Tài liệu Công nghệ ipv6 và áp dụng triển khai với bộ công an

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- NGUYỄN THỊ MAI HƯƠNG CÔNG NGHỆ IPv6 VÀ ÁP DỤNG TRIỂN KHAI VỚI BỘ CÔNG AN Chuyên ngành: Truyền dữ liệu và mạng máy tính Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS.Trịnh Anh Tuấn Phản biện 1: PGS.TS Đặng Văn Đức Phản biện 2: PGS.TS Hà Quốc Trung Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ............... Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Công nghệ thông tin là một trong các động lực quan trọng nhất của sự phát triển, cùng với một số ngành công nghệ cao khác đang làm biến đổi sâu sắc đời sống kinh tế, văn hoá, xã hội của thế giới hiện đại. Ứng dụng và phát triển công nghệ thông tin ở nước ta nhằm góp phần đảm bảo an ninh, quốc phòng. IPv6 được thiết kế với những khả năng ưu việt đáp ứng nhu cầu của hệ thống mạng mới và hỗ trợ bảo mật vượt trội. Việt Nam đang nỗ lực thúc đẩy các nguồn lực để sớm triển khai và đưa IPv6 tới người dùng. Hiện nay, việc triển khai IPv6 trở thành yêu cầu cấp thiết và bắt buộc đối với tất cả các cơ quan, tổ chức nếu muốn duy trì hoạt động Internet ổn định. Nội dung và mục tiêu của luận văn gồm 3 phần chính: Chương 1: Tổng quan về IPv6. Chương này đưa ra cái nhìn tổng quan về IPv6 bao gồm nguyên nhân ra đời địa chỉ IPv6, cấu trúc các địa chỉ IPv6, hoạt động của IPv6 Chương 2: Công nghệ chuyển đổi giao tiếp từ IPv4 sang IPv6. Đưa ra một số các công nghệ chuyển đổi như Dual – stack, Tunneling, NAT – PT. Chương 3: Đề xuất hướng triển khai với Bộ Công an. Chương này đưa ra thực trạng hệ thống mạng truyền dẫn của Bộ Công an hiện nay, từ đó đưa ra hướng triển khai khi IPv6 được đưa vào sử dụng. Đưa ra mô hình mô phỏng quá trình chuyển đổi. 2 CHƯƠNG 1 – TỔNG QUAN VỀ IPv6 1.1 Nguyên nhân ra đời địa chỉ IPv6 Chương 1 giới thiệu tổng quan về những hạn chế của IPv4, nguyên nhân ra đời địa chỉ IPv6 từ đó tìm hiểu một cách tổng quan địa chỉ IPv6. 1.1.1 Hạn chế của địa chỉ IPv4 1.1.2 Nguyên nhân ra đời địa chỉ IPv6 1.2 Cấu trúc địa chỉ IPv6 1.2.1 Tổng quan về địa chỉ IPv6 1.2.1.1 Cấu trúc chung và phương pháp biểu diễn địa chỉ IPv6 1.2.1.2 Phân bổ địa chỉ IPv6 1.2.2 Phân loại địa chỉ IPv6 1.2.2.1 Địa chỉ Unicast. Unicast là tên mới thay cho kiểu địa chỉ point – to – point được sử dụng trong IPv4. Loại địa chỉ này được sử dụng để định danh cho một giao diện mạng. Một packet có địa chỉ đích là dạng địa chỉ Unicast sẽ được chuyển tới giao diện định danh bởi địa chỉ đó. Địa chỉ Unicast được chia thành các nhóm nhỏ như sau: - Địa chỉ Global Unicast: Được sử dụng để định dang các giao diện; cho phép thực hiện kết nối trong mạng Internet IPv6 toàn cầu. Tính chất loại địa chỉ này cũng giống như địa chỉ IPv4 định danh một host trong mạng Internet hiện nay. - Địa chỉ Site – local: được sử dụng để định dạng các giao diện; cho phép thực hiện kết nối giữa các host trong mạng cục bộ. - Địa chỉ Link – local: Được sử dụng để định danh một giao diện. - Ngoài ra còn một số dạng địa chỉ Unicast như NSAP address, IPX address. 3 Hình 1.1: Ba phần của địa chỉ Unicast 1.2.2.2 Địa chỉ Anycast Địa chỉ Anycast được gán cho một nhóm các giao diện (thông thường là những node khác nhau), và những gói tin có địa chỉ nay sẽ được chuyển đổi sang giao diện gần nhất có địa chỉ này. Thay vì gửi 1 gói tin đến 1 server nào đó, nó gửi gói tin đến địa chỉ chung mà sẽ được nhận ra bởi tất cả các loại server và nó tin vào hệ thống định tuyến để đưa gói tin đến các server gần nhất này. Có một loại địa chỉ anycast đặc biêt được sử dụng để định danh cho một subnet (mạng con) gọi là Subnet – Router anycast. Cấu trúc địa chỉ đó như sau: Bảng 1.1 : Địa chỉ Anycast n bit Subnet prefix (128-n) bit 0000…..00000 Phần subnet prefix trong cấu trúc này xác định một liên kết cụ thể. Tính chất của loại địa chỉ Anycast giống với địa chỉ Unicast link – local gán cho các giao diện trong đó phần định danh giao diện được đặt là 0. Loại địa chỉ này được sử dụng cho những node cần giao tiếp đồng thời với một tập các router trên mạng. Ví dụ, người dùng di động có nhu cầu đồng thời cùng một lúc giao tiếp với các host cố định và với các host trong mạng di động 1.2.2.3 Địa chỉ Multicast Địa chỉ Multicast là một phần phức tạp song rất đặc thù của địa chỉ IPv6. Địa chỉ Multicast được gán cho một nhóm giao diện (thông thường là các node khác nhau). Một gói tin có địa chỉ Multicast sẽ được chuyển tới tất cả các giao diện có gán địa chỉ Multicast này. 4 Hình 1.2: Gói tin gửi đến địa chỉ Multicast 1.2.3 Lựa chọn địa chỉ mặc định trong IPv6 Thuật toán cho phép lựa chọn địa chỉ này sử dụng nhiều yếu tố, trong đó có: - Tình trạng địa chỉ. - Bảng lưu trữ (Policy Table - Sử dụng thứ tự trả về của DNS. 1.2.4 Phần đầu và phần mở rộng trong IPv6 1.2.4.1 Phần đầu (header) trong IPv6 IPv6 header là phiên bản cải tiến, được tổ chức hợp lý hơn so với IPv4 header. Trong đó, loại đi một số trường không cần thiết hoặc ít sử dụng và thêm vào những trường hỗ trợ tốt hơn cho lưu lượng thời gian thực. Hình 1.3: IPv6 header Hình 1.4 : IPv4 header so với IPv6 header 5 Một số trường được loại đi trong IPv6: - Option - Header Checksum - Internet Header Length - Identification – Flag – Fragment Offset Một số trường trong IPv6 header thực hiện chức năng tương tự IPv4 header: - Version – 4 bit - Traffic Class – 8 bit - Payload Length – 16 bit - Hop Limit – 8 bit - Next Header – 8 bit - Source Address – Destination Address: Trường thêm mới của IPv6 header: - Flow Lable 1.2.4.2 Phần mở rộng (extension header) trong IPv6 Hình 1.5 : Phần mở rộng trong IPv6 Bảng 1.6: Giá trị các Next Header 6 1.3 Qui trình hoạt động của IPv6 1.3.1 Phân giải địa chỉ (Address Resolution) Trong quá trình phân giải địa chỉ IPv6, chỉ những node đang nghe lưu lượng tại địa chỉ Multicast Solicited Node phù hợp mới nhận và xử lý gói tin. Điều này giảm thiểu việc tác động đến mọi node trên đường link, tăng hiệu quả hoạt động. Để thực hiện quy trình phân giải địa chỉ, hai node IPv6 trong một đường link trao đổi thông điệp Neighbor Solicitation và Neighbor Advertisement. Hình 1.7 : Qui trình phân giải địa chỉ 1.3.2 Kiểm tra trùng lặp địa chỉ (Duplicate Address Detection – DAD) Quy trình kiểm tra trùng lặp địa chỉ cũng sử dụng hai thông điệp ICMPv6 Neighbor Solicitation và Neighbor Advertisement. Tuy nhiên một số thông tin của gói tin này khác với gói tin sử dụng trong quá trình phân giải địa chỉ. Khi một node cần kiểm tra trùng lặp địa chỉ, nó gửi gói tin Neighbor Solicitation. - Địa chỉ IPv6 nguồn: Là địa chỉ unspecified “::”. Điều này dễ hiểu, địa chỉ dự định được gán cho giao diện sẽ chưa thể được sử dụng chừng nào chưa kiểm tra là không có sự trùng lặp. - Gói tin Neighbor Solicitation sẽ chứa địa chỉ IPv6 đang được kiểm tra trùng lặp. Sau khi gửi gói tin Neighbor Solicitation, node sẽ đợi. Nếu không có phản hồi, có nghĩa địa chỉ này chưa được sử dụng. Nếu địa chỉ này đã được 7 một node nào đó sử dụng rồi, node này sẽ gửi thông điệp Neighbor Advertisement đáp trả: - Địa chỉ nguồn: Địa chỉ IPv6 node giao diện gửi gói tin. - Địa chỉ đích: Địa chỉ IPv6 multicast mọi node phạm vi link (FF02::1) - Gói tin sẽ chứa địa chỉ bị trùng lặp Nếu node đang kiểm tra địa chỉ trùng lặp nhậ được thông điệp RA phản hồi lại RS mình đã gửi, nó sẽ hủy bỏ việc sử dụng địa chỉ này. Hình 1.8: Kiểm tra trùng lặp địa chỉ 1.3.3 Kiểm tra tính có thể đạt tới của node lân cận (Neighbor Unreachability Detection) Thông điệp Neighbor Solicitation và Neighbor Advertisement được sử dụng trong quá trình phân giải địa chỉ, kiểm tra trùng lặp địa chỉ, cũng được sử dụng cho những mục đích khác, như quá trình kiểm tra tính có thể đạt được của một node lân cận (reachability). Nếu một host muốn kiểm tra tình trạng có thể nhận gói tin của node lân cận, nó gửi thông điệp Neighbor Solicitation (NS). Nếu nhận được Neighbor Advertisement (NA) trả lời, nó sẽ biết tình trạng của node lân cận đạt tới được (reachable) và cập nhật vào bảng lân cận tương ứng. Tình trạng này được coi là tạm thời và có một khoảng thời gian dành cho nó, trước khi node cần thực hiện kiểm tra lại trạng thái các lân cận. Khoảng thời gian quy định này, cũng như một số các tham số hoạt động khác host sẽ nhận được từ thông tin quảng bá Router Advertisement của router trên đường kết nối. 8 1.3.4 Tìm kiếm router (Router Discovery) Quá trình tìm kiếm, trao đổi giữa host và router thực hiện dựa trên hai dạng thông điệp sau: - Router Solicitation: được gửi bởi host tới các router trên đường link. Do vậy, gói tin được gửi tới địa chỉ đích multicast mọi ruoter phạm vi link (FF02::2). Host gửi thông điệp này để yêu cầu router quảng bá ngay các thông tin nó cần cho hoạt động ví dụ khi host chưa được gắn địa chỉ, chưa có các tham số mặc định cần thiết để xử lý gói tin… - Router Advertisement: chỉ được gửi bởi các router để quảng bá sự hiện diện của router và các tham số cần thiết khác cho hoạt động của các host. Router gửi định kỳ thông điệp này trên đường kết nối và gửi thông điệp này khi nào nhận được Router Solicitation từ các host trong đường kết nối. 1.3.5 Cấu hình tự động địa chỉ cho node IPv6 - Tự động cấu hình có trạng thái (stateful): Đây là cách thức cấu hình địa chỉ cho host dựa vào sự trợ giúp của DHCPv6 server. Cách thức cấu hình này tương tự như việc sử dụng DHCP của IPv4. Hiện nay, các rfc dành cho DHCPv6 đã được IETF hoàn thiện đầy đủ. Máy chủ DHCPv6 sẽ cung cấp cho host địa chỉ và các thông tin để host cấu hình, nên được gọi là cấu hình có trạng thái (stateful) - Tự động cấu hình không trạng thái (stateless): Đây là cách thức tự động trong đó, một host sẽ tự thực hiện cấu hình địa chỉ cho giao diện không cần sự hỗ trợ của bất kỳ một máy chủ DHCP nào. Host thực hiện cấu hình địa chỉ từ khi chưa có một thông tin nào hỗ trợ cấu hình (stateless) và qua trao đổi với router IPv6 trên đường kết nối. 9 Hình 1.9: Tự động cấu hình địa chỉ IPv6 cho host 1.3.6 Đánh số lại thiết bị IPv6 1.3.7 Phân mảnh gói tin IPv6 Hình 1.10: Quá trình thực hiện tìm kiếm Path MTU 1.4 Kết luận chương Chương 1 đã trình bày một cách tổng quan về IPv6, đã đề cập tới phần đầu được sử dụng trong gói dữ liệu IP để khi truyền dẫn các bộ định tuyến có thể làm việc dễ dàng hơn. Phần đầu (header) IPv6 là phiên bản cải tiến, được tổ chức hợp lý hơn so với phần đầu của IPv4. Trong đó đã loại bỏ đi một số trường không cần thiết và thêm vào những trường tốt hơn cho lưu lượng thời gian thực. Chương 1 cũng trình bày một số thủ tục được sử dụng trong quá trình giữa máy tính với máy tính, giữa máy tính với router và giữa router với router. 10 CHƯƠNG 2 – CÔNG NGHỆ CHUYỂN ĐỔI GIAO TIẾP TỪ IPv4 SANG IPv6 Để triển khai IPv6 có các phương thức diễn ra đồng thời là xây dựng mạng IPv6 trên nền hạ tầng là mạng IPv4 hiện nay, sau đó sẽ dần thay thế IPv4. Mục đích của các cơ chế chuyển đổi là đảm bảo một số chức năng chính sau: - Đảm bảo thực hiện các đặc tính ưu việt của mạng IPv6 so với mạng IPv4. - Tận dụng hạ tầng sẵn có của mạng IPv4 trong giai đoạn chuyển tiếp sang một mạng thuần IPv6. - Tăng cường khả năng nâng cấp và triển khai. - Tối thiểu hóa sự phụ thuộc trong các quá trình nâng cấp. - Gán và cấp phát các loại địa chỉ thuận tiện. - Giá thành khởi điểm thấp. Hiện nay các nhà thiết kế IPv6 đã đưa ra 3 cơ chế chuyển đổi chính cho phép kết nối IPv6 trên nền IPv4 như sau: - Dual IP layer: Cơ chế này đảm một host/router được cài đặt cả 2 stack IPv4 và IPv6 ở tầng Internet Layer trong kiến trúc TCP/IP của nó. - Tunneling: Cơ chế này thực hiện đóng gói một gói tin IPv6 theo chuẩn giao thức IPv4 để có thể mang gói tin đó trên nền kiến trúc IPv4. Có hai loại tunneling là cài đặt sẵn (Configured) và tự động (Automatic). - Công nghệ biên dich (NAT – PT): Công nghệ biên dịch thực chất là một dạng công nghệ Network Address Translation (NAT), thực hiện biên dịch địa chỉ cho phép host chỉ hỗ trợ IPv6 có thể trao dổi với host chỉ hỗ trợ IPv4. Công nghệ phổ biến được sử dụng là NAT - PT. Thiết bị cung cấp dịch vụ NAT – PT sẽ biên dịch header và địa chỉ cho phép host IPv6 nói chuyện với host IPv4. 2.1 Dual – stack 2.1.1 Mô tả Dual IP layer: Cơ chế này đảm bảo mỗi host/router được cài đặt cả 2 giao thức IPv4 và IPv6. Với cơ chế này, hoạt động của các host/router hoàn toàn tương 11 thích với IPv4 và IPv6. Theo cơ chế này, IPv6 sẽ cùng tồn tại với IPv4 và nó sẽ dùng cơ sở hạ tầng của IPv4. Sự lựa chọn để sử dụng stack (lựa chọn giao thức nào trong tầng Internet) sẽ dựa vào thông tin được cung cấp bởi dịch vụ named qua DNS server. Hình 2.1: Cơ chế Dual IP layer Cơ chế này đảm bảo một node IPv6 hoàn toàn tương thích với những node IPv4 khác. Những node vừa hỗ trợ IPv6 vừa hỗ trợ IPv4 như vậy gọi là IPv4/IPv6. 2.1.2 Phương pháp thực hiện Qua phần phân tích ta thấy các thông số chính để thực hiện cơ chế Dual – Stack được mô tả trong bảng Bảng 2.1: Các tham số của cơ chế dual – stack. Thông số Giá trị Phạm vi áp dụng Site Địa chỉ IPv4 cần gán 1 địa chỉ đối với 1 host; nhiều địa chỉ đối với Router Địa chỉ IPv6 yêu cầu 1 địa chỉ IPv6 đối với một host; nhiều địa chỉ đối với Router Yêu cầu đối với Host Cài đặt cả IPv4/ IPv6. Yêu cầu đối với Router Cài đặt cả IPv4/IPv6; Các giao thức định tuyến phải hỗ trợ IPv6. 2.1.3 Yêu cầu về gán địa chỉ Vì các host này sử dụng cả hai giao thức ở tầng ip là IPv4 và IPv6, do vậy cần gán cả 2 loại địa chỉ IPv4 và IPv6 ở mỗi host này. Không nhất thiết cần phải có sự liên quan đến nhau giữa hai địa chỉ này nên những host IPv4/IPv6 có thể gán những địa chỉ IPv4 và IPv6 không liên quan đến nhau. Đối với những node có cơ chế chuyển đổi này kết hợp với kỹ thuật tunneling tự động cần phải gán một địa chỉ 12 IPv6 được tạo bởi địa chỉ IPv4 gán đối với host đó. Đối với những node IPv4/IPv6, có thể có được địa chỉ IPv4 theo bất kỳ giao thức cấu hình địa chỉ IPv4 nào hợp lệ. Ví dụ sử dụng qua các giao thức cấp địa chỉ động như DHCP, BOOTP,RARP hoặc gán trực tiếp địa chỉ IPv4 tĩnh. Đối với địa chỉ loopback: Theo cấu hình địa chỉ IPv4, địa chỉ loopback có dang 127.0.0.1, địa chỉ này chuyển dang dạng địa chỉ IPv6 tương thích với IPv4 sẽ có dang ::127.0.0.1; đây được coi là dạng địa chỉ loopback đối với IPv6. Những packet có địa chỉ loopback sẽ chỉ tồn tại trong node đó mà không chuyển ra mạng. 2.1.4 Khai báo DNS Trong một hệ thống có cài đặt các node hỗ trợ cơ chế dual – stack thì điều kiện tối thiểu cần thiết là dịch vụ DNS của hệ thống đó phải hỗ trợ IPv6. Hiện nay đã có một số phần mềm như BIND 8.2 hỗ trợ IPv6). Đối với các node IPv4/IPv6 cần phải khai báo cả 2 loại bản ghi trong DNS server. Hay nói cách khác là cần phải cấu hình DNS đối với cả 2 loại địa chỉ mà host đó được gán. Đối với mỗi địa chỉ IPv6, cấu trúc bản ghi DNS có dang AAAA. Đối với mỗi địa chỉ IPv4, cấu trúc bản ghi DNS có dạng A. 2.2 Tunneling 2.2.1 Đặc điểm chung Công nghệ đường hầm là một phương pháp sử dụng cơ sở hạ tầng sẵn có của mạng IPv4 để thực hiện các kết nối ipv6 bằng cách sử dụng các thiết bị mạng có khả năng hoạt động dual-stack tại hai điểm đầu và cuối nhất định. Các thiết bị này “bọc” gói tin IPv6 trong gói tin có header IPv4 và truyền tải đi trong mạng IPv4 tại điểm đầu và gỡ bỏ IPv4 header, nhận lại gói tin IPv6 ban đầu tại điểm đích cuối đường truyền IPv4. Dựa theo cách thức thiết lập điểm đầu và cuối đường hầm (tunnel), công nghệ tunnel có thể phân thành hai loại: tunnel bằng tay và tunnel tự động Nguyên tắc hoạt động của việc tạo đường hầm: Nguyên tắc của việc tạo đường hầm trong công nghệ tunnel như sau: 13 - Xác định thiết bị kết nối tại các điểm đầu và cuối đường hầm. Hai thiết bị này phải có khả năng hoạt động dual-stack. - Xác định địa chỉ IPv4 và địa chỉ IPv6 nguồn và đích của giao diện tunnel (hai đầu kết thúc tunnel) - Trên hai thiết bị kết nối tại đầu và cuối tunnel, thiết lập một giao diện tunnel (giao diện ảo, không phải giao diện vật lí) dành cho những gói tin IPv6 sẽ được bọc trong gói tin IPv4 đi qua. - Gắn địa chỉ IPv6 cho giao diện tunnel. - Tạo tuyến (route) để các gói tin IPv6 đi qua giao diện tunnel. Tại đó, chúng được bọc trong gói tin IPv4 có giá trị trường Protocol 41 và chuyển đi dựa trên cơ sở hạ tầng mạng IPV4 và nhờ định tuyến IPv4 Hình 2.2: Công nghệ đường hầm – Tunnel 2.2.2 Cấu hình bằng tay đường hầm Tunnel Tunnel bằng tay là hình thức tạo đường hầm kết nối IPV6 trên cơ sở hạ tầng mạng IPV4, trong đó đòi hỏi phải có cấu hình bằng tay các điểm kết thúc tunnel. Trong tunnel cấu hình bằng tay, các điểm kết cuối đường hầm này sẽ không được suy ra từ các địa chỉ nằm trong địa chỉ nguồn và địa chỉ đích của gói tin. Thông thường, hình thức tạo đường hầm bằng tay này thường được cấu hình để tạo đường hầm giữa router tới router (hai border router) nhằm kết nối hai mạng IPV6 sử dụng cơ sở hạ tầng mạng IPv4. Nó cũng có thể được cấu hình giữa router và host để kết nối từ xa một host IPv6 vào một mạng IPv6. 14 Hình 2.3: Tunnel cấu hình bằng tay (manual configure tunnel) 2.2.3 Tunnel Broker Tunnel Broker là hình thức tunnel, trong đó một tổ chức đứng ra làm trung gian, cung cấp kết nối tới Internet IPV6 cho những thành viên đăng ký sử dụng dịch vụ Tunnel Broker do tổ chức cung cấp. Tổ chức cung cấp dịch vụ Tunnel Broker có vùng địa chỉ IPV6 độc lập, toàn cầu, xin cấp từ các tổ chức quản lý địa chỉ IP quốc tế, mạng IPV6 của tổ chức có kết nối tới Internet IPV6 và những mạng IPv6 khác. Thành viên đăng ký và được cấp quyền sử dụng dịch vụ Tunnel Broker sẽ nhận được những thông tin từ tổ chức quản lý Tunnel Broker để thiết lập đường hầm tunnel từ host hoặc từ router gateway mạng IPV6 của tổ chức mình tới mạng của tổ chức duy trì Tunnel Broker, từ đó kết nối tới được Internet IPV6 hay những mạng IPV6 khác mà tổ chức duy trì Tunnel Broker có kết nối tới. Hình 2.4: Kết nối IPv6 với Tunnel Broker 2.2.4 Công nghệ tunnel 6to4 Có nhiều cách để có địa chỉ IPv6 cũng như kết nối IPV6. Một trong những cách để sử dụng IPv6 khi bạn chỉ có kết nối IPv4 là sử dụng tunnel 6to4. 6to4 cho phép bạn truy cập Internet IPV6 mà không cần nhiều thủ tục hay cấu hình phức tạp, bằng cách sử dụng địa chỉ IPv6 đặc biệt có tiền tố prefix 2002::/16 đã được IANA cấp dành riêng cho công nghệ 6to4, kết hợp với địa chỉ IPV4 toàn cầu. HĐH Window XP, Window 2003 server, hỗ trợ tự động cấu hình sẵn giao diện ảo 6to4 tunnel khi máy tính được kích hoạt giao thức IPv6 protocol có kết nối Internet và có 15 một địa chỉ IPv4 toàn cầu gắn cho card mạng. Người sử dụng không cần thiết phải thực hiện thao tác nào để có một đường hầm tunnel kết nối với Internet IPV6. Nhờ đặc điểm này, nếu người sử dụng đang truy cập Internet với kết nối IPv4 qua dial up, có thể kết nối với IPv6 Internet mà không cần thêm thao tác cấu hình nào. Hình 2.5: Tunnel 6to4 2.2.4.1 Địa chỉ IPv6 sử dụng trong tunnel 6to4 2.2.4.2 Các thành phần của tunnel 6to4, cung cấp kết nối IPv6 toàn cầu 2.3 Giải pháp Network Address Translation-Protocol Translation (NAT – PT) Công nghệ chuyển đổi thực chất là một dạng biến thể của công nghệ dịch địa chỉ mạng (NAT), thực hiện biên dịch địa chỉ và dạng thức của phần đầu, cho phép thiết bị chỉ hỗ trợ IPv6 có thể giao tiếp với thiết bị chỉ hỗ trợ IPv4. Công nghệ phổ biến được sử dụng là dịch địa chỉ mạng – dịch giao thức (NAT – PT: Network Address Translation – Protocol Translation). Thiết bị cung cấp dịch vụ NAT – PT sẽ biên dịch lại phần đầu và địa chỉ cho phép IPv6 giao tiếp với mạng IPv4. Hình 2.6: Công nghệ biên dịch NAT - PT Phân loại công nghệ NAT – PT - Traditional (truyền thống) NAT – PT. - Bi – Directional NAT – PT (NAT – PT song hướng. 16 Nguyên lý làm việc của NAT – PT Các gói tin từ mạng IPv4 sang mạng IPv6 khi qua bộ định tuyến NAT – PT sẽ được chuyển đổi gói tin IPv6 với địa chỉ nguồn là một địa chỉ IPv6 nằm trong NAT Prefix này. Trong trường hợp NAT tĩnh mỗi địa chỉ trong NAT Prefix tương ứng với một địa chỉ IPv4 ban đầu (ánh xạ 1:1). Trong trường hợp NAT động một địa chỉ IPv6 trong NAT Prefix này có thể dùng cho môt hoặc nhiều địa chỉ IPv4. Các gói tin trao đổi qua lại giữa các site IPv4 và IPv6 cần có sự thay đổi về cấu trúc. Khi gói tin rời khỏi mạng IPv4 sang mạng IPv6 (hay ngược lại IPv6 sang IPv4) thông qua bộ định tuyễn NAT – PT, phần đầu IPv4 được tách ra và thay thế bởi phần đầu IPv6. Tất cả các thông tin trong phần dữ liệu (data) của gói tin thông thường phải được bảo toàn ngoại trừ các gói ICMP và các thông tin trao đổi với DNS. 2.4.Kết luận chương Đối với các mạng nhỏ sử dụng IPv4, chuyển đổi sang IPv6 là điều cần thiết, tuy nhiên phải thực hiện dần dần từng bước thay vì đồng loạt, do đó đảm bảo không có sự đột biến trong việc tiếp cận công nghệ mới. Các phương pháp chuyển đổi kể trên cho phép chuyển đổi từ cục bộ đến tổng thể một hệ thống mạng đang sử dụng IPv4 sang IPv6. Các giải pháp trên được xây dựng trên cơ sở các nút mạng IPv4/IPv6 ngày càng tăng và IPv6 cùng tồn tại với IPv4, chuyển đổi dần dần các nút mạng IPv4 sang IPv6 và tiến dần tới mạng trục. 17 CHƯƠNG 3 – ĐỀ XUẤT HƯỚNG TRIỂN KHAI VỚI BỘ CÔNG AN 3.1 Thực trạng hệ thống mạng truyền dẫn của Bộ Công an Qua thực trạng ta nhận thấy tình hình triển khai IPv6 trên thế giới chưa có nhiều đột phá. Tại hầu hết các quốc gia đều tồn tại một thực tế là các nhà cung cấp dịch vụ không muốn đầu tư thêm để cung cấp dịch vụ IPv6, người sử dụng không có nhu cầu sử dụng các dịch vụ IPv6 dẫn đến việc triển khai IPv6 dậm chân tại chỗ. Tuy nhiên, các quốc gia đều quan tâm đến việc triển khai IPv6. Qua đó, có thể khẳng định rằng cách thức, lộ trình chuyển đổi IPv4 sang IPv6 của Việt Nam là phù hợp với lộ trình chuyển đổi của thế giới. Đặc biệt là việc Việt Nam có trạm trung chuyển Internet quốc gia (VNIX) rất thuận lợi cho việc xây dựng mạng lõi để hình thành mạng thử nghiệm IPv6 quốc gia. Trong quá trình triển khai IPv6 của Việt Nam vừa qua, kết quả quan trọng nhất đã đạt được là nhận thức về IPv6 đã được cải thiện đáng kể. Tại một số đơn vị, doanh nghiệp nhận thức này đã được chuyển biến thành hành động cụ thể, hướng đến mục tiêu chung là đưa quá trình chuyển đổi từ IPv4 sang IPv6 tại Việt Nam nhanh chóng và an toàn. Trước tình hình đó, Bộ Công An cũng phát triển dần kế hoạch chuyển đổi sang IPv6. Thực trạng hệ thống mạng truyền dẫn của Bộ Công an Hiện nay, ứng dụng công nghệ thông tin đối với ngành Công an trong việc trao đổi dữ liệu qua mạng và yêu cầu về cải cách hành chính đã đặt ra nhu cầu cấp thiết về việc tổ chức kết nối mạng máy tính từ công an tỉnh/ thành phố đến công an các quận/ huyện. Thực tế, nhu cầu trao đổi thông tin giữa Công an các Huyện với Công an Tỉnh thường xuyên và liên tục với yêu cầu ngày càng cao. Thông tin được gửi và nhận phải được thực hiện một cách nhanh chóng, chính xác và tuyệt đối đảm bảo bí mật, không được tiết lộ ra bên ngoài. 18 Qua khảo sát thực tế, hạ tầng truyền dẫn của Bộ Công an gồm hai loại mạng: mạng truyền dẫ tuyến trục (giữa 3 trung tâm vùng Hà Nội, Đà Nẵng và Thành phố Hồ Chí Minh) và mạng truyền dẫn nhánh từ trung tâm vùng về các tỉnh/thành phố, trong đó: trên tuyến trục Hà Nội – TP Hồ Chí Minh, Hà Nội – Đà Nẵng, Đà Nẵng – TP Hồ Chí Minh có 07 luồng E1 để kết nối mạng thoại và mạng dữ liệu. Các luồng kết nối mạng thoại và mạng dữ liệu hoàn toàn độc lập với nhau. Trên các tuyến nhánh từ Hà Nội, Đà Nẵng hay TP Hồ Chí Minh đến các Sở công an các tỉnh, thành phố hiện chỉ có 01 luồng E1 kết nối chung cho cả mạng thoại và mạng dữ liệu dựa trên phương pháp phân chia kênh cứng (mạng thoại sử dụng 20 kênh 64 Kbps, mạng dữ liệu sử dụng 10 kênh 64 Kbps). Ngoại trừ tuyến Hà Nôi – Hải Phòng hiện có 02 luồng E1, một luồng sử dụng cho kết nối thoại, một luồng sử dụng cho kết nối mạng dữ liệu. Đối với hệ thống mạng máy tính Bộ công an được hình thành trên cơ sở kết nối mạng diện rộng (WAN) cho các mạng LAN của các Công an tỉnh, thành phố và mạng LAN của các đơn vị của Bộ Công an. Sơ đồ hệ thống mạng dữ liệu hiện tại được mô tả như sau: Trung tâm điều khiển mạng vùng gồm 3 trung tâm chính đặt tại Hà Nội, Đà Nẵng và TP Hồ Chí Minh. Thiết bị kết nối mạng trục là thiết bị định tuyến của Cisco (Router 7507) kết nối theo tuyến truyền dẫn E1. Hệ thống router này có hỗ trợ Voice IP, cho phép kết nối tổng đài tranzit chuyển tải cuộc gọi giữa thoại IP và thoại truyền thông với tin hiệu báo hiệu PCM/R2. Hệ thống này chưa có khả năng cấp phát băng thông động cũng như quản lý kiểm soát lưu thông trên mạng và khống chế băng thông linh hoạt cho các dịch vụ. Các thiết bị của một trung tâm mạng bao gồm: - Thiết bị switch trung tâm tổ chức kết nối mạng LAN và LAN mở rộng cục bộ tại chỗ.