

chuyển giấy chứng nhận tới khách hàng yêu cầu. Trong cách thực hiện này, RA

đóng vai trò như một gnười trung gian giữa các khách hàng PKI và CA.

d. Các giấy chứng nhận số

Một giấy chứng nhận số là một tương đương về mặt điện tử của một thẻ xác

nhận và được sử dụng để xác định duy nhất một thực thể trong suốt quá trình

truyền. Bên cạnh việc xác định định dan của người chủ, các giấy chứng nhận số



cũng loại bỏ cơ may của sự làm giả, vì thế giảm được nguy cơ của sự tạo ra dữ liệu,

các giấy chứng nhận số cũng ngăn chặn có hiệu quả người gởi từ các thông tin

không xác nhận

Một giấy chứng nhận số bao gồm các thông tin giúp xác nhận tính hợp lệ của

người gửi và bao gồm các thông tin sau :

Dãy số của giấy chứng nhận Hạn sử dụng của giấy chứng nhận Chữ ký số của CA Khóa công cộng của khách hàng PKI

Trong suốt một giao dịch, người gửi phải gửi giấy chứng nhận số của anh ấy

hoặc cô ấy theo với tín hiệu đã mã hóa để xác nhận anh ấy hay cô ấy. Người nhận

sử dụng khóa công cộng của CA để xác nhận tính hợp lệ của khóa công cộng của

người gửi, cái mà được gắn vào thông tin gửi. Như trong trường hợp các khóa công

cộng, khóa công công của CA được phổ biến rộng rãi và sẵn sàng cho tất cả. Khi

người nhận đã đảm bào được định danh đúng của người gửi, người sử dụng dùng

khóa công cộng của người gửi để giải mã thông tin thực sự

e. Hệ thông phân phối giấy chứng nhận

Hệ thống phân phối giấy chứng nhận là một kho chứa các giấy chứng nhận

được cấp cho người sử dụng và tổ chức. Thêm nữa CDS sinh ra và lưu trữ các cặp

khóa, mật hiệu các khóa công cộng sau khi đã xác nhận chúng, lưu trữ và thu hồi

các khóa bị mất hay hết hạn.CDS cũng chịu trách nhiệm cho việc xuất các khóa

công cộng tới các server dịch vụ thư mục

Các giao dịch dựa trên PKI

Như đã đề cập phía trên, PKI cung cấp bốn chức năng bo mật chính : sự cẩn

mật, sự toàn vẹn, sự xác nhận và không có sự từ chối. Mỗi bước trong một giao dịch



VPN được lặp lại một hay nhiều trong số các tính năng bảo mật này. Các bước

trong một giao dịch dựa trên PKI là :

Sự sinh ra cặp khóa. Trườc khi người gởi chuyển dữ liệu đến người

nhận mong muốn, nó báo cho người nhận biết mục đích của nó về việc trao đổi dữ

liệu. Như vậy thì, cà hai đầu sinh ra một cặp khóa tạo bởi khóa riw6ng và khóa

công cộng. Đầu tiên, khóa cá nhân được tạo ra. Sau đó, khóa công cộng tương ứng

được tạo bằng cách áp dụng một hàm băm một chiều đối với khóa riêng

Sự tạo ra chữ ký số. Sau khi cặp khóa được tạo ra, một chữ ký số duy

nhất được tạo ra. Chữ ký số này dùng để định danh người gửi dữ liệu. Để tạo ra chữ

ký số, đầu tiên thông tin gốc bị băm. Nói một cách khác, một hàm băm được áp

dụng vào tín hiệu gốc. Quá trình băm cho kết quả là một tập thông tin, cái mà sau

đó được mã hóa với khóa các nhân của người gửi. Kết quả được gọi là chữ ký số

Áp dụng mã hóa dữ liệu và chữ ký số.Sau khi một chữ ký số được tạo

ra, thông tin gốc được mã hóa với khóa công cộng của người gửi. Kế tiếp, chữ ký số

được tạo ợ trân được gắn vào thông tin đã mã hóa.

Thông tin đã mã hóa và khóa công cộng của người gửi được chuyển

tới người nhận. Thông tin được mã hóa sau ứo được truyền đến người nhận cùng

với khóa công cộng của người gửi. Thay vì chuyển khóa công cộng dưới dạng văn

bản rõ nghĩa thì khóa công cộng đầu tiên được mã hóa bởi khóa công cộng của

người nhận. Để giải mã khó công cộng được mã hóa này, người sử dụng phải sử

dụng khóa riêng của mình. Bởi vì khóa riêng của người nhận chỉ có người nhận

biết, cơ hội để cho các người xâm phạm phá khóa công cộng là rất thấp. Khóa công

cộng của người gửi còn được xem như là khóa phiên



Nhận thông tin và xác nhận định danh người gửi. Trong lúc nhận

thông tin mã hóa và khóa công cộng, người nhận có thể yêu cấu CA kiểm tra danh

tính người gửi. CA làm được điều đó bằng cách kiểm tra chữ ký số được gắn với

thông tin và báo kết quả cho người nhận biết. Nếu chữ ký số được kiểm tra thành

công, người nhận tiếp tục qua 1trình giải mã thông tin. Nếu không người nhận sẽ từ

