Nghiên cứu về vấn đề bảo mật IPv6

Do giá trị của trường thời gian sống Time to Live TTL thay đổi mỗi khi gói tin được truyền qua một bộ định tuyến router, số kiểm tra header cần phải được tính toán Phiên bản Phân dạng lư

MỤC LỤC

THUẬT NGỮ VIẾT TẮT iv

DANH MỤC HÌNH VẼ vii

DANH MỤC BẢNG BIỂU viii

CHƯƠNG 1: TỔNG QUAN VỀ ĐỊA CHỈ IPV6 1

1.1 ĐỊA CHỈ IPV6 1

1.2 NHỮNG HẠN CHẾ CỦA IPV4 12

1.3 CÁC TIÊU ĐỀ MỞ RỘNG TRONG IPV6 13

1.4 GIAO THỨC ĐIỀU KHIỂN BẢN TIN ICMPV6 14

1.5 ĐỊNH TUYẾN TRÊN ĐỊA CHỈ IPV6 17

1.6 KẾT LUẬN CHƯƠNG 19

CHƯƠNG 2: CÁC TÍNH NĂNG NÂNG CAO CỦA ĐỊA CHỈ IPV6 20

2 1 CÁC TÍNH NĂNG NÂNG CAO CỦA ĐỊA CHỈ IPV6 20

2.2 KĨ THUẬT MULTICAST TRONG IPV6 22

2.3 CHẤT LƯỢNG DỊCH VU QOS TRONG IPV6 25

2.4 GIAO THỨC CẤU HÌNH TỰ ĐỘNG DHCP CHO IPV6 27

2.5 TỔNG KẾT CHƯƠNG 29

CHƯƠNG 3: VẤN ĐỀ BẢO MẬT TRONG IPV6 30

3.1 CÁC MỐI ĐE DỌA ĐẾN BẢO MẬT IPV6 30

3.2 NGHIÊN CỨU CÁC VẤN ĐỀ BẢO MẬT NÂNG CAO VỚI IPV6 35

3.3 CÁC GIẢI PHÁP DỰA TRÊN IPV6 52

3.4 TRIỂN KHAI IPV6 CHO IOT 54

3.5 KẾT LUẬN CHƯƠNG 58

KẾT LUẬN 59

TÀI LIỆU THAM KHẢO 60

THUẬT NGỮ VIẾT TẮT

tính chân thực và toàn vẹn của gói tin trong quá trình truyền

tuyến có cùng hệ quản trị

IPsec Internet Protocol Security Một kiểu bảo mật trong IPv6 với hai

trường AH và ESP

Protocol

Giao thức quản lý nhóm Internet

truyền thông

Translation

Cơ chế biên dịch địa chỉ mạng

đường còn mở ngắn nhất

TTL Time to live Thời gian sống

LAN đầu cuối kết nối với nhau thông qua Internet và hoạt động như một mạng LAN

DANH MỤC HÌNH VẼ

Hình 1.1 Sự phát triển của địa chỉ IP 1

Hình 1.2 Cấu trúc gói tin IPV6 2

Hình 1.3 Cấu trúc địa chỉ Link-local 9

Hình 1.4 Cấu trúc địa chỉ Site-local 10

Hình 1.5 Phần mào đầu IPv4 11

Hình 1.6 Mô hình thực hiện NAT của địa chỉ Ipv4 13

Hình 2.1 Dạng thức của địa chỉ multicast 22

Hình 3.1 Trường hợp Firewall được đặt trước Router biên 31

Hình 3.2 Trường hợp Firewall được đặt trong Router biên 32

Hình 3.3 Trường hợp Firewall được đặt sau Router biên 32

Hình 3.4 Tạo khóa xác thực từ cặp khóa Public-Private 36

Hình 3.5 IPSec chế độ Tunnel mode 39

Hình 3.6 Cấu trúc gói tin IPv6 40

Hình 3.7 Định dạng gói tin IPv6 41

Hình 3.9 Mào đầu mở rộng của địa chỉ IPv6 42

Hình 3.10 IPSec trong chế độ Transport 44

Hình 3.11 IPSec trong chế độ Tunnel 44

Hình 3.12 Định dạng mào đầu IPsec AH 45

Hình 3.13 Hai chế độ xác thực của AH 46

Hình 3.14 Mào đầu được xác thực trong chế độ IPv6 AH Transport 47

Hình 3.15 Mào đầu được xác thực trong chế độ IPv6 AH Tunnel 47

Hình 3.16 Mô tả AH xác thực và đảm bảo tính toàn vẹn dữ liệu 48

Hình 3.17 Định dạng mào đầu IPsec ESP 49

Hình 3.19 Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel 50

Hình 3.20 Nguyên tắc hoạt động của ESP Header 51

Hình 3.21 Các thách thức chính để cung cấp IoT 52

DANH MỤC BẢNG BIỂU

Bảng 1.1 Các giá trị trường header của gói tin IPv6 4

Bảng 1.2 Các kiểu địa chỉ của IPv6 7

Bảng 1.3 Các giá trị trường mào đầu của gói tin IPv6 14

Bảng 3.1 So sánh AH và ESP 51

CHƯƠNG 1: TỔNG QUAN VỀ ĐỊA CHỈ IPV6 1.1 ĐỊA CHỈ IPV6

1.1.1 Lịch sử phát triển của địa chỉ IPv6

IPv6 là một giao thức được thiết kế để xử lý tốc độ phát triển của Internet và để đối phó với các yêu cầu đòi hỏi của các dịch vụ, di động và bảo mật end-to-end Các phần sau đây mô tả những hạn chế của IPv4, các tính năng chính của IPv6, và động lực cho việc triển khai IPv6 IPv6 hứa hẹn đạt được an ninh đầu cuối, truyền thông di động, chất lượng dịch vụ (QoS) và quản lý hệ thống đơn giản

