Nghiên cứu về ipv6 và đề xuất áp dụng trong cấu hình hệ thống mạng nghiệp vụ VNPT thái nguyên

bên cạnh khối TLA, những địa chỉ này được tóm tắt lại thành những khối TLA lớnhơn, khi chúng được trao đổi giữa các nhà cung cấp dịch vụ trong lõi Internet, íchlợi của loại cấu trúc địa

LỜI CẢM ƠN

Để hoàn thành được đồ án tốt nghiệp, em đã nhận được rất nhiều sự giúp đỡcủa quý thầy cô, các anh chị khóa trên, các bạn ở trường ĐH CNTT &TT và cácanh, chị, cô, chú làm việc tại VNPT Thái Nguyên Trước tiên cho em xin chânthành cảm ơn Ban giám hiệu trường ĐH CNTT &TT đã giúp đỡ và tạo điều kiệnthuận lợi cho em trong quá trình thực hiện đồ án nghiên tốt nghiệp này

Em xin bày tỏ lòng biết ơn sâu sắc về sự giúp đỡ tận tình của thầy cô trong

bộ môn Mạng và Truyền Thông, đặc biệt là thầy Ths Trần Duy Minh đã địnhhướng và giúp đỡ em rất nhiều trong quá trình thực hiện đồ án tốt nghiệp này

Em xin cảm ơn ban lãnh đạo, các anh chị, cô chú làm việc tại VNPT TháiNguyên, đã nhiệt tình giúp đỡ, hướng dẫn em trong quá trình thực tập và tạo điềukiện cho em hoàn thành đồ án tốt nghiệp này

Mặc dù đã có nhiều cố gắng, song do kiến thức bản thân còn nhiều hạn chế

và kinh nghiệm thực tế còn ít, nên trong quá trình thiết kế đồ án em khó tránhkhỏi những sai sót nhất định Vì vậy, em rất mong có được sự chỉ bảo và đónggóp ý kiến của các thầy cô và các bạn để em có thể tích lũy kiến thức và kinhnghiệm

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Nguyễn Đức Đại

LỜI CAM ĐOAN

Em xin cam đoan kết quả đạt được trong đồ án là sản phẩm của riêng cánhân em, không sao chép lại của người khác Trong toàn bộ nội dung của đồ án,những điều được trình bày là của cá nhân em hoặc là được tổng hợp từ nhiềunguồn tài liệu tham khảo Tất cả tài liệu tham khảo đều có xuất xứ rõ ràng vàđược trích dẫn hợp pháp Em xin chịu hoàn toàn trách nhiệm và chịu mọi hìnhthức kỷ luật theo quy định cho lời cam đoan của mình

Sinh viên thực hiện

Nguyễn Đức Đại

MỤC LỤC

DANH MỤC ẢNH

DANH MỤC CÁC TỪ VIẾT TẮT

AH Authentication Header Giao thức tiêu đề xác thực

DHCP Dynamic Host Configuration Protocol Giao thức cấu hình Host hoạt động

EIGRP Enhanced Interior Gateway Routing

Protocol

GRU Globally Routable Unicast Khả định tuyến toàn cầu

ICMP Internet Control Message Protocol Giao thức điều khiển thông điệp

InternetIETF Internet Engineering Task Force Lực lượng chuyên trách về kỹ thuật

liên mạngIPV6 Internet Protocol Version 6 Giao thức internet phiên bản 6IPSec Internet Protocol Security

NA Neighbor Advertisement Quảng bá của nút mạng lân cậnNAT Network Address Translation Chuyển dịch địa chỉ mạng

MAC Medium Access Control Kiểm soát truy nhập môi trường

truyền thôngNLA Next Level Aggregator

NSAP Network service Access Point Địa chỉ điểm truy nhập dịch vụ

mạng

OSPF Open Shortest Path First

RIP Routing Information Protocol Giao thức định tuyến thông tinSPI Security Parameter Index Chỉ số thông số an ninh

SLA Service Level Agreement Cam kết về dịch vụ

TLA Top Level Aggregator

TCP Transmission Control Protocol Giao thức điều khiển truyền tảiTFTP Trivial File Transfer Protocol Giao thức truyền file bình thườngTLS Transport Level Security An ninh mức truyền tải

UDP User Data Protocol Giao thức dữ liệu người dùng

LỜI NÓI ĐẦU

Sau hơn 15 năm chính thức kết nối Internet toàn cầu, Internet Việt Nam đã

có bước phát triển nhanh chóng và đóng vai trò ngày càng to lớn trong đời sống

xã hội, mang lại nhiều lợi ích cho người sử dụng, cho doanh nghiệp và góp phầnquan trọng nâng cao chất lượng cuộc sống người dân và phát triển kinh tế xã hộicủa đất nước Tuy nhiên, sự bùng nổ của Internet trong những năm gần đây đãdẫn đến nguồn tài nguyên địa chỉ Internet IPv4 được tiêu thụ một cách nhanhchóng Với tổng số khoảng hơn 4 tỷ địa chỉ IPV4, cộng đồng Internet toàn cầuđang đứng trước nguy cơ cạn kiệt địa chỉ IPV4 trong khoảng từ 2 đến 4 năm nữa(theo số liệu công bố của Trung tâm Thông tin mạng Châu Á – Thái BìnhDương)

Dựa vào tình trạng thực tế thì chuyển đổi giao thức IPV4 sang IPV6 là mộtvấn đề cần thiết cho các doanh nghiệp hiện nay nhất là các nhà cung cấp mạngnhư VNPT và VIETTEL Và em chọn đề tài nghiên cứu và triển khai IPV6 chocác doanh nghiệp làm đề tài cho đồ án tốt nghiệp của mình

Em may mắn được thực tập tại trung tâm viễn thông VNPT Thái Nguyên,

có cơ hội được khảo sát trực tiếp hệ thống mạng từ cơ sở hạ tầng, cơ sở vật chất

và các thiết bị của hệ thống Sau khi khảo sát và đánh giá hiện trạng hệ thốngmạng nghiệp vụ của VNPT Thái Nguyên, em đã đưa ra một số giải pháp cải tiếnmạng, sau đó đề xuất áp dụng IPv6 trong cấu hình hệ thống mạng trong tương lai.Đây cũng là toàn bộ nội dung đồ án tốt nghiệp của em “Nghiên cứu về IPv6 và

đề xuất áp dụng trong cấu hình hệ thống mạng nghiệp vụ VNPT Thái Nguyên” Đồ án gồm các nội dung sau:

Chương 1: Tổng quan về mạng máy tính

Chương 2: Tổng quan về địa chỉ ipv6

Chương 3: Khảo sát và đề xuất giải pháp cải tiến, áp dụng cấu hình ipv6 trong triển khai hệ thống mạng nghiệp vụ VNPT Thái Nguyên

CHƯƠNG 1 TỔNG QUAN MẠNG MÁY TÍNH

1.1 Giới thiệu mạng máy tính

Hình 1.2: Cấu trúc mạng dạng sao

Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đều đượcnối vào một đường dây truyền chính (bus) Đường truyền chính này được giớihạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết làđầu cuối để kết thúc đường truyền tại đây) Mỗi trạm được nối vào bus qua mộtđầu nối chữ T (T_connector) hoặc một bộ thu phát (transceiver)

Hình 1.3: Cấu trúc mạng dạng tuyến

Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhauthành một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi một trạm cóthể nhận và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từnggói một

thông qua các môi trường truyền tốc độ cao, ví dụ cáp đồng trục hay cáp quang.LAN thường được sử dụng trong nội bộ một cơ quan/tổ chức…, các LAN có thểkết nối với nhau thành WAN.