chối và giao dịch sẽ kết thúc

Sự giải mã thông tin. Sau khi định danh người gửi được xác nhận thành

công, người nhận mã hóa thông tin. Để làm được như vậy người nhận đầu tiên phải

giải mã khóa công cộng của người gửi bằng cách sử dụng khóa riêng của nó. Khi

khóa công cộng của người gửi được ciết xuất thành công thì người nhận sẽ dùng nó

để giải mã thông tin

Sự xác nhận nội dung thông tin Cuối cùng, người nhận xác nhận kiểm

tra nội dung của thông tin nhận được. Đầu tiên, chữ ký số được giải mã sử dụng

khóa công cộng của người gửi và thông tin được chiết xuất ra. Thông tin mã hóa sẽ

được băm qua một hàm băm và một tập thông tin mới được rút ra. tập thông tin

nhận được va tập thông tin mới sinh ra được so sánh với nhau.nếu chúng phù hợp,

dữ liệu không bị chặn đứng hoặc can thiệp vào trong quá trình truyền



Ở phần kế, bạn sẽ được biết về các cách thực hiện PKI đa dạng được sử dụng

phần lớn bởi các tổ chức trên thế giới

Hiện thực PKI

Như bạn đã biết, CAs giúp thiết lập định danh đúng của các thực thể giao

tiếp. Tuy nhiên, CAs không những chứng thực các khách hàng PKI, mà còn các

CAs khác bằng cách phát giấy chứng nhận số tới chúng. Cas được kiểm tra, xoay

vòng, kiểm tra các CAs khác và chuỗi tiếp tục cho tới khi mỗi thực thể các thể tin

tưởng các thực thể khác liên quan đến một giao dịch. Chuỗi chứng nhận này được

biết đến như là đường đi của sự chứng nhận, và sự sắp xếp của CAs trong đường đi

chứng nhận này được xem như cấu trúc của PKI

Các loại chính của cấu trúc PKI bao gồm

Cấu trúc CA đơn Cấu trúc danh sách tin cậy Cấu trúc có thứ bậc



Cấu trúc mắt lưới Cấu trúc hỗn hợp

a. Cấu trúc CA đơn

Cấu trúc CA đơn là cấu trúc PKI đơn giản nhất. Như tên gọi của nó, cấu trúc

này được dựa trên CA đơn, cái mà cấp phát các giấy chứng nhận, và khi cần thiết

truy hồi các giấy chứng nhận. Tất cả các thực thể bên dưới có một mối quan hệ tin

cậy đối với CA này. Bởi vì sự vắng mặt của các CA khác trong mô hình, cấu trúc

này không hỗ trợ mối quan hệ tin cậy CA

Hình 3-7 miêu tả cấu trúc của một CA đơn

Cấu trúc CA đơn phù hợp với các tổ chức nhỏ bởi vì số lượng khách hàng

PKI tương đối thấp và sự quản lý các khách hàng này không phải là một nhiệm vụ

tiêu thụ thời gian

b. Cấu trúc danh sách tin cậy

Vì số lượng khách hàng PKI trong một tổ chức tăng, sự quản lý xác nhận và

kiểm tra định danh trở nên phức tạp và tiêu tốn nhiều thời gian đối với một CA đơn.



Tình huống này có thể được đơn giản bằng cách dùng nhiều CAs trong một cấu

trúc.

Với nhiều Cas, một khách hàng PKI đơn có thể yêu cầu các gấiy chứng nhận

từ nhiều hơn một CA. Kết quả là, mỗi khách hàng phải lưu trữ một danh sách các

mối liên hệ tin cậy với tất cả các CAs trong một cấu trúc – do đó có tên là cấu trúc

danh sách tin cậy

Hình 3-8 miêu tả cấu trúc danh sách tin cậy

Như bạn thấy trong hình 3-8, cấu trúc không hỗ trợ các mối quan hệ tin cậy

Ca

c. Cấu trúc có thứ bậc

Cấu trúc có thứ bậc là cấu trúc PKI được hiện thực phổ biến nhất và được sử

dụng trong các tổ chức có quy mô lớn. Không giống các cấu trúc ở trên, mô hình

này dựa trên các mối quan hệ tin cậy giữa các Cas khác nhau trong mô hình.

Như tên gọi của nó, Cas được sắp xếp một cách có thứ bậc và chia xe một

loại “cấp trên - cấp dưới ” của mối quan hệ tin cậy. CA cao nhất được xem như đỉnh