IPv4 có khá nhiều nhược điểm, trong đó quan trọng nhất là việc không gian địa chỉ IPv4 đang cạn kiệt Điều này dẫn đến tất yếu phải ra đời một thế hệ địa chỉ mới giải quyết được những nhược điểm của IPv4, đó là IPv6 Thế hệ địa chỉ IPv6 không những giải quyết được những vấn đề của IPv4 mà còn cung cấp thêm một số ưu điểm:

- Không gian địa chỉ lớn

- Khả năng mở rộng về định tuyến

- Hỗ trợ tốt hơn truyền thông nhóm

- Hỗ trợ end to end dễ dàng hơn và loại bỏ toàn bộ công nghệ NAT

- Không cần phải phân mảnh, không cần trường kiểm tra phần đầu

Hình 1.1 Sự phát triển của địa chỉ IP

1.1.2 Tính năng của IPv6

a, Chức năng cấu hình tự động của địa chỉ IPv6

Để có thể gán địa chỉ và những thông số hoạt động cho thiết bị IPv6 khi nó kết nối vào mạng mà không cần nhân công cấu hình bằng tay, có thể sử dụng DHCPV6

Đây được gọi là dạng thức cấu hình tự động có trạng thái (stateful autoconfiguration) Bên cạnh đó, thiết bị IPv6 có khả năng tự động cấu hình địa chỉ và các thông số hoạt động mà không cần có sự hỗ trợ của máy chủ DHCP Đó là đặc điểm mới trong thế hệ

địa chỉ IPv6 được gọi là dạng thức cấu hình không trạng thái

Cấu trúc IPv6 Header

Gói tin IPv6 có hai dạng header: header cơ bản và header mở rộng (extension header) Phần header cơ bản có chiều dài cố định 40 byte, chứa những thông tin cơ bản trong xử lý gói tin IPv6, thuận tiện hơn cho việc tăng tốc xử lý gói tin Những thông tin liên quan đến dịch vụ mở rộng kèm theo được chuyển hẳn tới một phân đoạn khác

gọi là header mở rộng

Cấu trúc một gói tin IPv6:

Hình 1.2 Cấu trúc gói tin IPV6

Mặc dù trường địa chỉ nguồn và địa chỉ đích trong header IPv6 có chiều dài 128 bit, gấp 4 lần địa chỉ IPv4, song phần header của IPv6 chỉ gấp hai lần IPv4 Đó là nhờ dạng thức của header đã được đơn giản hoá trong IPv6 bằng cách bỏ bớt đi những

trường không cần thiết và ít được sử dụng

Những trường bỏ đi trong phần mào đầu IPv6:

 Tuỳ chọn: Một trong những thay đổi quan trọng là không còn tồn tại trường Option

trong header IPv6, do những thông tin liên quan đến dịch vụ kèm theo (vốn được

mô tả bằng trường Option trong header IPv4 được) đặt riêng trong phần header mở rộng, đặt ngay sau header cơ bản Vi vậy, chiều dài phần mào đầu cơ bản của IPv6

là cố định (40 byte)

 Kiểm tra header: Trong IPv4, Header Checksum là một số sử dụng để kiểm tra lỗi

trong phần header, được tính toán ra dựa trên những thông tin phần header Do giá trị của trường thời gian sống (Time to Live TTL) thay đổi mỗi khi gói tin được truyền qua một bộ định tuyến (router), số kiểm tra header cần phải được tính toán

Phiên bản Phân dạng lưu lượng Mã dòng

Chiều dài tải dữ liệu Giới hạn bước

Địa chỉ nguồn (128 bit)

Địa chỉ đích (128 bit)

Mào đầu tiếp theo

công việc này, nhờ đó giảm được độ trễ của gói tin IPv6 khi qua router Do lớp TCP phía trên lớp IP có kiểm tra lỗi thông tin nên việc thực hiện phép tính tương tự tại tầng IP là không cần thiết và dư thừa, do vậy trường kiểm tra header được loại

bỏ khỏi phần header IPv6

 Chiều dài header: Chiều dài phần header cơ bản của gói tin IPv6 cố định là 40

byte, do vậy không cần thiết có trường này

 Các trường định danh, cờ, chỉ định phân mảnh: Trong IPv4, đây là những trường

phục vụ cho việc phân mảnh gói tin Trong IPv6, thông tin về phân mảnh không bao gồm trong header cơ bản mà được chuyển hẳn sang một header mở rộng có tên gọi header phân mảnh Việc thực hiện phân mảnh do ứng dụng thực hiện ngay tại máy tính nguồn Do vậy, các thông tin hỗ trợ phân mảnh được bỏ đi khỏi phần header cơ bản là phần được xử lý tại các bộ định tuyến và được chuyển sang phần

header mở rộng, là phần được xử lý tại đầu cuối

Những trường trong header IPv6 thực hiện chức năng tương tự header IPv4

 Phiên bản - 4 bit: Cùng tên với trường trong IPv4 chỉ khác giá trị thể hiện địa chỉ

phiên bản 6

 Phân dạng lưu lượng - 8 bit: Thực hiện chức năng tương tự trường dạng dịch vụ

(Type of Service) của IPv4 Trường này được sử dụng để biểu diễn mức ưu tiên của gói tin, ví dụ gói tin nên được truyền với tốc độ nhanh hay thông thường, hướng dẫn thiết bị thông tin xử lý gói một cách tương ứng

 Chiều dài tải dữ liệu - 16 bit: Trường này thay thế cho trường tổng chiều dài (Total

Length) của địa chỉ IPv4 Tuy nhiên nó chỉ xác định chiều dài phần dữ liệu Phần

dữ liệu trong gói tin IPv6 được tính bao gồm cả header mở rộng Với chiều dài 16 bit, trường Playload Length có thể chỉ định chiều dài phần dữ liệu của gói tin IPv6 lên tới 65,535 byte

 Giới hạn bước - 8 bit: Thay thế trường thời gian sống (Time to live) của IPv4

 Header tiếp theo - 8 bit: Thay thế trường thủ tục (Protocol) Trường này chỉ định

đến header mở rộng đầu tiên của gói tin IPv6 (nếu có) đặt sau header cơ bản, hoặc chỉ định tới thủ tục lớp trên như TCP, UDP, ICMPV6 khi trong gói tin IPv6 không

có phần header mở rộng Nếu sử dụng để chỉ định thủ tục lớp trên, trường này sẽ có giá trị tương tự như trường Protocol của IPv4

 Địa chỉ nguồn: Địa chỉ nguồn chiều dài là 128 bit

 Địa chỉ đích: Địa chỉ đích chiều dài là 128 bit

Trường thêm mới của header ipv6:

 Nhãn dòng: Trường Flow Label có chiều dài 20 bit, là trường mới được thiết lập

trong IPv6 Trường này được sử dụng để chỉ định rằng gói tin thuộc một dòng nhất định giữa nguồn và đích, yêu cầu bộ định tuyến IPv6 phải có cách xử lý đặc biệt Flow Label được dùng khi muốn áp dụng chất lượng dịch vụ (Quality of Service - QOS) không mặc định

Ví dụ: QOS cho dữ liệu thời gian thực (thoại, video) Bằng cách sử dụng trường này, nơi gửi gói tin có thể xác định một chuỗi các gói tin, ví dụ gói tin của dịch vụ thoại VoiIP thành 1 dòng và yêu câu chất lượng dịch vụ cụ thể cho dòng đó Theo mặc định, flow Label được đặt giá trị 0 Có thể có nhiều dòng giữa nguồn và đích,

sẽ được xác định bởi những giá trị tách biệt của Flow Label Các giá trị trường header tiếp theo của gói tin IPV6:

Bảng 1.1 Các giá trị trường header của gói tin IPv6

Hiện nay, có sáu dạng header mở rộng tương ứng sáu dịch vụ đang được định nghĩa Đó là: từng bước (Hop-By-Hop), đích (Destination), định tuyến (Routing), phân mảnh (Fragment), xác thực (Authentication Header - AH) và mã hoá (Encapsulating Security Playload - ESP) Thứ tự các header mở rộng trong gói tin được đặt theo một quy tắc nhất định

Các dạng header mở rộng của IPv6:

 Từng bước: Hop-by-Hop là mào đầu mở rộng được đặt đầu tiên ngay sau header cơ

bản Header này được sử dụng để xác định những tham số nhất định tại mỗi bước trên đường truyền dẫn gói tin từ nguồn tới đích Do vậy sẽ được xử lý tại mọi bộ

 Đích: Header mở rộng đích được sử dụng để xác định các tham số truyền tải gói tại đích tiếp theo hoặc đích cuối cùng trên đường đi của gói tin

- Nếu trong gói tin có header mở rộng định tuyến, thì header mở rộng đích mang thông

tin tham số xử lý tại mỗi đích

- Nếu trong gói tin không có header mở rộng định tuyến, thông tin trong header mở rộng đích là tham số xử lý tại đích cuối cùng

 Định tuyến: Header mở rộng định tuyến đảm nhiệm xác định đường dẫn định tuyến của gói tin Nếu muốn gói tin được truyền đi theo một đường xác định, chứ không tuỳ thuộc vào việc lựa chọn đường đi của các thuật toán định tuyến Node IPv6 nguồn có thể sử dụng header mở rộng định tuyến để xác định đường đi, bằng cách liệt kê địa chỉ của các bộ định tuyến mà gói tin phải đi qua Các địa chỉ thuộc danh sách này sẽ dùng làm địa chỉ đích của gói tin IPv6 theo thứ tự được liệt kê và gói tin sẽ được gửi từ router này đến router khác, theo danh sách liệt kê trong header

mở rộng định tuyến

 Phân mảnh: Header mở rộng phân mảnh mang thông tin hỗ trợ cho quá trình phân mảnh và tái tạo gói tin IPv6 Header mở rộng phân mảnh được sử dụng khi nguồn IPv6 gửi đi gói tin lớn hơn giá trị MTU (Maximum Transmission Ung) nhỏ nhất trong toàn bộ đường dẫn từ nguồn tới đích Trong hoạt động của địa chỉ IPv4 mọi

bộ định tuyến trên đường dẫn cần tiến hành phân mảnh gói tin theo giá trị của MTU đặt cho một giao điện Tuy nhiên, chu trình này áp đặt một gánh nặng lên router Bởi vậy trong địa chỉ IPv6, router không thực hiện phân mảnh gói tin Việc này được thực hiện tại nguồn gửi gói tin

 Mã hoá: lPsec (Internet Protocol Security) là phương thức mã hóa bảo mật dữ liệu tại tầng IP được sử dụng phổ biến (ví dụ khi thực hiện mạng riêng ảo VPN) Trong thế hệ địa chỉ IPv4, khi có sử dụng lpsec trong bảo mật kết nối dạng đầu cuối - đầu cuối thông tin hỗ trợ bảo mật và mã hóa được đặt trong trường tuỳ chọn của header IPv4 Trong hoạt động của địa chỉ IPv6, thực thi IPsec được coi là một đặc

tính bắt buộc Tuy nhiên, lPsec có thực sự được sử dụng trong giao tiếp hay không tùy thuộc vào từng trường hợp Khi IPsec được sử dụng, gói tin IPv6 cần có các dạng header mở rộng xác thực và mã hoá Header mở rộng xác thực dùng để xác thực và bảo mật tính đồng nhất của dữ liệu Header mở rộng mã hoá dùng để xác

định những thông tin liên quan đến mã hoá dữ liệu

b, Tích hợp IPSec trên IPv6

Bảo mật IP (IPsec) là một bộ các giao thức Internet Protocol (IP) thông tin liên lạc bằng cách chứng thực người gửi và cung cấp bảo vệ toàn vẹn cộng với tùy chọn

bảo mật cho dữ liệu được truyền Điều này được thực hiện thông qua việc sử dụng hai phần đầu mở rộng: Encapsulating Security Payload (ESP) và Header xác thực (AH) Việc đàm phán, quản lý IPsec và khóa bí mật liên quan được xử lý bởi các giao thức Internet Key (IKE) Tuy nhiên, việc sử dụng nó là không cần thiết IPsec cũng được

chỉ định để đảm bảo cho các giao thức IPv6

c, Chất lượng dịch vụ (QoS) trên IPv6

QoS cung cấp các tùy chọn mạng nâng cao dựa trên chính sách để ưu tiên việc

cung cấp các thông tin

Hiện tại việc triển khai IPv4 và IPv6 sử dụng các khả năng tương tự như QoS, như dịch vụ phân biệt và các dịch vụ tích hợp Trong header IPv6 hai lĩnh vực có thể được sử dụng cho QoS, Class giao thông và các lĩnh vực Label lưu lượng The Flow Label lĩnh vực mới và lớp giao thông mở rộng lĩnh vực trong tiêu đề IPv6 cho phép hiệu quả hơn và tốt hơn sự khác biệt của các loại khác nhau của lưu lượng truy cập The Flow Label lĩnh vực mới có thể chứa một nhãn xác định hoặc ưu tiên lưu lượng gói tin nhất định chẳng hạn như tiếng nói qua IP (VoIP) hoặc hội nghị truyền hình

So sánh các vấn đề khi triển khai IPv4 và IPv6

IPv6 là một giao thức Internet mới được thiết kế nhằm đáp ứng các yêu cầu về phát triển các dịch vụ mới và mở rộng không gian địa chỉ trên mạng Internet, đồng thời khắc phục những hạn chế khác của IPv4 hiện nay không hỗ trợ tính “mở” của giao thức, dịch vụ QoS, các chức năng bảo mật Tuy nhiên hai giao thức IPv4 và IPv6 không thực sự tương thích với nhau

Mặt khác, hệ thống IPv4 đã phát triển mạnh mẽ và hiện nay đã hình thành một mạng Internet toàn cầu có quy mô hết sức rộng lớn cả về kiến trúc mạng và dịch vụ trên mạng Do vậy, trong một tương lai gần không thể chuyển đổi mạng từ IPv4 sang

IPv6 được

Để triển khai mạng IPv6 hiệu quả và thiết thực, các nhà thiết kế đã đưa ra giải pháp là triển khai mạng IPv6 trên nền mạng IPv4 Vì xuất hiện vấn đề, một máy tính

sử dụng IPv6 khi truy cập website dùng IPv4 và ngược lại

Có thể trong giai đoạn chuyển đổi, người sử dụng sẽ gặp thông báo site không tồn tại, hoặc tường lửa (firewall) cài đặt trên máy của họ không nhận diện được IPv6 nên chặn hoặc khiến quá trình truy cập vào website bị chậm lại

Tuy nhiên, thông thường các công ty triển khai IPv6 sẽ có các công cụ và phần

mềm để hỗ trợ việc giao tiếp giữa IPv4 và IPv6 trở nên thuận tiện

Phần này giới thiệu các kiểu khác nhau của địa chỉ IPv6, phạm vi và sử dụng Chi tiết hơn sẽ mô tả trong các phần sau

Bảng 1.2 Các kiểu địa chỉ của IPv6

chỉ IPv4 trong IPv6

trên mỗi giao diện mạng [RFC 2460]

anycast ( phân bổ) [RFC 4291]

Unicast toàn cục 01 - 1111 1100 0 4000::/2 - FC00

::/9

Unicast toàn cục và anycast(không phân bổ)

phương

Reversed 1111 1110 11 FEC0::/10 Phản đối, không

gian địa chỉ trước

1.1.4 Các kiểu địa chỉ IPv6

Unicast: Địa chỉ unicast xác định một giao diện duy nhất Trong mô hình định

tuyến, các gói tin có địa chỉ đích là địa chỉ unicast chỉ được gửi tới một giao diện duy nhất Địa chỉ unicast được sử dụng trong giao tiếp một - một

Multicast: Địa chỉ multicast định danh một nhóm nhiều giao diện Gói tin có địa

chỉ đích là địa chỉ multicast sẽ được gửi tới tất cả các giao diện trong nhóm được gắn địa chỉ đó Địa chỉ multicast được sử dụng trong giao tiếp một – nhiều Trong địa chỉ IPv6 không còn tồn tại khái niệm địa chỉ broadcast (địa chỉ quảng bá) Mọi chức năng của địa chỉ broadcast trong IPv4 được đảm nhiệm thay thế bởi địa chỉ IPv6 multicast

Ví dụ chức năng quảng bá trong một mạng của địa chỉ IPv4 được đảm nhiệm bằng một loại địa chỉ multicast IPv6 có tên gọi địa chỉ multicast mọi node phạm vi một đường kết nối (FF02::1)

Anycast: Anycast là khái niệm mới trong địa chỉ IPv6 Địa chỉ anycast cũng xác

định tập hợp nhiều giao diện Tuy nhiên, trong mô hình định tuyến, gói tin có địa chỉ đích anycast chỉ được gửi tới một giao diện duy nhất trong tập hợp Giao diện đó là giao diện gần nhất theo khái niệm của thủ tục định tuyến

1.1.5 Các vùng địa chỉ IPv6

Địa chỉ phục vụ cho giao tiếp trên một đường kết nối (địa chỉ Link-local)

Trong IPv6 các node trên cùng một đường kết nối coi nhau là các node lân cận (neighbor) Trong mô hình hoạt động của IPv6, giao tiếp giữa các node lân cận trên một đường kết nối là vô cùng quan trọng IPV6 đã phát triển một thủ tục mới, tên gọi Neighbor Discovery (ND) là một thủ tục thiết yếu, phục vụ giao tiếp giữa các node

trên cùng một đường kết nối Địa chỉ Link-local sử dụng trong các quy trình mà thủ tục ND phụ trách

Địa chỉ Link-local là loại địa chỉ phục vụ cho giao tiếp nội bộ giữa các node IPv6 trên cùng một Ethernet IPV6 được thiết kế với tính năng "plug-and-play", tức khả năng cho phép thiết bị IPv6 tự động cấu hình địa chỉ và các tham số phục vụ cho giao tiếp bắt đầu từ trạng thái chưa có thông tin cấu hình nào Tính năng đó có được là nhờ node IPv6 luôn có khả năng tự động cấu hình nên một dạng địa chỉ sử dụng cho giao tiếp nội bộ Đó chinh là địa chỉ Link-local

Địa chi Link-local luôn được node IPv6 cấu hình một cách tự động khi bắt đầu hoạt động, ngay cả khi không có sự tồn tại của mọi dạng địa chỉ unicast khác Địa chỉ này có phạm vi trên một đường kết nối (một Ethernet), phục vụ cho giao tiếp giữa các node lân cận Sở dĩ một node IPv6 có thể tự động cấu hình địa chỉ Link-local là do node IPv6 có khả năng tự động cấu hình 64 bit định danh giao diện

Địa chỉ Link-local được tạo nên từ 64 bit định danh giao diện (interface ID) và một tiền tố (prefix) quy định sẵn cho địa chỉ Link-local là FE80::110

Khi không có router (bộ định tuyến), các node IPv6 trên một đường kết nối sẽ sử dụng địa chỉ Link-local để giao tiếp với nhau Phạm vi của dạng địa chỉ này là trên một đường kết nối

Hình 1.3 Cấu trúc địa chỉ Link-local

Địa chỉ Link-local bắt đầu bởi 10 bit tiền tố FE80::110, theo sau bởi 54 bit 0.64 bit còn lại là định danh giao diện (lnterface ID)

Địa chỉ phục vụ cho giao tiếp phạm vi một mạng (địa chỉ site-local)

Trong thời kỳ ban đầu của IPv6, dạng địa chỉ IPv6 site-local được thiết kế với mục đích sử dụng trong phạm vi một mạng, tương đương với địa chỉ dùng riêng (private) của IPv4 Tính duy nhất của dạng địa chỉ này được đảm bảo trong phạm vi một mạng dùng riêng (ví dụ một mạng văn phòng, một tổ hợp mạng văn phòng của một tổ chức) Các router biên IPv6 không chuyển tiếp gói tin có địa chỉ site-local ra khỏi phạm vi mạng riêng của tổ chức Do vậy, một vùng địa chỉ site-local có thể được dùng trùng lặp bởi nhiều tổ chức mà không gây xung đột định tuyến IPv6 toàn cầu

1111 1110 10 000…000 Định danh giao diện

(Interface IP)

10 bit

Địa chỉ site-local trong một mạng dùng riêng không thể được truy cập tới từ một mạng khác

Địa chỉ site-local có tiền tố FEC0::110 và có cấu trúc như trong hình sau:

Hình 1.4 Cấu trúc địa chỉ Site-local

Địa chỉ site-local bắt đầu bằng 10 bit tiền tố FEC0::110 Tiếp theo là 38 bộ 0 và

16 bit mà tổ chức có thể phân chia mạng con Định tuyến trong phạm vi mạng của mình, 64 bit cuối là 64 bit định danh giao diện cụ thể trong một mạng con

Địa chỉ Site-local được định nghĩa trong thời kỳ đầu phát triển IPv6 Trong quá trinh sử dụng IPv6 người ta nhận thấy nhu cầu sử dụng địa chỉ dạng site-local trong tương lai phát triển của thế hệ địa chỉ IPv6 là không thực tế và không cần thiết Do vậy, IETF đã sửa đổi RFC3513 loại bỏ đi dạng địa chỉ site-local

Địa chỉ định danh toàn cầu (địa chỉ Global Unicast)

Đây là dạng địa chỉ tương đương với địa chỉ IPv4 công cộng hiện đang sử dụng cho mạng Internet toàn cầu Tính duy nhất của dạng địa chỉ này được đảm bảo trong phạm vi toàn cầu Chúng được định tuyến và có thể liên kết trên phạm vi toàn bộ mạng Internet Việc phân bổ và cấp phát dạng địa chỉ này do hệ thống các tổ chức quản lý địa chỉ quốc tế đảm nhiệm

Địa chỉ tương thích (địa chỉ Compatibility)

Địa chỉ IPv6 phát triển khi mạng Internet là một thế giới kết nối IPv4 Cần có những công nghệ phục vụ cho việc chuyển đổi từ địa chỉ ipv4 sang địa chỉ ipv6 Cũng như những cách thức cho phép lợi dụng cơ sở hạ tầng mạng Internet IPv4 để kết nối các mạng, hoặc các máy tính IPv6 riêng lẻ Địa chỉ IPv6 tương thích được định nghĩa

để sử dụng trong những công nghệ chuyển đổi từ địa chỉ IPv4 sang địa chỉ IPv6, bao gồm:

Sử dụng trong công nghệ biên dịch giữa địa chỉ IPv4 - IPv6 (cho phép mạng IPv4 giao tiếp được mạng IPv6)

Sử dụng cho một hình thức chuyển đổi được gọi là "đường hầm - tunnel" trong

đó lợi dụng cơ sở hạ tầng sẵn có của mạng IPv4 để kết nối các mạng IPv6 bằng cách

1111 1110 10 000…000 Định danh giao diện

(Interface IP)

10 bit

bọc gói tin IPv6 vào trong gói tin đánh địa chỉ IPv4 để truyền đi trên mạng cơ sở hạ tầng IPv4, sử dụng cấu trúc định tuyến IPv4

Do phục vụ cho công nghệ chuyển đổi giữa giao tiếp IPv4 và IPv6, địa chỉ IPv6 tương thích được cấu hình từ địa chỉ IPv4 và có nhiều dạng tuỳ thuộc theo các công nghệ chuyển đổi khác nhau Một số dạng hiện nay đã không còn được sử dụng nữa Có

3 dạng địa chỉ tương thích đó là địa chỉ IPv4-compatible, địa chỉ IPv4-mapped, địa chỉ 6to4

1.1.6 Các kiểu header, định dạng và trường trong IPv6

Hình 1.5 phần mào đầu IPv4

 Phiên bản: Chỉ định phiên bản của IP

 Chiêu dài mào đầu: Chỉ định chiều dài phần mào đầu IPv4 (đơn vị đo là khối 4

byte)

 Dạng dịch vụ: Chỉ định dịch vụ mong muốn khi truyền các gói tin qua bộ định

tuyến

 Tổng chiều dài: Chỉ định tổng chiều dài gói tin IPv4 (cả phần mào đầu và phần dữ

liệu) Kích thước 16 bit, chỉ định rằng gói tin IPv4 có thể dài tới 65,535 byte

 Định danh: Định danh gói tin, kích thước 16 bit Định danh cho gói tin được lựa

chọn bởi nguồn gửi gói tin

 Cờ: Xác định cờ cho quá trình phân mảnh, kích thước 3 bit Có hai cờ: một xác

đinh gói tin bị phân mảnh và cờ kia chỉ định xem có thêm phân mảnh khác nữa tiếp theo phân mảnh hiện thời hay không

 Chỉ định phân mảnh: Chỉ đinh vị trí của phân mảnh trong phần dữ liệu của gói tin

ban đầu Trường này có kích thước 13 bit

 Thời gian sống: Chỉ định số lượng kết nối tối đa mà một gói tin IPv4 có thể đi qua

trước khi bị hủy bỏ Trường này dài 8 bit

 Thủ tục: Xác định thủ tục lớp cao hơn gói tin sẽ được chuyển tiếp Trường này

gồm 8 bit Ví dụ một số giá trị: 6 là TCP, 17 là UDP, 1 là ICMP

 Kiểm tra mào đầu: Cung cấp thông tin kiểm tra cho phần mào đầu IPv4 Kích

thước 16 bit

 Địa chỉ nguồn: Chứa địa chỉ nguồn gửi gói tin IPv4 Kích thước 32 bit

 Địa chỉ đích: Chứa địa chỉ ipv4 đích Kích thước 32 bit

 Tuỳ chọn: Chứa một hoặc nhiều hơn tùy chọn trong IPv4 Kích thước trường này

là một số nguyên lần của khối 4 byte (32 bit)

1.2 NHỮNG HẠN CHẾ CỦA IPV4

Sự cạn kiệt địa chỉ IPv4

Những thập kỷ vừa qua, do tốc độ phát triển mạnh mẽ của Internet, không gian địa chỉ IPv4 đã được sử dụng trên 60% Những tổ chức quản lý địa chỉ quốc tế đặt mục tiêu "sử dụng hiệu quả" lên hàng đầu

Thời điểm không gian địa chỉ IPv4 cạn kiệt hiện đang là một vấn đề chưa thống nhất và gây nhiều tranh cãi Đã có nhiều dự án dự báo thời gian còn lại của địa chỉ IPv4 căn cứ trên số liệu tiêu dùng địa chỉ IPv4 trong quá khứ Tuy nhiên, việc gia tăng

sử dụng địa chỉ IPv4 đã làm cho biểu đồ sử dụng địa chỉ IPv4 toàn cầu ngày càng dốc

Hạn chế về công nghệ và nhược điểm của IPv4

Cấu trúc định tuyến không hiệu quả Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp vừa không phân cấp Mỗi bộ định tuyến phải duy trì bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4, ví dụ thực hiện phân mảnh, điều này tiêu tốn

CPU của router và ảnh hưởng đến hiệu quả xử lý (gây trễ, hỏng gói tin)

Hạn chế về tính bảo mật và kết nối đầu cuối - đầu cuối

Trong cấu trúc thiết kế của IPv4 không có cách thức bảo mật nào đi kèm IPv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu Kết quả là bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo mật lưu lượng truyền tải giữa các máy Nếu

áp dụng lPsec (Internet Protocol Security) là một phương thức bảo mật phổ biến tại tầng IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa các mạng, việc bảo mật lưu lượng đầu cuối - đầu cuối được sử dụng rất hạn chế

Hình 1.6 Mô hình thực hiện NAT của địa chỉ IPv4

1.3 CÁC TIÊU ĐỀ MỞ RỘNG TRONG IPV6

Mào đầu cơ bản và mọi mào đầu mở rộng IPv6 đều có trường mào đầu tiếp theo (Next Header) chiều dài 8 bit

Trong mào đầu cơ bản, trường Next Header sẽ xác định gói tin có tồn tại mào đầu mở rộng hay không nếu không có mào đầu mở rộng giá trị của trường sẽ xác định phần mào đầu của tầng cao hơn (TCP hay UDP) phía trên tầng IP

Nếu có giá trị trường Next Header chỉ ra loại mào đầu mở rộng đầu tiên theo sau mào đầu cơ bản Tiếp theo, trường Next Header của mào đầu mở rộng thứ nhất sẽ trỏ tới mào đâu mở rộng thứ hai đứng kế tiếp nó Trường Next Header của mào đầu mở

rộng cuối cùng sẽ có giá trị xác định mào đầu tầng cao hơn

Mào đầu cơ

Mào đầu tiếp theo = xác thực

Mào đầu xác thực

Mào đầu tiếp theo = TCP

Bảng 1.3 Các giá trị trường mào đầu của gói tin IPv6

Giá trị Dạng mào đầu mở rộng tương ứng

Các dạng mào đầu mở rộng của IPv6:

 Từng bước: Hop - by - Hop là mào đầu mở rộng được đặt đầu tiên ngay sau mào

đầu cơ bản Mào đầu này được sử dụng để xác định những tham số nhất định tại

mỗi bước trên đường truyền dẫn gói tin tử nguồn tới đích

 Đích: Mào đầu mở rộng đích được sử dụng để xác định các tham số truyền tải gói tại đích tiếp theo hoặc đích cuối cùng trên đường đi của gói tin

 Định tuyến: Mào đầu mở rộng định tuyến đảm nhiệm xác định đường dẫn định tuyến của gói tin Nếu muốn gói tin được truyền đi theo một đường xác định, chứ không tuỳ thuộc vào việc lựa chọn đường đi của các thuật toán định tuyến

 Phân mảnh: Mào đầu mở rộng phân mảnh mang thông tin hỗ trợ cho quá trình phân mảnh và tái tạo gói tin IPv6 Mào đầu mở rộng phân mảnh được sử dụng khi nguồn IPv6 gửi đi gói tin lởn hơn giá trị MTU nhỏ nhất trong toàn bộ đường dẫn từ nguồn tới đích

 Mã hoá: lPsec (Internet Protocol Security) là phương thức mã hóa bảo mật dữ liệu

tại tầng IP được sử dụng phổ biến

1.4 GIAO THỨC ĐIỀU KHIỂN BẢN TIN ICMPV6

Trong hoạt động Internet phiên bản 6, ICMPV6 được tổ hợp với IPv6 Mọi node

hỗ trợ IPv6 phải thực thi hoàn toàn ICMPV6 ICMPV6 là phiên bản được biến đổi, nâng cấp của ICMP trong IPv4 Trong phiên bản 4, ICMP chỉ bao gồm các thông điệp điều khiển, hỗ trợ hoạt động mạng Còn các quy trình hoạt động cần thiết khác được

Phiên bản địa chỉ IPv6 thực hiện quy chuẩn hóa các thông điệp phục vụ cho những hoạt động, quy trình hoạt động trong mạng nội bộ Các quy trình hoạt động, giao tiếp giữa các node IPv6 trong một mạng nội bộ bao gồm quá trình phân giải tử địa chỉ lớp 2 thành địa chỉ lớp 3 và nhiều quy trình khác được đảm nhiệm bằng thủ tục mới, toàn bộ những thông điệp sử dụng trong các quá trình này là thông điệp ICMPV6 Nếu node IPv6 tham gia vào quá trình định tuyến multicast, thì việc quản lý quan hệ thành viên nhóm multicast được đảm nhiệm bằng thủ tục MLD (Multicast Listener Discovery) Thủ tục này cũng sử dụng các thông điệp ICMPV6

Do vậy, thủ tục ICMPV6 và những thông điệp ICMPV6 đóng vai trò vô cùng quan trọng trong hoạt động của thế hệ địa chỉ IPv6 Các quy trình giao tiếp cốt yếu giữa host với host, giữa host với router IPv6 trên một đường kết nối, vốn là nền tảng cho hoạt động của node IPv6, đều dựa trên việc trao đổi các thông điệp ICMPV6

1.4.1 Tổng quan ICMPv6

Gói tin ICMPv6 bắt đầu sau mào đầu cơ bản hoặc một mào đầu mở rộng của IPv6 và được xác định bởi giá trị 58 của trường mào đầu tiếp theo trong mào đầu cơ bản hoặc mào đầu mở rộng phía trước Gói tin ICMPV6 bao gồm phần mào đầu của ICMPV6 và phần thông điệp

ICMPV6 header bao gồm ba trường: dạng 8 bit, mã 8 bit và kiểm tra 16 bit Hai trường dạng và mã trong mào đầu ICMPV6 được sử dụng để phân loại thông điệp ICMPV6

 Dạng: Giá trị bộ đầu tiên của trường dạng sẽ xác định đây là thông điệp lỗi, hay

thông điệp thông tin

 Mã: 8 bit trường mã sẽ phân dạng sâu hơn gói tin ICMPV6 định rõ đây là gói tin gì

trong từng loại thông điệp ICMPV6

 Kiểm tra: Cung cấp giá trị sử dụng để kiểm tra lỗi cho toàn bộ gói tin ICMPV6

Hình 1.8 Cấu trúc gói tin ICMPV6

Cũng như ICMPV4, ICMPV6 được sử dụng để trao đổi các thông điệp điều khiển, bao gồm những thông điệp đảm nhiệm báo cáo tình trạng hoạt động của mạng, báo cáo lỗi, hỗ trợ chẩn đoán mạng

1.4.2 Sự khác biệt giữa ICMPV6 và ICMPV4

Nhiều sự khác biệt tồn tại giữa ICMPV6 và ICMPV4 Chúng bao gồm sử dụng

ND để thay thế ARP, phát hiện PMTU động, và một số chức năng tự động quản lý duy nhất với IPv6 Đặc biệt, một số những khác biệt này là:

 Giá trị Next Header: IPv6 xác định tin nhắn ICMPv6 với giá trị NH là 58 Trong

IPv4, giá trị tương ứng giao thức kế tiếp là 1

 Neighbor Discovery (ND) thay thế ARP: ND ICMPv6 phục vụ chức năng để xác

định vị trí các vị trí bên cạnh liên kết địa phương và chức năng tương tự của ARP với IPv4

 Tăng PMTU: MTU yêu cầu các nút tối thiểu để xử lý theo IPv4 là 576 byte Trong

IPv6, tất cả các liên kết phải xử lý một kích thước gói tin ít nhất là 1280 byte

 Multicast Listener Discovery (MLD): Đây là bộ ba tin nhắn ICMPv6 tương

đương với phiên bản 2 của Internet Group Management Protocol (IGMP) cho IPv4 được sử dụng để quản lý thành viên subnet multicast Thay vì sử dụng IGMP, IPv6

sử dụng tin nhắn ICMPv6 cho các chức năng tương tự gọi là MLD MLD là giao thức cho phép nghe multicast để đăng ký cho các địa chỉ multicast họ muốn nhận được Không giống như IPv4, IPv6 không có địa chỉ phát sóng Trong IPv6, multicast được sử dụng với ICMPv6 cho các ứng dụng cơ sở hạ tầng như người hàng xóm phát hiện và tự động cấu hình trên các liên kết địa phương IPv6 địa chỉ multicast có khả năng mới như phạm vi, giới hạn lĩnh vực mạng, trong đó một địa chỉ multicast được áp dụng và nhúng vào tiền tố unicast, giới hạn phạm vi của địa chỉ phần của mạng được giải quyết bằng tiền tố đó

ICMPv6 xác định một khuôn khổ cho các thông điệp điều khiển để cung cấp chức năng xử lý lỗi và thành lập tham số Một số chức năng ICMPv6 mới hoặc khác nhau từ ICMP dưới IPv4 Ngăn xếp IPv6 có thể hoạt động mà không cần ICMPv6

1.4.3 Cấu hình địa chỉ IPv6 tự động

Thiết bị IPv4 khi kết nối vào mạng phải được cấu hình bằng tay các thông số địa chỉ, mặt nạ mạng, bộ định tuyến mặc định, máy chủ tên miền Để giảm cấu hình thủ công, máy chủ DHCP được sử dụng để có thể cấp phát địa chỉ IP và thông số cho thiết

bị IPv4 khi nó kết nối vào mạng Địa chỉ IPv6 tiến thêm một bước xa hơn khi cho phép

sự hỗ trợ của máy chủ DHCPV6 Do vậy, địa chỉ IPv6 có hai phương thức tự động cấu hình địa chỉ:

Sử dụng máy chủ DHCPV6 để cung cấp địa chỉ và thông số cho các thiết bị IPv6 Cách thức này tương tự như việc sử dụng DHCP của địa chỉ IPv4 Tuy nhiên, việc hướng dẫn thiết bị IPv6 nhận địa chỉ và thông số từ máy chủ DHCPV6 do router trên đường kết nối quảng bá thông tin, không phải thực hiện cấu hình xác định bằng tay

như IPv4 Phương thức tự động cấu hình này được gọi là "tự động cấu hình có trạng thái - stateful autoconfiguration"

Thiết bị IPv6 tự động cấu hình địa chỉ cho mình mà không cần sự hỗ trợ của máy chủ DHCPV6 Thiết bị thực hiện cấu hình IP bắt đầu từ trạng thái chưa có thông tin hỗ

trợ cấu hình, do vậy phương thức cấu hình này được gọi là "tư động cấu hình không trạng thái stateless autoconrguration"

1.5 ĐỊNH TUYẾN TRÊN ĐỊA CHỈ IPV6

Một trong những nguyên lý thiết kế của IPv6 là các trạm phải hoạt động chính xác ngay cả khi nó biết rất ít thông tin về mạng Trên thực tế các trạm không giống router, không lưu trữ bảng định tuyến và thường không có cấu hình cố định Điều đó

có nghĩa là khi khởi động Máy trạm phải tự cấu hình, biết được thông tin về các đích

mà nó trao đổi các gói tin Các thông tin này được lưu trữ trong bộ nhớ bằng cache Thông tin trên cache có khoảng thời gian tồn tại giới hạn và các thông tin hết thời gian tồn tại sẽ được loại bỏ định kỳ để giới hạn kích thước của cache

1.5.1 Tổng quan đặc điểm kỹ thuật

Để quyết định sẽ sử dụng entry nào trong bảng định tuyến để truyền gói tin thì IPv6 sử dụng các quá trình sau:

 Với mỗi entry trong một bảng định tuyến, Router sẽ so sánh các bit trong tiền tố mạng của gói tin đích với danh sách các tiền tố trong bảng định tuyến theo thứ tự entry từ trên xuống dưới Nó sẽ chọn ra các tuyến đường nào có tiền tố mạng phù hợp để xử lý tiếp

 Danh sách các tuyến đường được match sẽ được xử lý lại Tuyến có chiều dài tiền

tố lớn nhất sẽ được chọn Longest match route sẽ là tuyến đường tốt nhất cho đích Nếu nhiều entry cùng thoả mãn thì Router sẽ chọn tuyến nào có metric nhỏ nhất Nếu cả hai thông số trên đều trùng thì Router sẽ chọn để sử dụng

 Nếu không tìm thấy tuyến nào match với địa chỉ đích nó sẽ gửi gói tin đến route mặc định nếu trong bảng định tuyến có default Rroute, nếu không có router sẽ hủy

gói tin đó đi và gửi một thông báo lỗi ICMP Destination Unreachable-No Route to Destination về nguồn gửi

Với một đích bất kỳ cho trước, thì quá trình trên là kết quả của việc tìm đường theo thứ tự sau:

 Một host route match toàn bộ địa chỉ đích

 Một network route với prefix lớn nhất địa chỉ đích

Kết quả của công việc này là một tuyến đường sẽ được chọn ra từ bảng định tuyến Tuyến đường này sẽ có interface và địa chỉ của Next Hop Interface của Next-Hop sẽ được chỉ ra trong router mà router đã chọn Đối với các router ở xa thì địa chỉ Next-Hop được lưu trong trường Next-Hop Address Còn với trường hợp đích là router nối trực tiếp với nó thì địa chỉ Next-Hop là địa chỉ của router đích này và địa chỉ này không được lưu trong trường Destination Address của packet

1.5.2 Bảo mật cho các giao thức định tuyến

Giao thức định tuyến có những mối đe dọa như cập nhật trái phép cho một trong hai tuyến đường IPv4 hoặc IPv6 Khả năng bảo mật đã được thiết kế cho các giao thức định tuyến để giảm thiểu các mối đe dọa cập nhật trái phép

RIP

RIP cho IPv4 sử dụng một cơ chế toàn vẹn dựa trên MD5, điều này đã được gỡ

bỏ từ RIPng RIPng không cung cấp tính năng bảo đảm tính toàn vẹn

OSPF

Bảo mật OSPFv2 trong một môi trường dual stack sẽ bảo vệ không phải giao thức OSPFv3 cũng không phải là bảng định tuyến OSPFv3 OSPFv2 cho phép xác thực null, dựa trên mật khẩu hoặc mã hóa bằng cách sử dụng MD5 dựa trên tính toàn

tuyến Cơ chế thứ hai để giảm thiểu các mối đe dọa cho BGP là GTSM GTSM là một

cơ chế bảo mật đơn giản cho việc loại bỏ các tin nhắn giả mạo BGP dựa trên IP TTL hoặc Limit Hop

1.6 KẾT LUