Đăng ký Đăng nhập
Trang chủ Nghiên cứu về vấn đề bảo mật ipv6...

Tài liệu Nghiên cứu về vấn đề bảo mật ipv6

.PDF
66
248
111

Mô tả:

Đồ án tốt nghiệp Mục lục MỤC LỤC THUẬT NGỮ VIẾT TẮT ........................................................................................... iv DANH MỤC HÌNH VẼ.............................................................................................. vii DANH MỤC BẢNG BIỂU ....................................................................................... viii CHƯƠNG 1: TỔNG QUAN VỀ ĐỊA CHỈ IPV6 .......................................................1 1.1 ĐỊA CHỈ IPV6 .........................................................................................................1 1.2 NHỮNG HẠN CHẾ CỦA IPV4 ..........................................................................12 1.3 CÁC TIÊU ĐỀ MỞ RỘNG TRONG IPV6 ........................................................13 1.4 GIAO THỨC ĐIỀU KHIỂN BẢN TIN ICMPV6 .............................................14 1.5 ĐỊNH TUYẾN TRÊN ĐỊA CHỈ IPV6 ................................................................17 1.6 KẾT LUẬN CHƯƠNG ........................................................................................19 CHƯƠNG 2: CÁC TÍNH NĂNG NÂNG CAO CỦA ĐỊA CHỈ IPV6....................20 2. 1 CÁC TÍNH NĂNG NÂNG CAO CỦA ĐỊA CHỈ IPV6 ....................................20 2.2 KĨ THUẬT MULTICAST TRONG IPV6 .........................................................22 2.3 CHẤT LƯỢNG DỊCH VU QOS TRONG IPV6 ...............................................25 2.4 GIAO THỨC CẤU HÌNH TỰ ĐỘNG DHCP CHO IPV6 ...............................27 2.5 TỔNG KẾT CHƯƠNG ........................................................................................29 CHƯƠNG 3: VẤN ĐỀ BẢO MẬT TRONG IPV6 ...................................................30 3.1 CÁC MỐI ĐE DỌA ĐẾN BẢO MẬT IPV6 ......................................................30 3.2 NGHIÊN CỨU CÁC VẤN ĐỀ BẢO MẬT NÂNG CAO VỚI IPV6 ...............35 3.3 CÁC GIẢI PHÁP DỰA TRÊN IPV6 .................................................................52 3.4 TRIỂN KHAI IPV6 CHO IOT ...........................................................................54 3.5 KẾT LUẬN CHƯƠNG ........................................................................................58 KẾT LUẬN ..................................................................................................................59 TÀI LIỆU THAM KHẢO...........................................................................................60 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang iii Đồ án tốt nghiệp Thuật ngữ viết tắt THUẬT NGỮ VIẾT TẮT Tên viết tắt Tên đầy đủ Ý nhĩa AH Authentication Header Header trong IPv6 nhằm đảm bảo tính chân thực và toàn vẹn của gói tin trong quá trình truyền ARP Address Resolution Protocol Giao thức phân giải địa chỉ AS Autonmous Hệ tự quản tập hợp các thiết bị định tuyến có cùng hệ quản trị Địa chỉ đích DA Destination Address DHCP Dynamic Host Configuration Giao thức cấu hình IP tự động cho Protocol các máy trạm DHCPv4 Dynamic Host Configuration DHCP phiên bản 4 Protocol DHCPv6 Dynamic Host Configuration DHCP phiên bản 6 Protocol ESP Encapsulationg Security Payload Một kiểu header trong IPv6 nhằm cung cấp khả năng bảo mật cho gói tin Ipv6 ICMP Internet Control Message Protocol Giao thức tạo thông điệp điều khiển của internet ICMPv4 Internet Control Message Protocol version 4 ICMP phiên bản 4 ICMPv6 Internet Control Message Protocol version 6 ICMP phiên bản 6 ID Indentify Digital Chứng thực số IP Internet Protocol Giao thức internet SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang iv Đồ án tốt nghiệp IPsec Internet Protocol Security Thuật ngữ viết tắt Một kiểu bảo mật trong IPv6 với hai trường AH và ESP IKE Internet Key Exchange Trao đổi khóa internet IPv4 Internet protocol version 4 Giao thức IP version 4 IPv6 Internet protocol version 6 Giao thức IP version 6 IoT Internet of Thing Internet vạn vật IGMP Internet Group Management Protocol Giao thức quản lý nhóm Internet LAN Local Area Network Mạng cục bộ MAC Medium Access Control Kiểm soát truy nhập môi trường truyền thông MTU Maximun Transmission Unit Đơn vị truyền dẫn cực đại ND Neighbor Discovery Giao thức phát hiện Neighbor NA Neighbor Advertisement Quảng bá của nút mạng lân cận NAT Netwwork Address Translation Cơ chế biên dịch địa chỉ mạng OSPF Open Short Path Firt