CA và được xem như điểm bắt đầu của mô hình. Nó cấp phát giấy chứng nhận và



kiểm tra định danh của các CAs cấp dưới của nó. Các CAs cấp dưới, xoay vòng, có

thể cấp giấy chứng nhận tới các cấp dưới của chúng và khách hàng PKI. Tuy nhiên

chúng không thể c6áp giấy chứng nhận cho cấp trên

Hình 3 – 9 miêu tả cấu trúc có thứ bậc

d. Cấu trúc mắt lưới

Không giống như cấu trúc thứ bậc, trong một cấu trúc mắt lứơi các Cas chia

sẻ một mối qun hệ tin cậy ngang hàng với các Cas khác. Kết quả là, chúng có thể

cấp phát các giầy chứng nhận số lẫn nhau, điều này có nghĩa là, mối quan hệ tin cậy

giữa các Cas là hai chiều. Các Cas cũng cấp phát giấy chứng nhận tới khách hàng

PKi của chúng

Hình 3-10 miêu tả cấu trúc mắt lưới PKI



e. Cấu trúc PKI hỗn hợp

Các cấu trúc trên phục vụ cho các yêu cầu của một tổ chức đơn. Tuy nhiên,

viễn cảnh và sự hiện thực của cơ sở hạ tầng PKI trở nên phức tạp khi một tổ chức

phải tác động tới các tổ chức khác, như là trương hợp với hầu hết các tổ chức ngày

nay. vấn đề nằm ở khả năng của sự khác nhau trong mỗi cấu trúc PKI của mỗi tổ

chức. Ví dụ, một tổ chức có thể sử dụng cấu trúc mắt lưới trong khi các tổ chức

khác sử dụng cấu trúc CA đơn. Trong tình huống như vậy, một cấu trúc hỗn hợp

chứng mính sự hữu ích vì nó cho phép sự tương tác thành công giữa hai tổ chức

Có ba loại cấu trúc hỗn hợp. Bao gồm

Cấu trúc danh sách tin cậy mở rộng. Trong cấu trúc này, ấtt cả các

khách hàng PKI giữ một danh sách mở rộng tất cả các điểm tin cậy trong cấu trúc

của tổ chức khác thêm vào các điểm tin cậy trong tổ chức của chúng. Một điểm tin

cậy trong cấu trúc của các hệ thông khác có thề hoặc là một CA đơn, nhiều hơn một

CA, hợac tất cả các Cas của tổ chức khác. Hình 3-11 miêu tả cấu trúc danh sách tin

cậy mở rộng giữa 3 tổ chức



Cấu trúc xác nhận chéo. Trong cấu trúc hỗn hợp này, gốc CA của một

cơ sở hạ tầng của một tổ chức lưu trữ một mối quan hệ ngang hàng với các Cas gốc

của các tổ chức khác. Hình 3-12 miêu tả cấu trúc xác nhận chéo



Cấu trúc CA cầu. Không giống cấu trúc xác nhận chéo, khi một mối

quan hệ trực tiếp ngang hàng tồn tại giữa gốc Cas của mỗi cơ sở hạ tầng của mỗi tổ

chức, một thực thể mới gọi là Bridge CA ( BCA) lưu giữ mối quan hệ ngang hàng

giữa các Cas gốc. Hình 3-13 miêu tả cấu trúc CA cầu



4. Các Giao Thức VPN

4.1. Kỹ thuật đường hầm

Kỹ thuật đường hầm là một thành phần cực kỳ quan trọng trong VPN, nó cho

phép các tổ chức tạo một mạng riêng ngay trên internet hoặc các mạng công cộng

khác. Mạng riêng ảo này không bị xâm nhập bởi “người lạ”, những cá nhân, máy

tính không thuộc tổ chức của mạng riêng ảo này.

Lưu ý: Hiện nay mạng internet được sử dụng rộng rãi ở khắp nơi. Tuy

nhiên bên cạnh mạng internet còn nhiều mạng khác được dùng để truyền các gói tin

đi trên những khỏang cách khá xa.

Đường hầm là kỹ thuật đóng gói tòan bộ dữ liệu của bất kỳ một định dạng

giao thức nào khác. Header của Đường hầm sẽ được đính vào gói tin ban đầu sau đó

đựơc truyền thông qua một cơ sở hạ tầng trung gian đến điểm đích.

Một điểm quan trọng của kỹ thuật đường hầm là nó có thể giúp truyền những

gói tin có giao thức không được hỗ trợ. Nếu gói tin này được gửi bình thường,



mạng truyền dẫn trung gian không thể hiểu được gói tin này đến đâu vì không biết

định dạng của nó. Đường hầm sẽ đính header vào gói tin gốc, phần header này sẽ

cung cấp thông tin về lộ trình và đích đến của gói tin giúp mạng vận chuyển gói tin

đến được nơi cần đến.

Lưu ý: Thuật ngữ đường hầm giống như công việc gửi thư. Sau khi bạn

viết xong một lá thư, bạn sẽ đặt nó vào trong bì thư. Trên bì thư có địa chỉ người

nhận. Sau khi bạn gửi lá thư, nó sẽ đến được người nhận theo địa chỉ ghi ở bì thư.

Người nhận cần mở lá thư ra trước khi đọc nó. Trong kỹ thuật đường hầm thì lá thư

giống như payload ban đầu còn bì thư giống như gói giao thức định tuyến bọc lấy

payload. Địa chỉ trên lá thư tương tự như thông tin định tuyến dính vào bì thư.

Hình 4.1 : quá trình đường hầm

4.2. Giao thức đường hầm

Kỹ thuật đường hầm sử dụng ba giao thức

Carrier protocol (giao thức sóng mang). Giao thức được dùng để gửi

gói tin đường hầm đến đích thông qua mạng tương tác. Gói tin đường hầm được

đóng gói bên trong gói tinc của giao thức này. Do nó phải gửi gói tin qua một mạng

không đồng nhất, ví dụ internet, giao thức này cần được hỗ trợ rộng rãi. Do đó nếu

đường hầm được tạo ra trong internet, giao thức sóng mang thường được dùng là

giao thức IP. Trong trường hợp mạng nội bộ, giao thức native routing được dùng

làm giao thức sóng mang.



Encapsulating protocol (giao thức đóng gói). Giao thức được dùng để

đóng gói payload ban đầu. Giao thức đóng gói cũng chịu trách nhiệm tạo ra, bảo trì

và kết thúc đường hầm. Ngày nay giao thức đóng gói thường là PPTP, L2TP, and

IPSec.

Passenger protocol (giao thức hành khách). Dữ liệu gốc cần được đóng

gói để truyền qua mạng nhờ đường hầm thuộc về giao thức này. Giao thức hành

khách thường là PPP and SLIP (Serial Line Internet Prbotocol)

Figure 4-7: Định dạng gói tin đường hầm của giao thức đường hầm

4.3.Ipsec

IPSec có nghĩa là Internet Protocol SECurity. It refers to a suite of protocols

(AH, ESP, FIP-140-1, v.v..) được phát triển bởi Internet Engineering Task Force

(IETF). IPSec cung cấp chức năng bảo mật tại lớp thứ ba trong mô hình OSI ( lớp

mạng ).



Hình 6.1 : Vị trí của IPSec trong mô hình OSI

Khi một cơ chế bảo mật mạnh được tích hợp vào IP, tòan bộ mạng sẽ được

bảo mật vì mọi sự thông tin liên lạc phải thông qua lớp thứ ba ( đây là lý do tại sao

IPSec lại được xây dựng ở lớp thứ ba thay vì lớp thứ hai ). Giao thức IPSec được

phát triển cho phiên bản IP hiện tại là IP 4 và cho cả phiên bản sau của IP ( IP 6 ).

Giao thức này không chỉ tương thích với mạng IP mà còn đối với nhiều mạng khác

nữa.

VớiIPSec, tất cả các ứng dụng chạy trên lớp ứng dụng của mô hình OSI khi

truyền dẫn dữ liệu sẽ phụ thuộc và bị kiểm sóat bởi lớp mạng. IPSec đã được tích

hợp vào IP, tất cả các ứng dụng mạng có thể sử dụng nó mà không cần phải điều

chỉnh gì hết. Tương tự như IP, IPSec trong suốt đối với người dùng, người dùng

không cần quan tâm đến cách thức để nó họat động.

IPSec gồm ba chức năng chính sau :

Xác thực và tòan vẹn dữ liệu.

Tin cẩn.

Quản lý khóa.

a. Authentication Header Protocol

Giao thức header xác thực (AH) đính thêm vào header của IP datagram.

Header này cung cấp IP datagram gốc tại nơi nhận. Bên cạnh đó, header này giúp

xác định bầt kì sự chỉnh sửa nào bởi các user trái phép khi dữ liệu truyền qua mạng.

Tuy nhiên HA không cung cấp sự tin cẩn.

Để tạo ra HA, Hashed Authentication Message Code (HMAC) được tạo ra

tai nơi gửi. Mã hash code được tạo ra trên một SA xác định, xác định thứ tự biến

đổi datagram. Mã sẽ được đính vào sau IP header ban đầu. Tại nơi nhận, HMAC

được giải mã để xác định người gửi cũng như tính tòan vẹn của dữ liệu.



Ghi chú : Thông thường mã hash code được thực thi trong AH là HMAC-

MD5 và HMAC-SHA1. DES-MAC thì có thể có hoặc không.

AH không hề đưa ra một cơ chế tin cẩn khi truyền đi. Nó chỉ đơn thuần thêm

một header vào IP datagram; phần còn lại của datagram được giữ nguyên như ban

đầu. AH không bảo vệ bất kì trường nào trong IP header bởi vì chúng có thể thay

đổi trong quá trình truyền. Trường duy nhất không thay đổi trong quá trình truyền

sẽ được bảo vệ bởi AH. Ví dụ IP của nơi gửi và nơi nhận. Hình 6-3 minh họa IP

datagram sau khi IPSec AH được thêm vào.

Hình 6-3: Gói IP sau khi authentication header được thêm vào

Độ dài AH là 24 bytes và cấu trúc định dạng của IPSec AH được mô tả như

hình vẽ 6-4.

Figure 6-4: Định dạng của IPSec Authentication Header

AH gồm có nhiều trường:

Next Header. Trường xác định giao thức bảo mật

Chiều dài Payload.Trường xác định chiều dài của thông điệp.

Để dành. Trường này được để dành, không sử dụng.

SPI (Chỉ số bảo mật). Trường xác định ngữ nghĩa của giao thức bảo

mật trong nhiều giao thức bã(địa chỉ đích đến và giao thức bảo mật)

Số thứ tự. Trường xác định trật tự các datagram.



Dữ liệu xác thực. Trường chứa dữ liệu xác thực và Integrity Check

Value (ICV) (giá trị kiểm tra tòan vẹn), dùng để kiểm tra tính tòan vẹn

của dữ liệu truyền đi.

b. Giao thức Encapsulating Security Payload (ESP)

ESP giúp tăng độ tin cậy trong quá trình xác định người người và xác minh

tính tòan vẹn của dữ liệu trong quá trình truyền qua mạng. ESP se mã hóa nội dung

của datagram bằng các giải thuật mã hóa. Một vài giải thuật thường được sử dụng là

: DES-CBG, NULL, CAST-128, IDEA, and 3DES. Giải thuật xác định tương tự

như những giải thuật dùng trong HA là HMAC-MD5 và HMAC-SHA.

So sánh ESP với AH ta thấy rằng : AH chú trọng đến việc xác minh và bảo

vệ tòan vẹn dữ liệu của IP datagram, trong khi đó ESP chỉ bảo vệ phần payload

(chứa nội dung cần truyền ) (Xem hình 6-5). ESP có cơ chế mã hóa khá mạnh nhờ

đó nó không hề làm nặng CPU và chạy nhanh hơn so với AH. Tuy nhiên do ESP

phải đính thêm 24 byte vào datagram nên nó khá chậm khi tính tóan và phân đọan.

Figure 6-5: The IP packet after the ESP header and trailer are added

Định dạng của datagram IP dựa trên ESP được minh họa ở hình 6-6 gồm

những trường sau.

SPI (Security Parameter Index). Trường này mô tả về ngữ cảnh của SA

( địa chỉ đích, giao thức sử dụng).

Số thứ tự. Trường mô tả chuỗi các datagram trong phiên truyền thông tin

này.



Đệm. Trường dùng để đệm thêm vào payload nếu payload không đủ độ

dài cần thiết.

Chiều dài đệm. Trường mô tả độ dài của phần đệm thêm. Nó giúp máy

nhận xác định ranh giới của phần payload gốc so với sau khi đệm thêm

vào.

Next Header. Trường xác định giao thức bảo mật để đóng gói.

Dữ liệu xác thực. Trường chứa dữ liệu xác thực với giá trị kiểm tra tính

tòan vẹn (ICV), dùng để kiểm tra tính tòan vẹn của thông điệp gửi đi

IPSec Modes

SA trong IPSec được thực thi trong hai mode (minh họa hình 6-7). Gồm đó

mode truyền tải(Transport mode) và mode đường hầm (Tunnel mode). Cả AH va

ESP đều họat động ở cả hai mode.

Figure 6-7: The two IPSec modes

a. Mode chuyền tải



Mode chuyển tải bảo vệ các giao thức ở lớp trên và các trình ứng dụng.

Trong mode chuyền tải, IPSec header được gắn vào giữa IP header và header của

các giao thức lớp trên, minh họa hình 6-8

Figure 6-8: IPSec mode truyền tải

Figure 6-9: AH mode vận chuyển.

Đối với ESP, ESP trailer và ESP dữ liệu xác thực được đính vào sau payload

ban đầu. Sau đó một header mới được thêm vào trước payload (minh họa hình 6-

10).

Figure 6-10: ESP mode truyền tải.



Mode truyển tải ít sử lý ở phần đầu của datagram nên nó nhanh hơn. Tuy

nhiên nó sẽ không hiệu quả với ESP hoặc các trường hợp không xác thực cũng như

mã hóa IP header.

b. Mode đường hầm

Khác với mode truyền tải, mode đường hầm bảo vệ tòan bộ IP datagram.

Tòan bộ IP datagram được bọc lại vởi một IP datagram khác, sau đó một IPSec

header đính vào giữa IP header cũ và mới.(Hình 6-11 minh họa họat động của

IPSec ở mode đường hầm.

Figure 6-11: IPSec mode đường hầm

Mode đường hầm của AH, một header mới (AH) được thêm vào giữa IP

header mới và header cũ ( hình 6-12).

Figure 6-12: AH mode đường hầm.



Trong trường hợp của ESP, datagram ban đầu kết thúc bằng payload cho một

gói tin ÉP mới, and, as a result of which, both encryption as well as authentication

can be implemented with ease. Figure 6-13 represents the ESP Tunnel mode

Figure 6-13: ESP mode đường hầm

4.4. L2TP (Layer 2 tuneling Protocal)

Được phát triển bởi IETF và được ủng hộ bởi các nhà công nghiệp khổng lồ

như Cisco Systems, Microsoft, 3COM, và Ascend, L2TP là sự kết hợp hai giao

thức VPN sơ khởi PPTP và L2F. Do đó L2TP kết hợp được các tính năng của L2F

và PPTP. L2TP cung cấp dịch vụ mềm dẻo với giá cả truy cập từ xa hiệu quả của

L2F và tốc độ kết nối điểm tới điểm nhanh của PPTP.

Lợi ích của L2TP kết hợp từ các tính năng của L2F và PPTP:

L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP.

Do đó nó có thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập.

L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua

Internet và các mạng công cộng khác, như.

L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều

khiển hay phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ

đều không cần phải thực thi phần mềm chuyện dụng

L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP

của riêng truy cập mạng từ xa thông qua mạng công cộng.



Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của

máy chủ. Do đó ISPs không cần cập nhật dữ liệu chứng thực user hay quyền truy

cập của user từ xa. Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập

tới nó và có các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường

hầm của L2TP nhanh hơn so với các nghi thức đường hầm trước nó.

Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất

như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy

đích) của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ

user từ xa và gateway của ISP

Hình 5-15: Đường hầm L2TP.

Khi Frame PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng

gói dưới dạng gói dữ liệu user : thông điệp UDP(Uer Datagram Protocol). L2TP sử

dụng thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy

gói dữ liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc.



4.5.PPTP ( Point to point tuneling protocal)

PPTP là một giải pháp mạng riêng cho phép bảo mật dữ liệu truyền giữa các

máy khách di động và máy chủ bằng cách thiết lập mạng riêng ảo dựa trên nền IP

của mạng internet. PPTP được phát triển bởi Microsoft Corporation, Ascend

Communications, 3COM, US Robotics và ECI Telematics. PPTP không chỉ cung

cấp đường truyền bảo mật thông qua mạng công cộng mà còn bảo mật trong mạng

Chú ý: Vì Microsoft Corporation đóng vai trò chính trong việc phát triển PPTP nên

tất cả các sản phẩm mạng của Microsoft như Window NT 4.0, Windown 2000 đều

hỗ trợ PPTP.

Có hai đặc tính nổi bật đóng vai trò quan trọng trong việc bảo mật của PPTP

khi các kết nối có khoảng cách xa:

Sử dụng mạng chuyển mạch điện thoại công cộng. PPTP cho phép sử

dụng mạng chuyển mạch điện thoại công cộng để thực thi mạng riêng ảo. Và vậy

việc thực thi mạng riêng ảo sẽ trở nên rất đơn giản và chi phí thấp bằng cách sử

dụng đường leasline của doanh nghiệp để cung cấp thêm các dịch vụ truyền thông

khác.

Cung cấp giao thức Non_IP. Mặc dù được phát triển trên nền IP của

mạng internet nhưng PPTP cũng hỗ trợ để hiện thực các giao thức mạng khác như

TCP/IP, IPX, NetBEUI, và NetBIOS. Vì vậy, PPTP chứng tỏ khả năng có thể triển

khai dễ dàng trên mạng riêng ảo thông qua mạng LAN hoặc mạng công cộng.

PPTP đưa ra nhiều cơ chế bảo mật cho máy chủ và máy khách PPTP. Các

dịch vụ bảo mật bao gồm:

Mã hóa và nén dữ liệu Chứng thực Kiểm soát truy cập Lọc gói

Với các cơ chế bảo mật trên, PPTP có thể được sử dụng kết hợp với tương lửa và các bộ định tuyến.



a. Mã hóa và nén dữ liệu PPTP

PPTP không cung cấp cơ chế mã hóa để bảo mật dữ liệu. Nó sử dụng dịch vụ

mã hóa dữ liệu được cung cấp bởi PPP. Trên thực tế thì PPP sử dụng phương pháp

mã hóa điểm tới điểm của Microsoft( MPPE- Microsoft Point-to-Point Encryption),

dựa trên phưương pháp mã hóa công khai-bí mật.

Mã công khai – bí mật được sử dụng trong PPP là ID của người dung và password tương ứng. 40 bit được dung để mã hóa ID và password theo giải thuật băm được lưu trữ trên cả máy chủ và máy khách. Giải thuật băm sẽ tạo khóa của mã RSA RC4. Khóa này sẽ được sử dụng để mã hóa dữ liệu truyền trong đường hầm PPTP. Tuy nhiên khóa 40 bits ngắn và không đủ để chống đỡ ký thuật hacking hiện nay, nên người ta có thể sử dụng khóa 128 bits. Để giảm các nguy cơ liên quan bảo mật, Microsoft đề nghị tạo lại mã mới sau khi gói thứ 256 được truyền đi.

b. Chứng thực dữ liệu PPTP

PPTP hỗ trợ các cơ chế chứng thực của Microsoft:

MS-CHAP (Microsoft Challenge Handshake Authentication Protocol).

PAP (Password Authentication Protocol).

c. Kiểm soát truy cập PPTP

Sau khi máy khách PPTP từ từ xa được chứng thực thành công thì nó có thể

truy cập những nguồn lực bên trong của mạng, điều này có thể hạn chế mục đích

tăng cường bảo mật. Tuy nhiên người ta vẫn có thể thực hiện mục tiêu bảo mật

bằng các phương tiận kiểm soát truy cập:

Access rights ( Quyền truy cập) Permissions ( Cho phép truy cập) Workgroups ( Truy cập theo nhóm)

d. Lọc gói PPTP

Lọc gói PPTP cho phép máy chủ của mạng riêng chấp nhận và định tuyến

gói chỉ từ các máy khách đã được định quyền. Do vậy chỉ các máy khách đã được

kiểm quyền mới có thể truy cập được đến các máy xác định của mạng từ xa.. Như



vậy PPTP không chỉ cung cấp các dịch vụ chứng thực user, kiểm soát truy cập, các

phương pháp mã hóa mà còn tăng khả năng bảo mật của mạng.

e. PPTP với tường lửa và các bộ định tuyến

Các thiết bị PPTP ( chủ và khách) nhận dữ liệu TCP và IP ở cổng 1723 và

cổng 47. Tuy nhiên khi kết hợp với tường lửa và bộ định tuyến, lưu lượng đến các

cổng này được định tuyến thông qua tường lửa và bộ định tuyến. Tường lửa và bộ

định tuyến sẽ lọc dũ liệu dựa trên danh sách kiểm soát truy cập và các cơ chế bảo

mật khác. Trong trường hợp này PPTP có thể tăng cường khả năng bảo mật mà nó

cung cấp.



Chương 3: Xây Dựng VPN Trên IPv6

1. Ý tưởng xây dựng mô hình bài Lab

Ngày nay, IPv6 đã và đang dần được triển khai áp dụng trong một số mô hình

mạng, sự ra đời và triển khai IPv6 là rất cần thiết nhưng cũng không thể phủ bỏ hệ

thống mạng IPv4 được, do đó để đáp ứng nhu cầu thực tế chúng ta xây dựng hệ

thống mạng IPv6 với những đường hầm qua IPv4 ma không ảnh hưởng gì đến hệ

thống mạng.

Chúng ta có hai mạng LAN đang sử dụng thuần IPv6 đó là site HANOI và site

SAIGON, hai site này kết nối VPN với nhau thông qua mạng internet đang sử dụng

IPv4, chúng ta xây dựng tunnel mã hóa bằng Ipsec.

2. Từng bước xây dựng và cấu hình

2.1. Phần mền và các thiết bị yêu cầu

3 router, dùng GNS3 để cấu hình router

Router HANOI:

Cisco router 3660.

Ram of router: 256Mb.

IOS router: c3660-jk9o3s-mz.123-17a.bin

Router ISP:

Cisco router 3660.



Router SAIGON:

Cisco router 3660





2 pc chạy hệ điều hành XP và windown server

2.2. Mô tả kết mối

ta

Ta có 2 site HANOI và SAIGON kết nối với nhau qua ISP

Site HANOI có địa chỉ: 2100::/64

Cổng Ethennet có địa chỉ 2100::1/64

Cổng serial có địa chỉ 20.0.0.2/24

Tunnel có địa chỉ: 4000::1/64

Site SAIGON có địa chỉ: 3100::/64



Cổng Ethenet có địa chỉ: 3100::1/64

Cổng serial có địa chỉ 30.0.0.2/24

Tunnel có địa chỉ: 4000::2/64

2.3. Các bước cấu hình

2.3.1. Cấu hình windown XP

Cài đặt ipv6

C:\>netsh interface ipv6 install

C:\>netsh intterface ipv6 add address

“local Area connetion” 3001::2/64

Kiểm tra ip

C:\>ipconfig/all

2.3.2. Cấu hình window Server

Cài đặt ipv6

C:\>netsh interface ipv6 install

C:\>netsh intterface ipv6 add address

“local Area connetion” 2001::2/64

Kiểm tra ip

C:\>ipconfig/all

2.3.3. Cấu hình Router HANOI

Cấu hình địa chỉ ip cho các interface

HANOI(config)#interface Ethenet1/0

HANOI(config-if)#ip address 2100::1/64

HANOI(config-if)#no shutdown

HANOI(config)#interface serial2/0



HANOI(config-if)#ip address 20.0.0.2 255.255.255.0

HANOI(config-if)# clock rate 64000

Cấu hình isakmp policy

HANOI(config)#ctypto isakmp policy 1

HANOI(config-isakmp)#encrypto 3des

HANOI(config-isakmp)#hash sha

HANOI(config-isakmp)#authentication pre-shared

HANOI(config-isakmp)#group 2

HANOI(config-isakmp)#exit

HANOI(config)#crypto isakmp key 123 address 30.0.0.2

Cấu hình ipsec

HANOI(config)#ctypto ipsec transform-set myset esp-3des esp-sha-

hmac

HANOI(config)#ipv6 access-list dinhxuan

HANOI(config-access-list)#permit ipv6 2100::/64 3100::/64

HANOI(config-crypto-transform-set)#exit

HANOI(config)#crypto map mymap 1 ipsec-isakmp

HANOI(config-crypto)#math address 100

HANOI(config-crypto)#set transform-set myset

HANOI(config-crypto)#set peer 30.0.0.2

Cấu hình tunnel

HANOI(config)#interface tunnel 1

HANOI(config-interface)#ipv6 enable

HANOI(config-interface)#ipv6 address 4000::1/64

HANOI(config-interface)#tunnel source serial2/0

HANOI(config-interface)#tunnel destination 30.0.0.2

HANOI(config-interface)#tunnel mode ipv6 ip

HANOI(config-interface)#crypto map mymap



2.3.4. Cấu hình Router ISP

Cấu hình ip các interface trên Router ISP

ISP(config)# interface Serial1/0

ISP(config-interface)# ip address 20.0.0.1 255.255.255.0

ISP(config-interface)# clock rate 64000

ISP(config-interface)# no shutdown

ISP(config)# interface Serial1/1

ISP(config-interface)# ip address 30.0.0.1 255.255.255.0

ISP(config-interface)# clock rate 64000

ISP(config-interface)# no shutdown

2.3.5. Cấu hình Router SAIGON

Cấu hình địa chỉ ip cho các interface

SAIGON(config)#interface Ethenet1/0

SAIGON(config-if)#ip address 3100::1/64

SAIGON(config-if)#no shutdown

SAIGON(config)#interface serial2/0

SAIGON(config-if)#ip address 30.0.0.2 255.255.255.0

SAIGON(config-if)# clock rate 64000

Cấu hình isakmp policy

SAIGON(config)#ctypto isakmp policy 1

SAIGON(config-isakmp)#encrypto 3des

SAIGON(config-isakmp)#hash sha

SAIGON(config-isakmp)#authentication pre-shared

SAIGON(config-isakmp)#group 2

SAIGON(config-isakmp)#exit

SAIGON(config)#crypto isakmp key 123 address 20.0.0.2



Cấu hình ipsec

SAIGON(config)#ctypto ipsec transform-set myset esp-3des esp-

sha-hmac

SAIGON(config)#ipv6 access-list dinhxuan

SAIGON config-access-list)#permit ipv6 3100::/64 2100::/64

SAIGON(config-crypto-transform-set)#exit

SAIGON(config)#crypto map mymap 1 ipsec-isakmp

SAIGON(config-crypto)#math address 100

SAIGON(config-crypto)#set transform-set myset

SAIGON(config-crypto)#set peer 30.0.0.2

Cấu hình tunnel

SAIGON(config)#interface tunnel 1

SAIGON(config-interface)#ipv6 enable

SAIGON(config-interface)#ipv6 address 4000::2/64

SAIGON(config-interface)#tunnel source serial2/0

SAIGON(config-interface)#tunnel destination 20.0.0.2

SAIGON(config-interface)#tunnel mode ipv6 ip

SAIGON(config-interface)#crypto map mymap

3. Kết quả

Cấu hình địa chỉ ipv6 winxp



Cấu hình địa chỉ win server



Cấu hình router HANOI

Cấu hình router ISP và SAIGON



Kết quả Win Server ping đến Win XP và ngược lại





Chương 4: kết luận và hướng phát triển

1. Kết luận

Sự phát triển của ngành công nghệ thông tin nói chung và ngành mạng máy tính

nói riêng, nhiều công nghệ mới đã được áp dụng thành công và mang lại nhiều lợi

ích đáng kể, giảm thiểu được chi phí, tăng cường tính an toàn trên toàn hệ thống

mạng, đảm bảo tính toàn vẹn của dữ liệu trên hệ thống mạng. Sự bùng nổ về

internet và cạn kiệt nguồn tài nguyên IPv4 dẫn đến rự ra đời của IPv6 với đề tài này

sẽ cung cấp một số kiến thức cơ bản về IPv6 và VPN thêm vào đó là giải pháp phù

hợp khi IPv6 ra đời mà vẫn chung sống không ảnh hưởng gì đến IPv4 trong khi

IPv6 đang dần được thây thế. IPv6 ra đời sẽ không làm mất đi những tính năng và

các dịnh vụ, công nghệ, giao thức... mà IPv4 đã mang lại ví dụ như VPN, MPLS,

RADIUS..không dừng lại ở đây IPv6 còn có những tính năng vượt trội khăc thúc

đẩy những công nghệ khác pháp triển để đáp ứng nhu cầu của con người.

VPN là cộng nghệ không thế thiếu đối với những công ty đa quốc gia hay công

ty nhiều chi nhánh, sự ra đời của IPv6 không ảnh hưởng gì đến mạng VPN ngược

lại nó còn có một số tính năng giúp hệ thống VPN tốt hơn, như bảo mật hơn, nhanh

hơn, giảm chi phí... Ngoài ra, còn có thể tạo ra mạng VPN mang địa chỉ IPv6 có thể

xuyên qua internet sử dụng IPv4

2. Hướng phát triển

Hiện nay, trên thế giới các nước có nền công nghệ thông tin phat triển như

Mỹ, Nhật ... đã và đang triển khai các dịch vụ, công nghệ mang tính thuần

IPv6, những thiết bị, những phần mên.. sẽ dần dần ra đời đáp ứng nhu cầu của

con người, với tính năng và tài nguyên địa chỉ IP gần như là vô hạn IPv6

không những phát triển ở công nghệ thông tin, mà còn phát triển rộng lớn ở

các lĩnh vự khác.

Ở Việt Nam hiện nay mạng IPv6 đang trong giai đoạn nguyên cứu và thử

nghiệp trong mạng lõi. Với những gì mà lợi ích của IPv6 mạng lại việc phát

triển mạng IPv6 là tất yếu nhưng việc triển khai vẫn còn gặp những khó khăn



do còn khan hiếm về thiết bị phần cứng, phần mềm hỗi trợ IPv6 và chi phí

cho cơ sở hạ tầng mạng IPv4 là rất lớn khó có thể bỏ được. Tuy nhiên IPv6

vẫn phát triển mạnh và các thiết bị phần cứng và phần mềm cũng từ từ được

tạo ra hỗ trợ cho IPv6, IPv6 vẫn từ từ thây thế IPv4 và phát triển sang lĩnh

vực khác.


Documents

Nghien cuu ipv6 va thuc nghiem vpn tren ipv6x