Hình 1.6: Mô hình mạng LAN

MAN (Metropolitan Area Network) - Kết nối các máy tính trong phạm vimột thành phố Kết nối này được thực hiện thông qua các môi trường truyềnthông tốc độ cao (50-100 Mbit/s)

Hình 1.7: Mô hình mạng MAN

WAN (Wide Area Network) - Mạng diện rộng, kết nối máy tính trong nội

bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục thông thường kếtnối này được thực hiện thông qua mạng viễn thông Các WAN có thể được kếtnối với nhau thành GAN hay tự nó đã là GAN

Hình 1.8: Mô hình mạng WAN

GAN (Global Area Network) - Kết nối các máy tính từ các châu lục khácnhau Thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệtinh

1.1.4 Phương tiện truyền dẫn

a) Cáp

Cáp xoắn đôi (Twisted pair cable)

Dùng phổ biến cho mạng LAN, có hai loại:

- STP (Shield Twised Pair): cáp xoắn đôi bọc kim

Hình 1.9: Cáp xoắn đôi STP

+ UTP (Unshield Twised Pair): cáp xoắn đôi không bọc kim

Hình 1.10: Cáp xoắn đôi UTP

- Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hai loại

là cáp dày (Thick cable) và cáp mỏng (Thin cable)

Hình 1.11: Cáp đồng trục

- Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễutốt

Hình 1.12: Cáp quang

b) Thiết bị không dây

- Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps

- Microwave: truyền dữ liệu với băng thông rộng hơn radio

- Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu

1.2 Mạng LAN và WAN

1.2.1 Giao thức và mô hình truyền thông

a) Khái niệm giao thức

Là một chuẩn của tổ chức mạng đưa ra cho phép các máy tính trên mạnggiao tiếp vơi nhau một cách thống nhất

b) Mô hình OSI

Năm 1984, tổ chức Tiêu chuẩn hóa Quốc tế - ISO (International StandardOrganization) chính thức đưa ra mô hình OSI (Open Systems Interconnection), làtập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối cácthiết bị không cùng chủng loại

Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động, thiết bị

và giao thức mạng khác nhau

Giao thức TCP/IP: nằm ở tầng giao vận (Transport) của mô hình OSI Ưu

thế chính của bộ giao thức này là khả năng liên kết hoạt động của nhiều loại máytính khác nhau Giao thức này đã trở thành tiêu chuẩn thực tế cho kết nối liênmạng cũng như kết nối Internet toàn cầu

Hình 1.14: Giao thức TCP/IP IPX/SPX: Đây là bộ giao thức sử dụng trong mạng Novell Ưu thế chính là

nhỏ, nhanh và hiệu quả trên các mạng cục bộ đồng thời hỗ trợ khả năng địnhtuyến

Hình 1.15: Giao thức IPX/SPX Giao thức ATP

Hình 1.16: Giao thức ATP

NetBEUI: Bộ giao thức thu nhỏ, nhanh và hiệu quả được cung cấp theo cácsản phẩm của hãng IBM, cũng như sự hỗ trợ của Microsoft Bất lợi chính của bộgiao thức này là không hỗ trợ định tuyến và sử dụng giới hạn ở mạng dựa vàoMicrosoft

1.2.2 Mạng LAN

a) Một số tiêu chí mạng LAN

- Phương tiện truyền dẫn

- Quy tắc và chuẩn (giao thức)

Hình 1.19: Cầu nối

Bộ chuyển mạch (Switch): có hai loại là Switch lớp 2 làm việc trên tầng

Data Link và Switch lớp 3 làm việc trên tầng Network của mô hình OSI

X series bao gồm các tiêu chuẩn OSI.

Chuẩn cáp và chuẩn giao tiếp EIA

Các tiêu chuẩn EIA dành cho giao diện nối tiếp giữa modem và máy tính

Chuyển mạch thông báo (Switching message): thông báo là một đơn vịthông tin có đối tượng và nội dung Đường đi của thông báo không cố định vàthông báo có thể chuyển đi trên nhiều đường

Chuyển mạch gói (Switching packet): packet là những gói tin được chia

ra, mỗi gói đều có phần thông tin điều khiển (header, trailer) cho biết nguồn gửi

và đích nhận Các gói tin có thể đến và đi theo những đường khác nhau, được lưutrữ rồi chuyển tiếp khi đi qua nút trung gian

Phương tiện truyền dẫn:

- Bộ điều giải (Modems)

ISDN (Intergrated Services Digital Network): là một loại mạng viễn thông

số tích hợp đa dịch vụ cho phép sử dụng cùng một lúc nhiều dịch vụ trên cùng

một đường dây điện thoại thông thường Người dùng cùng một lúc có thể truycập mạng WAN và gọi điện thoại, fax mà chỉ cần một đường dây điện thoại duynhất, thay vì 3 đường nếu dùng theo kiểu thông thường.

ATM (Asynchronous Tranfer Mode) hay Cell relay: hiện nay kỹ thuật CellRelay dựa trên phương thức truyền thông không đồng bộ (ATM) có thể cho phépthông lượng hàng trăm Mbps Đơn vị dữ liệu dùng trong ATM được gọi là tế bào(cell) Các tế bào trong ATM có độ dài cố định là 53 bytes, trong đó 5 bytes dànhcho phần chứa thông tin điều khiển (cell header) và 48 bytes chứa dữ liệu củatầng trên

X.25: được CCITT công bố lần đầu tiên vào năm 1970 X.25 cung cấp quytrình kiểm soát luồng giữa các đầu cuối đem lại chất lượng đường truyền cao cho

dù chất lượng mạng lưới đường dây truyền thông không cao X.25 được thiết kếcho cả truyền thông chuyển mạch lẫn truyền thông kiểu điểm nối điểm, đượcquan tâm và triển khai nhanh chóng trên toàn cầu

Frame Relay: công nghệ này ra đời có thể chuyển nhận các khung truyềnlớn tới 4096 byte và không cần thời gian cho việc hỏi đáp, phát hiện lỗi và sửa lỗi

ở lớp 3 (No protocol at Network layer) nên Frame Relay có khả năng chuyển tảinhanh hơn hàng chục lần so với X.25 ở cùng tốc độ Frame Relay rất thích hợpcho truyền số liệu tốc độ cao và cho kết nối LAN to LAN và cho cả âm thanh,nhưng điều kiện tiên quyết để sử dụng công nghệ Frame Relay là chất lượngmạng truyền dẫn phải cao

1.3 Cơ bản an toàn mạng

1.3.1 Các hiểm họa trên mạng

Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trên mạng

là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng.Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là: sựngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhậpkhông hợp pháp vào hệ thống

a) Các lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theoDoS (Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp, chỉ ảnhhưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; khônglàm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.

b) Các lỗ hổng loại B

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống màkhông cần thực hiện kiểm tra tính hợp lệ Đối với dạng lỗ hổng này, mức độ nguyhiểm ở mức độ trung bình Những lỗ hổng này thường có trong các ứng dụngtrên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật

c) Các lỗ hổng loại A

Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệthống bất hợp pháp Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệthống Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảomật của hệ thống Các lỗ hổng loại này thường xuất hiện ở những hệ thống quảntrị yếu kém hoặc không kiểm soát được cấu hình mạng

1.3.2 Các phương pháp tấn công trên mạng

a) Virus

Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh) và cóthể phá hoại dữ liệu Tính lây lan của Virus là khả năng tự sao chép của Virus từđối tượng bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng.Đối tượng bị nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản,macro…) và môi trường lan truyền bao gồm mạng, đường truyền và các loại bộnhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại khác nhau.Virus máy tính có nhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan,Worm, Polymorphic, Hoaxes

Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biếnhiện nay Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và táchại gây ra bởi virus là rất lớn và thật khó lường

b) Treo cứng hệ thống

Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công quanhững giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giaothức SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP Trong đó,tấn công "ngập lụt" là kiểu tấn công phổ biến.

c) Từ chối dịch vụ

Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống máychủ bị nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa Kỹ thuật nàycòn được cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS) khicác cuộc tấn công đồng loạt xuất phát từ nhiều nơi trên mạng và được hứa hẹntrước vào cùng một thời điểm nên rất khó chống đỡ

d) Lợi dụng chương trình

Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵntrong trong một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ.Phần lớn các phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợi dụng

e) Giả mạo địa chỉ IP

Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IPspoofing) cho phép hacker gửi vào một máy tính những gói dữ liệu có vẻ đi đến

từ một địa chỉ IP khác với địa chỉ của hacker nhằm che đậy dấu vết Kỹ thuật nàykết hợp với các kiểu tấn công chủ động khác như lặp lại hoặc thay đổi các thôngđiệp

1.3.3 Các phương pháp bảo mật

Xác thực (Authentication): là quá trình xử lý và giám sát người sử dụng

trong quá trình logon hay truy cập bất kỳ vào tài nguyên mạng Ta có thể xácthực bằng các phương pháp như sử dụng mật mã (password), khóa (key), dấu vântay (fingerprints),…

Điều khiển truy cập (Access Control): giới hạn quyền truy cập của người

dùng vào tài nguyên hệ thống và cho phép những ai có quyền truy cập vào

Mã hóa dữ liệu (Data Encryption): nhằm mục đích không cho người khác

đánh cắp dữ liệu Khi dữ liệu gửi đi thì có kèm theo một khóa (key), nếu ai cókhóa trùng với khóa đó mới đọc được nội dung của dữ liệu gửi tới

Chính sách (Auditing): nhằm mục đích quản lý người sử dụng trong hệ

thống như giám sát quá trình đăng nhập vào hệ thống, chỉnh sửa dữ liệu và một

số vấn đề khác

1.4 Tường lửa

1.4.1 Khái niệm cơ bản

Thuật ngữ Tường lửa(Firewall) có nguồn gốc từ một kỹ thuật thiết kế trongxây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thông tin,Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cậptrái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập khôngmong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế để bảo vệmạng tin tưởng khỏi các mạng không tin tưởng

Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từbên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra.Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắchay chỉ tiêu định trước

Hình 1.24: Tưởng lửa

1.4.2 Các kiểu firewall

Firewall dựa trên Application level gateway

Hình 1.25: Application level gateway

Cổng vòng (Circuit level gateway)

Hình 1.26: Circuit level gateway

Proxy Server Firewall

Hình 1.27: Proxy Server Firewall

CHƯƠNG 2 TỔNG QUAN VỀ ĐỊA CHỈ IPV6

2.1 Những hạn chế của địa chỉ IPv4 và sự ra đời của địa chỉ IPv6

2.1.1 Những hạn chế của địa chỉ IPv4

Sự cạn kiệt địa chỉ IPv4: theo số liệu của những tổ chức quản lý địa chỉquốc tế thì không gian địa chỉ IPv4 đã được sử dụng trên 60% Những côngnghệ góp phần giảm nhu cầu địa chỉ IP như NAT, DHCP cấp địa chỉ tạm thờiđược sử dụng rộng rãi Tuy nhiên, hiện nay nhu cầu địa chỉ tăng rất lớn donhững nguyên nhân như Internet phát triển tại những khu vực dân đông nhưTrung Quốc, Ấn Độ; những dạng dịch vụ mới đòi hỏi không gian địa chỉ IP cốđịnh…

Cấu trúc định tuyến không hiệu quả: địa chỉ IPv4 có cấu trúc định tuyếnvừa phân cấp, vừa không phân cấp Mỗi bộ định tuyến (router) phải duy trìbảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn.IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4

Ví dụ: thực hiện phân mảnh, điều này tiêu tốn CPU của router và ảnh hưởng đến hiệu quả xử lý (gây trễ, hỏng gói tin ).

Những hạn chế về tính bảo mật và kết nối đầu cuối – đầu cuối: khôngcung cấp phương tiện mã hóa dữ liệu, chủ yếu sử dụng bảo mật ở mức ứngdụng Nếu áp dụng IPSec (Internet Protocol Security) là một phương thức bảomật phổ biến tại tầng IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữacác mạng, việc bảo mật lưu lượng đầu cuối – đầu cuối được sử dụng rất hạnchế Mặc khác, để giảm nhu cầu sử dụng địa chỉ, hoạt động mạng IPv4 sử dụngphổ biến công nghệ biên dịch NAT Trong đó, máy chủ biên dịch địa chỉ canthiệp vào gói tin truyền tải và thay thế trường địa chỉ để các máy tính gắn địachỉ riêng (private) có thể kết nối vào mạng Internet Nhưng công nghệ biêndịch NAT lại luôn tồn tại những nhược điểm như:

- Khó thực hiện được kết nối điểm – điểm và gây trễ: làm khó khăn và ảnhhưởng tới nhiều dạng dịch vụ (mạng riêng ảo - VPN, dịch vụ thời gianthực) Đối với nhiều dạng dịch vụ cần xác thực cổng (port) nguồn

/đích, sử dụng NAT là không thể được Trong khi đó, các ứng dụng mớihiện nay, đặc biệt các ứng dụng khách - chủ ngày càng đòi hỏi kết nốitrực tiếp đầu cuối – đầu cuối.

- Việc gói tin không được giữ nguyên tình trạng từ nguồn tới đích, cónhững điểm trên đường truyền tải tại đó gói tin bị can thiệp, như vậy tồntại những lỗ hổng về bảo mật

Hình 2.1: Mô hình thực hiện NAT của địa chỉ IPv4

2.1.2 Nguyên nhân ra đời địa chỉ IPv6

Như đã biết, IPv4 có khá nhiều nhược điểm, trong đó quan trọng nhất làviệc không gian địa chỉ IPv4 đang cạn kiệt Điều này dẫn đến tất yếu phải ra đờimột thế hệ địa chỉ mới giải quyết được những nhược điểm của IPv4, đó là IPv6.Thế hệ địa chỉ IPv6 không những giải quyết được những vấn đề của IPv4 màcòn cung cấp thêm một số ưu điểm:

- Không gian địa chỉ lớn

- Khả năng mở rộng về định tuyến

- Hổ trợ tốt hơn truyền thông nhóm (truyền thông nhóm là một tùy chọncủa địa chỉ IPv4, tuy nhiên khả năng hổ trợ và tính khả dụng chưa cao)

- Hỗ trợ end to end dễ dàng hơn và loại bỏ hoàn toàn công nghệ NAT

- Không cần phải phân mảnh, không cần trường kiểm tra phần đầu

- Bảo mật: do IPv6 hỗ trợ IPsec, nó làm cho các nút mạng IPv6 trở nên antoàn hơn (thực ra IPsec có thể hoạt động được với cả IPv4 và IPv6)

- Tự động cấu hình: Đơn giản hơn trong việc cấu hình địa chỉ IP chocác thiết bị bằng việc sử dụng địa chỉ IPv6 IPv6 có khả năng tự động

cấu hình mà không cần máy chủ DHCP như trong mạng sử dụng địa chỉIPv4.

- Tính di động: cho phép hỗ trợ các nút mạng sử dụng địa chỉ IP diđộng (thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về IP diđộng Nhưng thế hệ mạng mới thì dạng thiết bị này ngày càng phát triển,đòi hỏi cấu trúc giao thức Internet phải hổ trợ tốt hơn.)

- Hoạt động: trường phần đầu IPv4 làm thay đổi kích thước của gói tin IP

và thường bị bỏ đi không tính đến Do các bộ đính tuyến thường chuyểnhướng hoặc từ chối các gói khi nó bận Đây chính là lý do ta khôngtriển khai IPsec trên nền IPv4 Các bộ định tuyến IPv6 hoạt động khácdựa trên cách xử lý khác đối với địa chỉ IP và các tuyến Gói tin IPv6 cóhai dạng phần đầu: phần đầu cơ bản (basic phần đầu) và phần đầu mởrộng (extension phần đầu) Phần đầu cơ bản có chiều dài cố định 40bytes, chứa những thông tin cơ bản trong xử lý gói tin IPv6, thuận tiệnhơn cho việc tăng tốc xử lý gói tin Những thông tin liên quan đến dịch

vụ mở rộng kèm theo được chuyển hẳn tới một phân đoạn khác gọi làphần đầu mở rộng

- Chi phí : giảm giá thành về công tác quản lý, tăng độ an ninh, hoạtđộng tốt hơn, cần ít tiền hơn để đăng ký địa chỉ IP Các chi phí này sẽcân bằng chi phí cho việc chuyển từ địa chỉ IPv4 sang địa chỉ IPv6

Hình 2.2: Sự phát triển của địa chỉ IP 2.2 Giới thiệu về địa chỉ IPv6

Trong IPv6 giao thức Internet được cải tiến một cách rộng lớn để thích nghiđược sự phát triển không biết trước được của Internet Định dạng và độ dài củanhững địa chỉ IP cũng được thay đổi với những gói định dạng Những giao thứcliên quan, như ICMP cũng đựơc cải tiến Những giao thức khác trong tầng mạngnhư ARP, RARP, IGMP đã hoặc bị xoá hoặc có trong giao thức ICMPv6 Nhữnggiao thức tìm đường như RIP, OSPF cũng được cải tiến khả năng thích nghi vớinhững thay đổi này Những chuyên gia truyền thông dự đoán là IPv6 và nhữnggiao thức liên quan với nó sẽ nhanh chóng thay thế phiên bản IP hiện thời

2.2.1 Cấu trúc địa chỉ IPv6

Địa chỉ thế hệ mới của internet là IPV6 được nhóm chuyên trách về kỹ thuậtIETF của hiệp hội INTERNET đề xuất thực hiện kế thừa trên cấu trúc và tổ chứccủa địa chỉ IPV4 Địa chỉ IPv4 có cấu trúc 32 bit, trên lý thuyết có thể cung cấpkhông gian 232 = 4.294.967.296 địa chỉ Đối với IPv6, địa chỉ IPv6 có cấu trúc

128 bit, dài gấp 4 lần so với cấu trúc của địa chỉ IPv4 Trên lý thuyết, địa chỉ IPv6

mở ra không gian 2128 = 340,282,366,920,938,463,463,374,607,431,768,211,45 6

địa chỉ Số địa chỉ này nếu trãi đều trên diện tích 511,263 triệu m2 của quả đất,mỗi m2 mặt đất sẽ được cấp 665570´1018 địa chỉ.

Đây là một không gian địa chỉ cực kỳ lớn, với mục đích không chỉ choInternet mà còn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điềukhiển và thậm chí còn dành cho từng vật dụng trong gia đình Người ta nói rằngtừng chiếc máyđiều hòa, tủ lạnh… trong gia đình đều có thể mang một địa chỉIPv6 và chủ nhân củanó có thể kết nối, ra lệnh từ xa Với nhu cầu hiện tại, chỉ cókhoảng 15% không gian địa chỉ IPv6 được sử dụng, số còn lại dành để dự phòngtrong tương lai

2.2.2 Sơ lược đặc điểm của IPv6

Khi phát triển phiên bản mới, IPv6 hoàn toàn dựa trên nền tảng IPv4 Nghĩa

là tất cả những chức năng của IPv4 đều được tích hợp vào IPv6 Tuy nhiên, IPv6cũng có một vài đặc điểm khác biệt

a) Tăng kích thước của tầm địa chỉ

IPv6 sử dụng 128 bit địa chỉ trong khi IPv4 chỉ sử dụng 32 bit; nghĩa là IPv6

có tới 2128 địa chỉ khác nhau; 3 bit đầu luôn là 001 được dành cho các địa chỉ khảđịnh tuyến toàn cầu (Globally Routable Unicast –GRU) Nghĩa là còn lại 2125 địachỉ Một con số khổng lồ Điều đó có nghĩa là địa chỉ IPv6 sẽ chứa 1028 tầm địachỉ IPv4

b) Tăng sự phân cấp địa chỉ

IPv6 chia địa chỉ thành một tập hợp các tầm xác định hay boundary: 3 bitđầu cho phép biết được địa chỉ có thuộc địa chỉ khả năng định tuyến toàn cầu(GRU) hay không, giúp các thiết bị định tuyến có thể xử lý nhanh hơn Top LevelAggregator (TLA) ID được sử dụng vì 2 mục đích: thứ nhất, nó được sử dụng đểchỉ định một khối địa chỉ lớn mà từ đó các khối địa chỉ nhỏ hơn được tạo ra đểcung cấp sự kết nối cho những địa chỉ nào muốn truy cập vào Internet; thứ hai, nóđược sử dụng để phân biệt một đường (Route) đến từ đâu Nếu các khối địa chỉlớn được cấp phát cho các nhà cung cấp dịch vụ và sau đó được cấp phát chokhách hàng thì sẽ dễ dàng nhận ra các mạng chuyển tiếp mà đường đó đã đi quacũng như mạng mà từ đó Route xuất phát Với IPv6, việc tìm ra nguồn của 1

bên cạnh khối TLA, những địa chỉ này được tóm tắt lại thành những khối TLA lớnhơn, khi chúng được trao đổi giữa các nhà cung cấp dịch vụ trong lõi Internet, íchlợi của loại cấu trúc địa chỉ này là: Thứ nhất, sự ổn định về định tuyến, nếu chúng

ta có 1 NLA và muốn cung cấp dịch vụ cho các khách hàng, ta sẽ cố cung cấpdịch vụ đầy đủ nhất, tốt nhất Thứ hai, chúng ta cũng muốn cho phép các kháchhàng nhận được đầy đủ bảng định tuyến nếu họ muốn, để tạo việc định tuyến theochính sách, cân bằng tải Để thực hiện việc này chúng ta phải mang tất cả cácthông tin về đường đi trong Backbone để có thể chuyển cho họ

c) Đơn giản hóa việc đặt địa chỉ Host

Để đơn giản cho việc cấu hình các máy trạm, IPV6 hổ trợ cả việc tự cấu hìnhđịa chỉ statefull như khả năng cấu hình server DHCP và tự cấu hình địa chỉstateless (không có server DHCP) Với sự cấu hình địa chỉ dạng stateless, các máytrạm trong liên kết tự động cấu hình chúng với địa chỉ IPV6 của liên kết (địa chỉcục bộ liên kết) và với địa chỉ rút ra từ tiền tố được quảng bá với router cục bộ.thậm chỉ nếu không có router, các máy trạm trên cùng một liên kết có thế cấu hìnhchúng với các địa chỉ cục bộ liên kết và giao tiếp với nhau mà không phải thiết lậpthủ công

IPv6 sử dụng 64 bit sau cho địa chỉ Host, trong 64 bit đó có cả 48 bit là địachỉ MAC của máy, do đó, phải đệm vào đó một số bit đã được định nghĩa trước

mà các thiết bị định tuyến sẽ biết được những bit này trên subnet Ngày nay, ta sửdụng chuỗi 0xFF và 0xFE (:FF:FE: trong IPv6) để đệm vào địa chỉ MAC Bằngcách này, mọi Host sẽ có một Host ID duy nhất trong mạng Sau này nếu đã sửdụng hết 48 bit MAC thì có thể sẽ sử dụng luôn 64 bit mà không cần đệm

d) Header hợp lý

Header của IPv6 đơn giản và hợp lý hơn IPv4 IPv6 chỉ có 6 trường và 2 địachỉ, trong khi IPv4 chứa 10 trường và 2 địa chỉ IPv6 Header có dạng:

Hình 2.3: Định dạng IPv4 Header và IPv6 Header

IPv6 cung cấp các đơn giản hóa sau:

- Định dạng được đơn giản hóa: IPv6 Header có kích thước cố định 40 octetvới ít trường hơn IPv4 nên giảm được thời gian xử lý Header, tăng độ linhhoạt

- Không có Header checksum: Trường checksum của IPv4 được bỏ đi vìcác liên kết ngày nay nhanh hơn và có độ tin cậy cao hơn vì vậy chỉ cầncác Host tính checksum còn Router thì khỏi cần

- Không có sự phân đoạn theo từng hop: Trong IPv4, khi các packet quá lớnthì Router có thể phân đoạn nó Tuy nhiên, việc này sẽ làm tăng themOverhead cho packet Trong IPv6 chỉ có Host nguồn mới có thể phân đoạnmột packet theo các giá trị thích hợp dựa vào một MTU path mà nó tìmđược Do đó, để hỗ trợ Host thì IPv6 chứa một hàm giúp tìm ra MTU từnguồn đến đích

e) Bảo mật

IPv6 tích hợp tính bảo mật vào trong kiến trúc của mình bằng cách giới thiệu

2 Header mở rộng tùy chọn: Authentication Header (AH) và Encrypted SecurityPayload (ESP) Header Hai Header này có thể được sử dụng chung hay riêng để

hỗ trợ nhiều chức năng bảo mật

AH quan trọng nhất trong Header này là trường Integriry Check Value(ICU) ICU được tính bởi nguồn và được tính lại bởi đích để xác minh Quá trìnhnày cung cấp việc xác minh tính toàn vẹn và xác minh nguồn gốc của dữ liệu AHcũng chứa cả một số thứ tự để nhận ra một tấn công bằng các packet replay giúpngăn các gói tin được nhân bản - ESP Header: ESP Header chứa một trường :

như thế nào ESP Header có thể được sử dụng khi tunneling, trong tunnelling thì

cả Header và payload gốc sẽ được mã hóa và bỏ vào một ESP Header bọc ngoài,khi đến gần đích thì các gateway bảo mật sẽ bỏ Header bọc ngoài ra và giải mã đểtìm ra Header và payload gốc

f) Hiệu suất

Giảm được thời gian xử lý Header, giảm Overhead vì chuyển dịch địa chỉ: vìtrong IPv4 có sử dụng private address để tránh hết địa chỉ, Do đó, xuất hiện kỹthuật NAT để dịch địa chỉ, nên tăng Overhead cho gói tin Trong IPv6 do khôngthiếu địa chỉ nên không cần private address, nên không cần dịch địa chỉ

Giảm được thời gian xử lý định tuyến: nhiều khối địa chỉ IPv4 được phânphát cho các user nhưng lại không tóm tắt được, nên phải cần các entry trong bảngđịnh tuyến làm tăng kích thước của bảng định tuyến và thêm Overhead cho quátrình định tuyến Ngược lại, các địa chỉ IPv6 được phân phát qua các ISP theo mộtkiểu phân cấp địa chỉ giúp giảm được Overhead

Tăng độ ổn định cho các đường: trong IPv4, hiện tượng route flappingthường xảy ra, trong IPv6, một ISP có thể tóm tắt các route của nhiều mạng thànhmột mạng đơn, chỉ quản lý mạng đơn đó và cho phép hiện tượng flapping chỉ ảnhhưởng đến nội bộ của mạng bị flapping

Giảm Broadcast: trong IPv4 sử dụng nhiều Broadcast như ARP, trong khiIPv6 sử dụng Neighbor Discovery Protocol để thực hiện chức năng tương tự trongquá trình tự cấu hình mà không cần sử dụng Broadcast

Multicast có giới hạn: trong IPv6, một địa chỉ Multicast có chứa một trườngscope có thể hạn chế các gói tin Multicast trong các Node, trong các link, haytrong một tổ chức

Mặt khác, những người thiết kế IPv6 đã dự đoán trước những khả năng có thểphải sửa đổi 1 vài điểm như cấu trúc các loại địa chỉ, mở rộng 1 số loại địa chỉ …trong tương lai Điều này là hoàn toàn đúng đắn đối với 1 giao thức đang tronggiai đoạn xây dựng và hoàn thiện.

Phân loại địa chỉ IPv6 không phải chỉ để cung cấp đầy đủ các dạng khuônmẫu và dạng tiền tố của các loại địa chỉ khác nhau Việc phân loại địa chỉ theo cácdạng tiền tố 1 mặt cho phép các Host nhận dạng ra các loại địa chỉ có dạng tiền tốFE80::/16 Host sẽ nhận dạng đó là địa chỉ link-local chỉ để kết nối các Host trongcùng 1 mạng, hoặc với địa chỉ có dạng tiền tố 3FEE::/16 sẽ hiểu đó là địa chỉ củamạng 6Bone cung cấp Mặt khác, với định dạng các địa chỉ theo tiền tố cũng chophép đơn giản trong các bảng định tuyến vì khi đó các đầu vào của các bảngRouter sẽ là những tiền tố đơn giản, chiều dài của nó sẽ biến đổi từ 1 tới 128 bit.Chỉ có ngoại lệ duy nhất khi những địa chỉ có liên quan là những địa chỉ đặc biệt.Các Host và Router thực sự phải nhận ra các địa chỉ “multicast”, những địa chỉnày không thể được sử lý giống như các địa chỉ “Unicast” và “Anycast” Chúngcũng phải nhận ra các địa chỉ đặc biệt, tiêu biểu như địa chỉ “link-local” Tài liệucấu trúc cũng để dành tiền tố cho các địa chỉ địa lý cơ sở, các địa chỉ tương thíchvới NSAP ( địa chỉ điểm truy nhập dịch vụ mạng: Network service Access Point ).Bảng cấp phát địa chỉ đã chỉ ra tỷ lệ sử dụng của các loại địa chỉ trong khônggian địa chỉ Phần chiếm không gian địa chỉ lớn nhất được sử dụng cho loại địachỉ Global Unicast – dành cho các nhà cung cấp dịch vụ IPv6 – provider based( phân theo nhà cung cấp ) nhưng cũng chỉ chiếm 1% của tổng không gian địa chỉ.Tất cả còn hơn 70% không gian còn lại chưa được cấp phát, phần này có thể cungcấp những cơ hội phong phú cho việc cấp phát mới trong tương lai

2.3.2 Cấp phát địa chỉ theo nhà cung cấp

Theo cấu trúc bảng phân bổ địa chỉ ở trên, 1 trong số những loại địa chỉ IPv6quan trọng nhất là dạng địa chỉ Global Unicast, dạng địa chỉ này cho phép địnhdanh 1 giao diện trên mạng Internet ( mạng IPv6 ) có tính duy nhất trên toàn cầu

Ý nghĩa loại địa chỉ này cũng giống như địa chỉ IPv4 định danh 1 Host trongmạng Internet hiện nay Không gian của dạng địa chỉ Global Unicast là rất lớn, để

quản lý và phân bổ hợp lý các nhà thiết kế IPv6 đã đưa ra mô hình phân bổ địa chỉtheo cấp các nhà cung cấp dịch vụ Internet

Dạng địa chỉ này gồm 3 bit tiền tố 010 theo sau bởi 5 thành phần mà mỗithành phần này được quản lý bởi các nhà cung cấp dịch vụ theo các cấp độ khácnhau Tùy theo việc phân bổ địa chỉ các thành phần này có 1 chiều dài biến đổi –điều này 1 lần nữa cho thấy tính “động” trong việc cấp phát và quản lý IPv6

Hình 2.4: Cấu trúc địa chỉ IPV6 dạng Global Unicast

Thành phần đầu tiên là ID của các nhà cung cấp dịch vụ hàng đầu tiên TopLevel “registry” Cũng giống như IPv4, có 3 tổ chức quản lý việc cấp phát địa chỉIPv6 Các tổ chức này cấp phát các giá trị TLA ID đầu tiên Cụ thể như sau:

- Khu vực Bắc Mỹ là Internet NIC ( network information center ) , tổ chứcnày điều khiển bởi NSI dưới 1 hợp đồng với U.S National ScienceFoundation

- Khu vực châu Âu là NCC ( network coordinoction center ) của RIPE( hiệp hội mạng IP châu Âu )

- Khu vực châu Á và Thái Bình Dương là tổ chức APINC

- Ngoài ra còn có 1 tổ chức chung có thể cấp phát địa chỉ cho các khu vựckhác nhau là IANA

Các nhà cung cấp dịch vụ Internet IPv6 phải có 1 “provides ID” ( nhận dạngnhà cung cấp ) từ những đăng ký trên Theo kế hoạch cấp phát địa chỉ “ProviderID” là 1 số 16 bit, 8 bit tiếp theo sẽ được cho bằng 0 trong giai đoạn đầu – 8 bitnày chưa sử dụng, được để dành cho các mở rộng tương lai

Trong cấu trúc hiện tại, những điểm đăng ký chính được bổ xung bởi 1 sốlớn các điểm đăng ký vùng hoặc quốc gia, ví dụ French NIC quản lý bởi INRIAcho các mạng của Pháp Những điểm đăng ký này sẽ không được nhận dạng bằng

1 số đăng ký Thay vào đó họ sẽ nhận được phạm vi nhận dạng của các nhà cungcấp từ các cơ sở đăng ký chính

Với cấu trúc địa chỉ mới này cho phép khách hàng lớn có thể có được cácđịnh danh ngắn hơn, và điều đó sẽ cho họ khả năng thêm vào các lớp mạng mớitrong phân tầng mạng con của họ Thực tế các khách hàng lớn còn có thể đòi đượcchấp nhận như nhà cung cấp của chính họ, và lấy được ID nhà cung cấp từ cácđiểm đăng ký mà không phải lệ thuộc vào nhà cung cấp dịch vụ Internet ISP

2.4 Phương thức gán địa chỉ IPv6

2.4.1 Cách đánh địa chỉ IPv6

Địa chỉ IPv6 chiều dài 128 bit nên vấn đề nhớ địa chỉ là hết sức khó khăn.Nếu viết thông thường như địa chỉ IPv4 thì mỗi địa chỉ IPv6 chia làm 16 nhómtheo cơ số 10 Do đó các nhà thiết kế đã chọn cách viết 128 bit thành 8 nhóm theo

cơ số 16, mỗi nhóm ngăn cách nhau bởi dấu hai chấm (“:”).

Ví dụ: FE80:BA96:4367:BFFA:6784:3213:BAAC:ACDE.

Điểm thuận lợi của ký hiệu Hexa là gọn gàng và tường minh Tuy nhiên,cách viết này cũng gây không ít khó khăn cho những nhà quản trị mạng Một cáchlàm cho đơn giản hơn là quy tắc cho phép viết tắt IPv6 trong giai đoạn đầu pháttriển, các địa chỉ IPv6 chưa được sử dụng nhiều, nên phần lớn các bit trong cấutrúc địa chỉ là 0

Một cải tiến đầu tiên là cho phép bỏ qua những số 0 đứng trước mỗi thành

phần hệ 16, có thể viết 0 thay vì viết 0000 Ví dụ: với block 0008, ta có thể viết 8, với block 0800, ta có thể viết 800 Qua cách viết này, ta có thể có cách viết ngắn

gọn hơn

Ví dụ: 1080:0:0:0:8:800:200c:417A.

Ngoài ra còn có một quy tắc khác cho phép rút gọn, đó là quy ước về cáchviết dấu hai chấm đôi (Double-colon) Trong một địa chỉ, một nhóm liên tiếp các

số 0 có thể được thay thế bởi dấu hai chấm đôi Ví dụ ta có thể thay thế nhóm

0:0:0 trong Ví dụ trước bởi “::” Ta có 1080::8:800:200c:417A.

Từ địa chỉ viết tắt này, ta có thể viết lại địa chỉ chính xác ban đầu nhờ quytắc sau: căn trái các số bên trái của dấu “::” trong địa chỉ, sau đó căn phải tất cảcác số bên trái của dấu “::” và đều lấy tất cả bằng 0

Ví dụ: FEDC:BA98::7654:3210 =>FEDC:BA98:0:0:0:0:7654:3210.

không xác định được địa chỉ IPv6 chính xác.

Có một trường hợp đặc biệt cần lưu ý Đối với loại địa chỉ IPv4-embeddedIPv6 được hình thành bằng cách gán 96 bit 0 vào trước một địa chỉ IPv4 Để hạnchế khả năng nhầm lẫn trong việc chuyển đổi giữa ký hiệu chấm thập phân trongIPv4 với chấm thập lục phân trong IPv6 Các nhà thiết kế IPv6 cũng thiết lập một

cơ chế để giải quyết vấn đề này

Ví dụ: với một địa chỉ IPv4 10.0.0.1 Địa chỉ IPv4-embedded IPv6 có dạng 0:0:0:0:0:0:A00:1, ta vẫn có thể giữ nguyên chấm thập phân của phần cuối Trong trường hợp này, viết địa chỉ lại dưới dạng ::10.0.0.1

2.4.2 Phương thức gán địa chỉ IPv6

Theo đặc tả của giao thức IPv6, tất cả các loại địa chỉ IPv6 được gán cho cácgiao diện, không gán cho các Node ( khác so với IPv4 ) Một địa chỉ IPv6 loạiUnicast (gọi tắt là Unicast) được gán cho 1 giao diện đơn Vì mỗi giao diện thuộc

về 1 Node đơn do vậy, mỗi địa chỉ Unicast định danh 1 giao diện sẽ định danh 1Node

Một giao diện đơn có thể được gán nhiều địa chỉ IPv6 ( cho phép cả 3 dạngđịa chỉ đồng thời Unicast, Anycast, Multicast ) Nhưng nhất thiết 1 giao diện phảiđược gán 1 địa chỉ IPv6 dạng Unicast link-local Để thực hiện các kết nối Point -

to – Point giữa các giao diện người ta thường gán các địa chỉ dạng Unicast local cho các giao diện thực hiện kết nối Đồng thời, IPv6 còn cho phép 1 địa chỉUnicast hoặc 1 nhóm địa chỉ Unicast sử dụng để định danh 1 nhóm các giao diện.Với phương thức gán địa chỉ này, 1 nhóm giao diện đó được hiểu như là 1 giaodiện trong tầng IP

link-Theo thiết kế của IPv6, 1 Host có thể định danh bởi các địa chỉ sau:

- Một địa chỉ link-local cho mỗi giao diện gắn với Host đó

- Một địa chỉ Unicast được cung cấp bởi các nhà cung cấp dịch vụ.

- Tất cả các địa chỉ Multicast được gán trên Router

- Tất cả các địa chỉ Anycast được cấu hình trên Router

2.5 Phân loại địa chỉ IPV6

2.5.1 Địa chỉ Unicast

Unicast là một tên mới thay thế cho kiểu điểm –điểm đã được sử dụng trongđịa chỉ IPV4.sử dụng để định danh cho một giao diện trên mạng một packet cóđịac chỉ đích là dạng địa chỉ uniscast sẽ được chuyển tới giao diện được định danhbởi địa chỉ đó địa chỉ unicast còn gọi là địa chỉ đơn hướng

Thứ hai : nó được sử dụng để phân biệt một đường router đến từ đâu

Res :chưa sử dụng

NLA ID :định danh nhà cung cấp dịch vụ cấp tiếp theo TLA

SLA ID :định dạng các site của khách hàng

Interface ID : giúp xác định các interface của các host kết nối trong một site

a) Phân Loại Địa Chỉ Unicast

Được mô tả trong khuyến nghị RFC 2374 Dùng để nhận dạng cácInterface,cho phép kết nối các Node trong mạng Internet IPv6 toàn cầu Dạng địachỉ này hỗ trợ các ISP có nhu cầu kết nối toàn cầu, được xây dựng theo kiến trúcphân cấp rõ ràng, cụ thể như sau:

Hình 2.6: Cấu trúc địa chỉ UNICAST.

Trong đó:

- 001: Định dạng Prefix đối với loại địa chỉ Global Unicast

- TLA ID: (Top Level Aggregation Identification) định danh các nhàcung cấp dịch vụ cấp cao nhất trong hệ thống các nhà cung cấp dịchvụ

+ 48 bit Public Topology

+ 16 bit Site Topology

+ 64 bit giúp xác định Interface

Trong mỗi phần có thể được chia thành những cấp con như sau:

Hình 2.7: Khả năng phân cấp của địa chỉ Global-Unicast

Theo cách phân cấp này, TLA ID có thể phân biệt 213 = 8192 các TLA khácnhau Để có một TLA ID, phải yêu cầu qua các tổ chức quốc tế Đối với một ISP(Ví dụ như VDC) trong mô hình phân cấp này có vai trò là một NLA và NLA IDcủa VDC phải được cấp thông qua tổ chức TLA quản lý NLA của VDC Hiệnnay có một số phương thức xin cấp NLA ID như sau:

- Xin cấp thông qua 6BONE Community: khi đó TLA ID của tổ chứcnày là 3ffe::/16 6BONE là một mạng thử nghiệm IPv6 trên toàn cầu.Các ISP sau khi thỏa mãn một số yêu cầu của tổ chức này sẽ được cấpphát NLA ID theo yêu cầu của ISP này

- Xin cấp thông qua International Regional Internet Registry (RIP)

- Giả lập địa chỉ IPv6 từ IPv4: phương pháp này thuận tiện cho việc kếtnối IPv6 từ địa chỉ IPv4 Địa chỉ Global Unicast trong trường hợp nàyTLA ID có Prefix 2002::/16; 32 bit cuối cùng chính là địa chỉ IPv4 của

Host Đối với mỗi tổ chức TLA, sau khi có TLA ID có thể cấp phátđến các tổ chức cấp dưới Với mỗi TLA cho phép tiếp tục phân cấp,cấp phát cho 224 các tổ chức cấp dưới khác nhau Đối với cấu trúcNLA ID cũng được phân ra thành các phần nhỏ, sử dụng n bit trong số

24 bit NLA để làm định danh cho tổ chức đó 24–n bit còn lại cũng cóthể phân cấp tiếp hoặc để cấp cho các Host trong mạng Trong mỗiNLA, SLA ID cũng có thể phân cấp theo quy tắc tương tự như NLA

ID cung cấp cho nhiều Site khách hàng sử dụng

Một Site thuộc phạm vi một NLA khi yêu có yêu cầu cấp địa chỉ sẽ nhận đượcthông tin về TLA ID, NLA ID, SLA ID để định danh Site trong tổ chức đó vàxác định Subnet trong các mạng con

Phần còn lại trong cấu trúc địa chỉ Global Unicast là chỉ số Interface ID, được

mô tả theo chuẩn EUI-64 Tùy vào các loại Interface khác nhau sẽ có Interface

ID khác nhau Ví dụ đối với chuẩn giao tiếp Ethernet có phương thức tạoInterface ID như sau:

- 64 bit định dạng EUI-64 được xây dựng từ 48 bit MAC Address củaInterface cần gán địa chỉ

- Chèn 0xff-fe vào giữa byte thứ 3 và byte thứ 4 của địa chỉ MAC

- Đảo bit thứ 2 trong byte thứ nhất của địa chỉ MAC

Ví dụ : địa chỉ MAC của một Interface là 00-60-08-52-f9-d8

- Chèn 0xff-fe vào giữa Byte thứ 3 và byte thứ 4 ta có địa chỉ EUI-64 như sau:00-60-00-ff-fe-52-f9-d8

- Đảo bit thứ 2 trong Byte đầu tiên trong địa chỉ MAC ta được địa chỉ EUI-64như sau: 02-60-00-ff-fe-52-f9-d8

Địa chỉ trên cơ sở người cung cấp được sử dụng chung bởi 1 host bình thường như

1 địa chỉ unicast Định dạng địa chỉ được diễn tả như sau:

Hình 2.8: Định dạng địa chỉ Unicast

Những trường cho địa chỉ người dùng trên cơ sở cung cấp như sau :

Type indentifier: Trường 3 bít này định nghĩa những địa chỉ như là 1 địa chỉ trên

cơ sở người cung cấp

Registry indentifier : Trường 5 bít này trình bày chi nhánh đăng ký địa chỉ Hiện

thời thì có 3 trung tâm địa chỉ được định nghĩa:

RIPE- NCC (m• 01000): Tại Châu Âu

INTERNIC (m• 11000): Tại Bắc Mỹ

APNIC (m• 10100): Tại Châu á - Thái Bình Dương

Provider indentifier: Trường độ dài tuỳ biến này xác nhận nhà cung cấp

(provider) cho truy cập Internet 16 bit độ dài là khuyến cáo đối với trường này

Subscriber indentifier: Khi một tổ chức đặt mua Internet dài hạn thông qua 1 nhà

cung cấp, nó được cấp phát 1 thẻ nhận dạng người đặt mua (Subscriberindentification) 24 bít độ dài là khuyến cáo đối với trường này

Subnet indentifier: Mỗi subscriber có thể có nhiều subnetwork khác nhau, và

mỗi network có thể có nhiều chứng thực Chứng thực Chứng -thực subnet địnhnghĩa một network cụ thể dưới khu vực của subscriber 32 bít độ dài là khuyếncáo đối với trường này

None indentifier: trường cuối cùng định nghĩa nhận dạng giao điểm kết nối tới

subnet Độ dài 8 bít là khuyến cáo với trường này để làm nó thích hợp với địa chỉlink 48 bít (Vật lý) được sử dụng bởi Ethernet Trong tương lai địa chỉ link này có

lẽ sẽ giống địa chỉ vật lý node

Chúng ta có thể nghĩ về một điạ chỉ cung cấp trung tâm như 1 đẳng cấpchứng thực có một số tiền tố Như những gì thấy ở hình 2.8, mỗi tiền tố địnhnghĩa một cấp bậc của hệ thống

Hình 2.9: Chứng thực các tiền tố Địa Chỉ: Local-Unicast:

Nhiều hệ thống mạng cục bộ hiện nay sử dụng giao thức TCP/IP, các hệthống này còn được gọi là mạng Intranet IPv4 dành riêng một khoảng địa chỉriêng cho các hệ thống mạng này (Ví dụ khoảng địa chỉ 192.168.0.0 ) Đối vớiIPv6 có hai loại địa chỉ Unicast hỗ trợ các liên kết cục bộ trong cùng một mạng,

đó là địa chỉ Link-local và địa chỉ Site-local

Địa chỉ Site-local Unicast dùng để liên kết các Node trong cùng một Site màkhông xung đột với các địa chỉ Global Các gói tin mang loại địa chỉ này trong IPHeader, Router sẽ không chuyển ra mạng ngoài

Hình2.10: Cấu trúc Local -Unicast

Địa chỉ Site-local Unicast luôn bắt đầu bởi Prefix FEC0::/48 theo sau là 16bit Subnet ID, người dùng có thể dùng 16 bit này để phân cấp hệ thống mạng củamình Cuối cùng là 64 bit Interface ID dùng để phân biệt các Host trong mộtSubnet