Giao thức định tuyến chọn con đường còn mở ngắn nhất QoS Quality of Service Chất lượng dịch vụ RA Router Advertisement Quảng bá của bộ định tuyến RS Router Solicitation Dò tìm bộ định tuyến RIP Routing Information Protocol Giao thức thông tin định tuyến, dùng định tuyến trên các mạng nhỏ TCP Transmission Control Giao thức điều khiển truyền tải Protocol SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang v Đồ án tốt nghiệp Thuật ngữ viết tắt TTL Time to live Thời gian sống UDP User Datagram Protocol Giao thức dữ liệu người dùng VPN Virtual Private Network Một kiểu mạng trong đó hai mạng LAN đầu cuối kết nối với nhau thông qua Internet và hoạt động như một mạng LAN SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang vi Đồ án tốt nghiệp Danh mục hình vẽ DANH MỤC HÌNH VẼ Hình 1.1 Sự phát triển của địa chỉ IP ............................................................................. 1 Hình 1.2 Cấu trúc gói tin IPV6....................................................................................... 2 Hình 1.3 Cấu trúc địa chỉ Link-local.............................................................................. 9 Hình 1.4 Cấu trúc địa chỉ Site-local ............................................................................. 10 Hình 1.5 Phần mào đầu IPv4 ....................................................................................... 11 Hình 1.6 Mô hình thực hiện NAT của địa chỉ Ipv4....................................................... 13 Hình 2.1 Dạng thức của địa chỉ multicast .................................................................... 22 Hình 3.1 Trường hợp Firewall được đặt trước Router biên ........................................ 31 Hình 3.2 Trường hợp Firewall được đặt trong Router biên ........................................ 32 Hình 3.3 Trường hợp Firewall được đặt sau Router biên............................................ 32 Hình 3.4 Tạo khóa xác thực từ cặp khóa Public-Private ............................................. 36 Hình 3.5 IPSec chế độ Tunnel mode ............................................................................ 39 Hình 3.6 Cấu trúc gói tin IPv6 ..................................................................................... 40 Hình 3.7 Định dạng gói tin IPv6 .................................................................................. 41 Hình 3.9 Mào đầu mở rộng của địa chỉ IPv6 ............................................................... 42 Hình 3.10 IPSec trong chế độ Transport ...................................................................... 44 Hình 3.11 IPSec trong chế độ Tunnel........................................................................... 44 Hình 3.12 Định dạng mào đầu IPsec AH ..................................................................... 45 Hình 3.13 Hai chế độ xác thực của AH ........................................................................ 46 Hình 3.14 Mào đầu được xác thực trong chế độ IPv6 AH Transport .......................... 47 Hình 3.15 Mào đầu được xác thực trong chế độ IPv6 AH Tunnel ............................... 47 Hình 3.16 Mô tả AH xác thực và đảm bảo tính toàn vẹn dữ liệu ................................. 48 Hình 3.17 Định dạng mào đầu IPsec ESP.................................................................... 49 Hình 3.19 Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel ............................... 50 Hình 3.20 Nguyên tắc hoạt động của ESP Header. ..................................................... 51 Hình 3.21 Các thách thức chính để cung cấp IoT. ....................................................... 52 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang vii Đồ án tốt nghiệp Danh mục bảng biểu DANH MỤC BẢNG BIỂU Bảng 1.1 Bảng 1.2 Bảng 1.3 Bảng 3.1 Các giá trị trường header của gói tin IPv6 ................................................... 4 Các kiểu địa chỉ của IPv6 .............................................................................. 7 Các giá trị trường mào đầu của gói tin IPv6 ............................................... 14 So sánh AH và ESP ...................................................................................... 51 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang viii Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 CHƯƠNG 1: TỔNG QUAN VỀ ĐỊA CHỈ IPV6 1.1 ĐỊA CHỈ IPV6 1.1.1 Lịch sử phát triển của địa chỉ IPv6 IPv6 là một giao thức được thiết kế để xử lý tốc độ phát triển của Internet và để đối phó với các yêu cầu đòi hỏi của các dịch vụ, di động và bảo mật end-to-end. Các phần sau đây mô tả những hạn chế của IPv4, các tính năng chính của IPv6, và động lực cho việc triển khai IPv6. IPv6 hứa hẹn đạt được an ninh đầu cuối, truyền thông di động, chất lượng dịch vụ (QoS) và quản lý hệ thống đơn giản. IPv4 có khá nhiều nhược điểm, trong đó quan trọng nhất là việc không gian địa chỉ IPv4 đang cạn kiệt. Điều này dẫn đến tất yếu phải ra đời một thế hệ địa chỉ mới giải quyết được những nhược điểm của IPv4, đó là IPv6. Thế hệ địa chỉ IPv6 không những giải quyết được những vấn đề của IPv4 mà còn cung cấp thêm một số ưu điểm: - Không gian địa chỉ lớn. - Khả năng mở rộng về định tuyến. - Hỗ trợ tốt hơn truyền thông nhóm. Hỗ trợ end to end dễ dàng hơn và loại bỏ toàn bộ công nghệ NAT. Không cần phải phân mảnh, không cần trường kiểm tra phần đầu. Hình 1.1 Sự phát triển của địa chỉ IP 1.1.2 Tính năng của IPv6 a, Chức năng cấu hình tự động của địa chỉ IPv6 Để có thể gán địa chỉ và những thông số hoạt động cho thiết bị IPv6 khi nó kết nối vào mạng mà không cần nhân công cấu hình bằng tay, có thể sử dụng DHCPV6. SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 1 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 Đây được gọi là dạng thức cấu hình tự động có trạng thái (stateful autoconfiguration). Bên cạnh đó, thiết bị IPv6 có khả năng tự động cấu hình địa chỉ và các thông số hoạt động mà không cần có sự hỗ trợ của máy chủ DHCP. Đó là đặc điểm mới trong thế hệ địa chỉ IPv6 được gọi là dạng thức cấu hình không trạng thái. Cấu trúc IPv6 Header Gói tin IPv6 có hai dạng header: header cơ bản và header mở rộng (extension header). Phần header cơ bản có chiều dài cố định 40 byte, chứa những thông tin cơ bản trong xử lý gói tin IPv6, thuận tiện hơn cho việc tăng tốc xử lý gói tin. Những thông tin liên quan đến dịch vụ mở rộng kèm theo được chuyển hẳn tới một phân đoạn khác gọi là header mở rộng. Cấu trúc một gói tin IPv6: Phiên bản Phân dạng lưu lượng Mã dòng Chiều dài tải dữ liệu Mào đầu tiếp theo Giới hạn bước Địa chỉ nguồn (128 bit) Địa chỉ đích (128 bit) Hình 1.2 Cấu trúc gói tin IPV6 Mặc dù trường địa chỉ nguồn và địa chỉ đích trong header IPv6 có chiều dài 128 bit, gấp 4 lần địa chỉ IPv4, song phần header của IPv6 chỉ gấp hai lần IPv4. Đó là nhờ dạng thức của header đã được đơn giản hoá trong IPv6 bằng cách bỏ bớt đi những trường không cần thiết và ít được sử dụng. Những trường bỏ đi trong phần mào đầu IPv6:  Tuỳ chọn: Một trong những thay đổi quan trọng là không còn tồn tại trường Option trong header IPv6, do những thông tin liên quan đến dịch vụ kèm theo (vốn được mô tả bằng trường Option trong header IPv4 được) đặt riêng trong phần header mở rộng, đặt ngay sau header cơ bản. Vi vậy, chiều dài phần mào đầu cơ bản của IPv6 là cố định (40 byte).  Kiểm tra header: Trong IPv4, Header Checksum là một số sử dụng để kiểm tra lỗi trong phần header, được tính toán ra dựa trên những thông tin phần header. Do giá trị của trường thời gian sống (Time to Live TTL) thay đổi mỗi khi gói tin được truyền qua một bộ định tuyến (router), số kiểm tra header cần phải được tính toán lại mỗi khi gói tin đi qua một router IPv4. IPV6 đã giải phóng bộ định tuyến khỏi SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 2 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 công việc này, nhờ đó giảm được độ trễ của gói tin IPv6 khi qua router. Do lớp TCP phía trên lớp IP có kiểm tra lỗi thông tin nên việc thực hiện phép tính tương tự tại tầng IP là không cần thiết và dư thừa, do vậy trường kiểm tra header được loại bỏ khỏi phần header IPv6.  Chiều dài header: Chiều dài phần header cơ bản của gói tin IPv6 cố định là 40 byte, do vậy không cần thiết có trường này.  Các trường định danh, cờ, chỉ định phân mảnh: Trong IPv4, đây là những trường phục vụ cho việc phân mảnh gói tin. Trong IPv6, thông tin về phân mảnh không bao gồm trong header cơ bản mà được chuyển hẳn sang một header mở rộng có tên gọi header phân mảnh. Việc thực hiện phân mảnh do ứng dụng thực hiện ngay tại máy tính nguồn. Do vậy, các thông tin hỗ trợ phân mảnh được bỏ đi khỏi phần header cơ bản là phần được xử lý tại các bộ định tuyến và được chuyển sang phần header mở rộng, là phần được xử lý tại đầu cuối. Những trường trong header IPv6 thực hiện chức năng tương tự header IPv4  Phiên bản - 4 bit: Cùng tên với trường trong IPv4 chỉ khác giá trị thể hiện địa chỉ phiên bản 6.  Phân dạng lưu lượng - 8 bit: Thực hiện chức năng tương tự trường dạng dịch vụ (Type of Service) của IPv4. Trường này được sử dụng để biểu diễn mức ưu tiên của gói tin, ví dụ gói tin nên được truyền với tốc độ nhanh hay thông thường, hướng dẫn thiết bị thông tin xử lý gói một cách tương ứng.  Chiều dài tải dữ liệu - 16 bit: Trường này thay thế cho trường tổng chiều dài (Total Length) của địa chỉ IPv4. Tuy nhiên nó chỉ xác định chiều dài phần dữ liệu. Phần dữ liệu trong gói tin IPv6 được tính bao gồm cả header mở rộng. Với chiều dài 16 bit, trường Playload Length có thể chỉ định chiều dài phần dữ liệu của gói tin IPv6 lên tới 65,535 byte.  Giới hạn bước - 8 bit: Thay thế trường thời gian sống (Time to live) của IPv4.  Header tiếp theo - 8 bit: Thay thế trường thủ tục (Protocol). Trường này chỉ định đến header mở rộng đầu tiên của gói tin IPv6 (nếu có) đặt sau header cơ bản, hoặc chỉ định tới thủ tục lớp trên như TCP, UDP, ICMPV6 khi trong gói tin IPv6 không có phần header mở rộng. Nếu sử dụng để chỉ định thủ tục lớp trên, trường này sẽ có giá trị tương tự như trường Protocol của IPv4.  Địa chỉ nguồn: Địa chỉ nguồn chiều dài là 128 bit.  Địa chỉ đích: Địa chỉ đích chiều dài là 128 bit. SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 3 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 Trường thêm mới của header ipv6:  Nhãn dòng: Trường Flow Label có chiều dài 20 bit, là trường mới được thiết lập trong IPv6. Trường này được sử dụng để chỉ định rằng gói tin thuộc một dòng nhất định giữa nguồn và đích, yêu cầu bộ định tuyến IPv6 phải có cách xử lý đặc biệt. Flow Label được dùng khi muốn áp dụng chất lượng dịch vụ (Quality of Service QOS) không mặc định. Ví dụ: QOS cho dữ liệu thời gian thực (thoại, video). Bằng cách sử dụng trường này, nơi gửi gói tin có thể xác định một chuỗi các gói tin, ví dụ gói tin của dịch vụ thoại VoiIP thành 1 dòng. và yêu câu chất lượng dịch vụ cụ thể cho dòng đó. Theo mặc định, flow Label được đặt giá trị 0. Có thể có nhiều dòng giữa nguồn và đích, sẽ được xác định bởi những giá trị tách biệt của Flow Label. Các giá trị trường header tiếp theo của gói tin IPV6: Bảng 1.1 Các giá trị trường header của gói tin IPv6 Giá trị Các dạng header mở rộng của IPv6 0 Từng bước (hop-by-hop) 43 Định tuyến (routing) 44 Phân mảnh (Fragment) 50 Mã hóa (Encapsulating Security Playload - ESP) 51 Xác thực (Authentication Header - AH) 60 Đích (Destination) Hiện nay, có sáu dạng header mở rộng tương ứng sáu dịch vụ đang được định nghĩa. Đó là: từng bước (Hop-By-Hop), đích (Destination), định tuyến (Routing), phân mảnh (Fragment), xác thực (Authentication Header - AH). và mã hoá (Encapsulating Security Playload - ESP). Thứ tự các header mở rộng trong gói tin được đặt theo một quy tắc nhất định. Các dạng header mở rộng của IPv6:  Từng bước: Hop-by-Hop là mào đầu mở rộng được đặt đầu tiên ngay sau header cơ bản. Header này được sử dụng để xác định những tham số nhất định tại mỗi bước trên đường truyền dẫn gói tin từ nguồn tới đích. Do vậy sẽ được xử lý tại mọi bộ định tuyến trên đường truyền dẫn gói tin. SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 4 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6  Đích: Header mở rộng đích được sử dụng để xác định các tham số truyền tải gói tại đích tiếp theo hoặc đích cuối cùng trên đường đi của gói tin. - Nếu trong gói tin có header mở rộng định tuyến, thì header mở rộng đích mang thông tin tham số xử lý tại mỗi đích. - Nếu trong gói tin không có header mở rộng định tuyến, thông tin trong header mở rộng đích là tham số xử lý tại đích cuối cùng.  Định tuyến: Header mở rộng định tuyến đảm nhiệm xác định đường dẫn định tuyến của gói tin. Nếu muốn gói tin được truyền đi theo một đường xác định, chứ không tuỳ thuộc vào việc lựa chọn đường đi của các thuật toán định tuyến. Node IPv6 nguồn có thể sử dụng header mở rộng định tuyến để xác định đường đi, bằng cách liệt kê địa chỉ của các bộ định tuyến mà gói tin phải đi qua. Các địa chỉ thuộc danh sách này sẽ dùng làm địa chỉ đích của gói tin IPv6 theo thứ tự được liệt kê và gói tin sẽ được gửi từ router này đến router khác, theo danh sách liệt kê trong header mở rộng định tuyến.  Phân mảnh: Header mở rộng phân mảnh mang thông tin hỗ trợ cho quá trình phân mảnh và tái tạo gói tin IPv6. Header mở rộng phân mảnh được sử dụng khi nguồn IPv6 gửi đi gói tin lớn hơn giá trị MTU (Maximum Transmission Ung) nhỏ nhất trong toàn bộ đường dẫn từ nguồn tới đích. Trong hoạt động của địa chỉ IPv4 mọi bộ định tuyến trên đường dẫn cần tiến hành phân mảnh gói tin theo giá trị của MTU đặt cho một giao điện. Tuy nhiên, chu trình này áp đặt một gánh nặng lên router. Bởi vậy trong địa chỉ IPv6, router không thực hiện phân mảnh gói tin. Việc này được thực hiện tại nguồn gửi gói tin.  Mã hoá: lPsec (Internet Protocol Security) là phương thức mã hóa bảo mật dữ liệu tại tầng IP được sử dụng phổ biến (ví dụ khi thực hiện mạng riêng ảo VPN). Trong thế hệ địa chỉ IPv4, khi có sử dụng lpsec trong bảo mật kết nối dạng đầu cuối - đầu cuối. thông tin hỗ trợ bảo mật và mã hóa được đặt trong trường tuỳ chọn của header IPv4. Trong hoạt động của địa chỉ IPv6, thực thi IPsec được coi là một đặc tính bắt buộc. Tuy nhiên, lPsec có thực sự được sử dụng trong giao tiếp hay không tùy thuộc vào từng trường hợp. Khi IPsec được sử dụng, gói tin IPv6 cần có các dạng header mở rộng xác thực và mã hoá. Header mở rộng xác thực dùng để xác thực và bảo mật tính đồng nhất của dữ liệu. Header mở rộng mã hoá dùng để xác định những thông tin liên quan đến mã hoá dữ liệu. b, Tích hợp IPSec trên IPv6 Bảo mật IP (IPsec) là một bộ các giao thức Internet Protocol (IP) thông tin liên lạc bằng cách chứng thực người gửi và cung cấp bảo vệ toàn vẹn cộng với tùy chọn SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 5 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 bảo mật cho dữ liệu được truyền. Điều này được thực hiện thông qua việc sử dụng hai phần đầu mở rộng: Encapsulating Security Payload (ESP) và Header xác thực (AH). Việc đàm phán, quản lý IPsec và khóa bí mật liên quan được xử lý bởi các giao thức Internet Key (IKE). Tuy nhiên, việc sử dụng nó là không cần thiết. IPsec cũng được chỉ định để đảm bảo cho các giao thức IPv6. c, Chất lượng dịch vụ (QoS) trên IPv6 QoS cung cấp các tùy chọn mạng nâng cao dựa trên chính sách để ưu tiên việc cung cấp các thông tin. Hiện tại việc triển khai IPv4 và IPv6 sử dụng các khả năng tương tự như QoS, như dịch vụ phân biệt và các dịch vụ tích hợp. Trong header IPv6 hai lĩnh vực có thể được sử dụng cho QoS, Class giao thông và các lĩnh vực Label lưu lượng. The Flow Label lĩnh vực mới và lớp giao thông mở rộng lĩnh vực trong tiêu đề IPv6 cho phép hiệu quả hơn và tốt hơn sự khác biệt của các loại khác nhau của lưu lượng truy cập. The Flow Label lĩnh vực mới có thể chứa một nhãn xác định hoặc ưu tiên lưu lượng gói tin nhất định chẳng hạn như tiếng nói qua IP (VoIP) hoặc hội nghị truyền hình. So sánh các vấn đề khi triển khai IPv4 và IPv6 IPv6 là một giao thức Internet mới được thiết kế nhằm đáp ứng các yêu cầu về phát triển các dịch vụ mới và mở rộng không gian địa chỉ trên mạng Internet, đồng thời khắc phục những hạn chế khác của IPv4 hiện nay không hỗ trợ tính “mở” của giao thức, dịch vụ QoS, các chức năng bảo mật. Tuy nhiên hai giao thức IPv4 và IPv6 không thực sự tương thích với nhau. Mặt khác, hệ thống IPv4 đã phát triển mạnh mẽ và hiện nay đã hình thành một mạng Internet toàn cầu có quy mô hết sức rộng lớn cả về kiến trúc mạng và dịch vụ trên mạng. Do vậy, trong một tương lai gần không thể chuyển đổi mạng từ IPv4 sang IPv6 được. Để triển khai mạng IPv6 hiệu quả và thiết thực, các nhà thiết kế đã đưa ra giải pháp là triển khai mạng IPv6 trên nền mạng IPv4. Vì xuất hiện vấn đề, một máy tính sử dụng IPv6 khi truy cập website dùng IPv4 và ngược lại. Có thể trong giai đoạn chuyển đổi, người sử dụng sẽ gặp thông báo site không tồn tại, hoặc tường lửa (firewall) cài đặt trên máy của họ không nhận diện được IPv6 nên chặn hoặc khiến quá trình truy cập vào website bị chậm lại. Tuy nhiên, thông thường các công ty triển khai IPv6 sẽ có các công cụ và phần mềm để hỗ trợ việc giao tiếp giữa IPv4 và IPv6 trở nên thuận tiện. 1.1.3 Không gian sử dụng địa chỉ IPv6 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 6 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 Phần này giới thiệu các kiểu khác nhau của địa chỉ IPv6, phạm vi và sử dụng. Chi tiết hơn sẽ mô tả trong các phần sau. Bảng 1.2 Các kiểu địa chỉ của IPv6 Kiểu địa chỉ Nhúng địa Tiền tố nhị phân chỉ 00...1111 Ký hiệu IPv6 1111 ::FFFF/96 IPv4 1111 1111 (96bit) Loopback 00... 1 (128 bit) Sử dụng Tiền tố nhúng địa chỉ IPv4 trong IPv6 ::1/128 Địa chỉ Loopback trên mỗi giao diện mạng [RFC 2460] Unicast toàn cục 001 2000::/3 Unicast toàn cục và anycast ( phân bổ) [RFC 4291] Unicast toàn cục 01 - 1111 1100 0 4000::/2 - FC00 Unicast toàn cục và ::/9 anycast(không phân bổ) Teredo 0010 0000 0000 2001:0000::/32 Teredo [RFC 4380] 0001 0000 0000 0000 0000 Nonroutable 0010 0000 0000 2001:DB8:/32 0001 0000 1101 1011 1000 Nonroutable 6to4 0010 0000 0000 2002::/16 0010 6to4 [RFC 3056] 6Bone 0011 1111 1111 3FFE::/16 1110 Phản đối, 6bone giao thử nghiệm, năm 1996 đến giữa năm 2006 Link-local unicast 1111 1110 10 Liên kết unicast địa phương SVTH: Nguyễn Thị Hoa Mai – D13VT5 FE80::/10 Trang 7 Đồ án tốt nghiệp Reversed Chương 1: Tổng quan về địa chỉ IPV6 1111 1110 11 FEC0::/10 Phản đối, không gian địa chỉ trước của site-local, unicast, anycast Địa chỉ cục bộ 1111 110 IPv6 FC00::/7 Không gian địa chỉ Unicast Unique, unicast và anycast Multicast FF00::/8 Không gian địa chỉ 1111 1111 Multicast 1.1.4 Các kiểu địa chỉ IPv6 Unicast: Địa chỉ unicast xác định một giao diện duy nhất. Trong mô hình định tuyến, các gói tin có địa chỉ đích là địa chỉ unicast chỉ được gửi tới một giao diện duy nhất. Địa chỉ unicast được sử dụng trong giao tiếp một - một. Multicast: Địa chỉ multicast định danh một nhóm nhiều giao diện. Gói tin có địa chỉ đích là địa chỉ multicast sẽ được gửi tới tất cả các giao diện trong nhóm được gắn địa chỉ đó. Địa chỉ multicast được sử dụng trong giao tiếp một – nhiều. Trong địa chỉ IPv6 không còn tồn tại khái niệm địa chỉ broadcast (địa chỉ quảng bá). Mọi chức năng của địa chỉ broadcast trong IPv4 được đảm nhiệm thay thế bởi địa chỉ IPv6 multicast. Ví dụ chức năng quảng bá trong một mạng của địa chỉ IPv4 được đảm nhiệm bằng một loại địa chỉ multicast IPv6 có tên gọi địa chỉ multicast mọi node phạm vi một đường kết nối (FF02::1). Anycast: Anycast là khái niệm mới trong địa chỉ IPv6. Địa chỉ anycast cũng xác định tập hợp nhiều giao diện. Tuy nhiên, trong mô hình định tuyến, gói tin có địa chỉ đích anycast chỉ được gửi tới một giao diện duy nhất trong tập hợp. Giao diện đó là giao diện gần nhất theo khái niệm của thủ tục định tuyến. 1.1.5 Các vùng địa chỉ IPv6 Địa chỉ phục vụ cho giao tiếp trên một đường kết nối (địa chỉ Link-local) Trong IPv6 các node trên cùng một đường kết nối coi nhau là các node lân cận (neighbor). Trong mô hình hoạt động của IPv6, giao tiếp giữa các node lân cận trên một đường kết nối là vô cùng quan trọng. IPV6 đã phát triển một thủ tục mới, tên gọi Neighbor Discovery (ND) là một thủ tục thiết yếu, phục vụ giao tiếp giữa các node SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 8 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 trên cùng một đường kết nối. Địa chỉ Link-local sử dụng trong các quy trình mà thủ tục ND phụ trách. Địa chỉ Link-local là loại địa chỉ phục vụ cho giao tiếp nội bộ giữa các node IPv6 trên cùng một Ethernet. IPV6 được thiết kế với tính năng "plug-and-play", tức khả năng cho phép thiết bị IPv6 tự động cấu hình địa chỉ và các tham số phục vụ cho giao tiếp bắt đầu từ trạng thái chưa có thông tin cấu hình nào. Tính năng đó có được là nhờ node IPv6 luôn có khả năng tự động cấu hình nên một dạng địa chỉ sử dụng cho giao tiếp nội bộ. Đó chinh là địa chỉ Link-local. Địa chi Link-local luôn được node IPv6 cấu hình một cách tự động khi bắt đầu hoạt động, ngay cả khi không có sự tồn tại của mọi dạng địa chỉ unicast khác. Địa chỉ này có phạm vi trên một đường kết nối (một Ethernet), phục vụ cho giao tiếp giữa các node lân cận. Sở dĩ một node IPv6 có thể tự động cấu hình địa chỉ Link-local là do node IPv6 có khả năng tự động cấu hình 64 bit định danh giao diện. Địa chỉ Link-local được tạo nên từ 64 bit định danh giao diện (interface ID) và một tiền tố (prefix) quy định sẵn cho địa chỉ Link-local là FE80::110. Khi không có router (bộ định tuyến), các node IPv6 trên một đường kết nối sẽ sử dụng địa chỉ Link-local để giao tiếp với nhau. Phạm vi của dạng địa chỉ này là trên một đường kết nối. 10 bit 1111 1110 10 54 bit 000…000 64 bit Định danh giao diện (Interface IP) Hình 1.3 Cấu trúc địa chỉ Link-local Địa chỉ Link-local bắt đầu bởi 10 bit tiền tố FE80::110, theo sau bởi 54 bit 0.64 bit còn lại là định danh giao diện (lnterface ID). Địa chỉ phục vụ cho giao tiếp phạm vi một mạng (địa chỉ site-local) Trong thời kỳ ban đầu của IPv6, dạng địa chỉ IPv6 site-local được thiết kế với mục đích sử dụng trong phạm vi một mạng, tương đương với địa chỉ dùng riêng (private) của IPv4. Tính duy nhất của dạng địa chỉ này được đảm bảo trong phạm vi một mạng dùng riêng (ví dụ một mạng văn phòng, một tổ hợp mạng văn phòng của một tổ chức). Các router biên IPv6 không chuyển tiếp gói tin có địa chỉ site-local ra khỏi phạm vi mạng riêng của tổ chức. Do vậy, một vùng địa chỉ site-local có thể được dùng trùng lặp bởi nhiều tổ chức mà không gây xung đột định tuyến IPv6 toàn cầu. SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 9 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 Địa chỉ site-local trong một mạng dùng riêng không thể được truy cập tới từ một mạng khác. Địa chỉ site-local có tiền tố FEC0::110 và có cấu trúc như trong hình sau: 10 bit 1111 1110 10 54 bit 000…000 64 bit Định danh giao diện (Interface IP) Hình 1.4 Cấu trúc địa chỉ Site-local Địa chỉ site-local bắt đầu bằng 10 bit tiền tố FEC0::110. Tiếp theo là 38 bộ 0 và 16 bit mà tổ chức có thể phân chia mạng con. Định tuyến trong phạm vi mạng của mình, 64 bit cuối là 64 bit định danh giao diện cụ thể trong một mạng con. Địa chỉ Site-local được định nghĩa trong thời kỳ đầu phát triển IPv6. Trong quá trinh sử dụng IPv6 người ta nhận thấy nhu cầu sử dụng địa chỉ dạng site-local trong tương lai phát triển của thế hệ địa chỉ IPv6 là không thực tế và không cần thiết. Do vậy, IETF đã sửa đổi RFC3513 loại bỏ đi dạng địa chỉ site-local. Địa chỉ định danh toàn cầu (địa chỉ Global Unicast) Đây là dạng địa chỉ tương đương với địa chỉ IPv4 công cộng hiện đang sử dụng cho mạng Internet toàn cầu. Tính duy nhất của dạng địa chỉ này được đảm bảo trong phạm vi toàn cầu. Chúng được định tuyến và có thể liên kết trên phạm vi toàn bộ mạng Internet. Việc phân bổ và cấp phát dạng địa chỉ này do hệ thống các tổ chức quản lý địa chỉ quốc tế đảm nhiệm. Địa chỉ tương thích (địa chỉ Compatibility) Địa chỉ IPv6 phát triển khi mạng Internet là một thế giới kết nối IPv4. Cần có những công nghệ phục vụ cho việc chuyển đổi từ địa chỉ ipv4 sang địa chỉ ipv6. Cũng như những cách thức cho phép lợi dụng cơ sở hạ tầng mạng Internet IPv4 để kết nối các mạng, hoặc các máy tính IPv6 riêng lẻ. Địa chỉ IPv6 tương thích được định nghĩa để sử dụng trong những công nghệ chuyển đổi từ địa chỉ IPv4 sang địa chỉ IPv6, bao gồm: Sử dụng trong công nghệ biên dịch giữa địa chỉ IPv4 - IPv6 (cho phép mạng IPv4 giao tiếp được mạng IPv6). Sử dụng cho một hình thức chuyển đổi được gọi là "đường hầm - tunnel" trong đó lợi dụng cơ sở hạ tầng sẵn có của mạng IPv4 để kết nối các mạng IPv6 bằng cách SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 10 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 bọc gói tin IPv6 vào trong gói tin đánh địa chỉ IPv4 để truyền đi trên mạng cơ sở hạ tầng IPv4, sử dụng cấu trúc định tuyến IPv4. Do phục vụ cho công nghệ chuyển đổi giữa giao tiếp IPv4 và IPv6, địa chỉ IPv6 tương thích được cấu hình từ địa chỉ IPv4 và có nhiều dạng tuỳ thuộc theo các công nghệ chuyển đổi khác nhau. Một số dạng hiện nay đã không còn được sử dụng nữa. Có 3 dạng địa chỉ tương thích đó là địa chỉ IPv4-compatible, địa chỉ IPv4-mapped, địa chỉ 6to4. 1.1.6 Các kiểu header, định dạng và trường trong IPv6 Hình 1.5 phần mào đầu IPv4  Phiên bản: Chỉ định phiên bản của IP.  Chiêu dài mào đầu: Chỉ định chiều dài phần mào đầu IPv4 (đơn vị đo là khối 4 byte).  Dạng dịch vụ: Chỉ định dịch vụ mong muốn khi truyền các gói tin qua bộ định tuyến.  Tổng chiều dài: Chỉ định tổng chiều dài gói tin IPv4 (cả phần mào đầu và phần dữ liệu). Kích thước 16 bit, chỉ định rằng gói tin IPv4 có thể dài tới 65,535 byte.  Định danh: Định danh gói tin, kích thước 16 bit. Định danh cho gói tin được lựa chọn bởi nguồn gửi gói tin.  Cờ: Xác định cờ cho quá trình phân mảnh, kích thước 3 bit. Có hai cờ: một xác đinh gói tin bị phân mảnh và cờ kia chỉ định xem có thêm phân mảnh khác nữa tiếp theo phân mảnh hiện thời hay không.  Chỉ định phân mảnh: Chỉ đinh vị trí của phân mảnh trong phần dữ liệu của gói tin ban đầu. Trường này có kích thước 13 bit. SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 11 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6  Thời gian sống: Chỉ định số lượng kết nối tối đa mà một gói tin IPv4 có thể đi qua trước khi bị hủy bỏ. Trường này dài 8 bit.  Thủ tục: Xác định thủ tục lớp cao hơn gói tin sẽ được chuyển tiếp. Trường này gồm 8 bit. Ví dụ một số giá trị: 6 là TCP, 17 là UDP, 1 là ICMP.  Kiểm tra mào đầu: Cung cấp thông tin kiểm tra cho phần mào đầu IPv4. Kích thước 16 bit.  Địa chỉ nguồn: Chứa địa chỉ nguồn gửi gói tin IPv4. Kích thước 32 bit.  Địa chỉ đích: Chứa địa chỉ ipv4 đích. Kích thước 32 bit.  Tuỳ chọn: Chứa một hoặc nhiều hơn tùy chọn trong IPv4. Kích thước trường này là một số nguyên lần của khối 4 byte (32 bit) 1.2 NHỮNG HẠN CHẾ CỦA IPV4 Sự cạn kiệt địa chỉ IPv4 Những thập kỷ vừa qua, do tốc độ phát triển mạnh mẽ của Internet, không gian địa chỉ IPv4 đã được sử dụng trên 60%. Những tổ chức quản lý địa chỉ quốc tế đặt mục tiêu "sử dụng hiệu quả" lên hàng đầu. Thời điểm không gian địa chỉ IPv4 cạn kiệt hiện đang là một vấn đề chưa thống nhất và gây nhiều tranh cãi. Đã có nhiều dự án dự báo thời gian còn lại của địa chỉ IPv4 căn cứ trên số liệu tiêu dùng địa chỉ IPv4 trong quá khứ. Tuy nhiên, việc gia tăng sử dụng địa chỉ IPv4 đã làm cho biểu đồ sử dụng địa chỉ IPv4 toàn cầu ngày càng dốc. Hạn chế về công nghệ và nhược điểm của IPv4 Cấu trúc định tuyến không hiệu quả. Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp vừa không phân cấp. Mỗi bộ định tuyến phải duy trì bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn. IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4, ví dụ thực hiện phân mảnh, điều này tiêu tốn CPU của router và ảnh hưởng đến hiệu quả xử lý (gây trễ, hỏng gói tin). Hạn chế về tính bảo mật và kết nối đầu cuối - đầu cuối Trong cấu trúc thiết kế của IPv4 không có cách thức bảo mật nào đi kèm. IPv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu. Kết quả là bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo mật lưu lượng truyền tải giữa các máy. Nếu áp dụng lPsec (Internet Protocol Security) là một phương thức bảo mật phổ biến tại tầng IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa các mạng, việc bảo mật lưu lượng đầu cuối - đầu cuối được sử dụng rất hạn chế. SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 12 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 Hình 1.6 Mô hình thực hiện NAT của địa chỉ IPv4 1.3 CÁC TIÊU ĐỀ MỞ RỘNG TRONG IPV6 Mào đầu cơ bản và mọi mào đầu mở rộng IPv6 đều có trường mào đầu tiếp theo (Next Header) chiều dài 8 bit. Trong mào đầu cơ bản, trường Next Header sẽ xác định gói tin có tồn tại mào đầu mở rộng hay không nếu không có mào đầu mở rộng giá trị của trường sẽ xác định phần mào đầu của tầng cao hơn (TCP hay UDP) phía trên tầng IP. Nếu có giá trị trường Next Header chỉ ra loại mào đầu mở rộng đầu tiên theo sau mào đầu cơ bản. Tiếp theo, trường Next Header của mào đầu mở rộng thứ nhất sẽ trỏ tới mào đâu mở rộng thứ hai đứng kế tiếp nó. Trường Next Header của mào đầu mở rộng cuối cùng sẽ có giá trị xác định mào đầu tầng cao hơn. Mào đầu cơ Mào đầu định Mào bản ipv6 tuyến thực đầu Mào đầu Mào đầu tiếp Mào đầu tiếp theo = theo = xác thực theo = TCP Định tuyến xác Mào tiếp TCP đầu Dữ liệu Hình 1.7 Mào đầu mở rộng của IPV6 SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 13 Đồ án tốt nghiệp Chương 1: Tổng quan về địa chỉ IPV6 Bảng 1.3 Các giá trị trường mào đầu của gói tin IPv6 Giá trị Dạng mào đầu mở rộng tương ứng 0 Từng bước (Hop-By-Hop) 43 Định tuyến (Routing) 44 Phân mảnh (Fragment) 50 Mã hoá (Encapsulating Security Playload - ESP) 51 Xác thực (Authentication Header - AH) 60 Đích (Destination) Các dạng mào đầu mở rộng của IPv6:  Từng bước: Hop - by - Hop là mào đầu mở rộng được đặt đầu tiên ngay sau mào đầu cơ bản. Mào đầu này được sử dụng để xác định những tham số nhất định tại mỗi bước trên đường truyền dẫn gói tin tử nguồn tới đích.  Đích: Mào đầu mở rộng đích được sử dụng để xác định các tham số truyền tải gói tại đích tiếp theo hoặc đích cuối cùng trên đường đi của gói tin.  Định tuyến: Mào đầu mở rộng định tuyến đảm nhiệm xác định đường dẫn định tuyến của gói tin. Nếu muốn gói tin được truyền đi theo một đường xác định, chứ không tuỳ thuộc vào việc lựa chọn đường đi của các thuật toán định tuyến.  Phân mảnh: Mào đầu mở rộng phân mảnh mang thông tin hỗ trợ cho quá trình phân mảnh và tái tạo gói tin IPv6. Mào đầu mở rộng phân mảnh được sử dụng khi nguồn IPv6 gửi đi gói tin lởn hơn giá trị MTU nhỏ nhất trong toàn bộ đường dẫn từ nguồn tới đích.  Mã hoá: lPsec (Internet Protocol Security) là phương thức mã hóa bảo mật dữ liệu tại tầng IP được sử dụng phổ biến. 1.4 GIAO THỨC ĐIỀU KHIỂN BẢN TIN ICMPV6 Trong hoạt động Internet phiên bản 6, ICMPV6 được tổ hợp với IPv6. Mọi node hỗ trợ IPv6 phải thực thi hoàn toàn ICMPV6. ICMPV6 là phiên bản được biến đổi, nâng cấp của ICMP trong IPv4. Trong phiên bản 4, ICMP chỉ bao gồm các thông điệp điều khiển, hỗ trợ hoạt động mạng. Còn các quy trình hoạt động cần thiết khác được đảm nhiệm bằng những thủ tục riêng. SVTH: Nguyễn Thị Hoa Mai – D13VT5 Trang 14
- Xem thêm -

Tài liệu liên quan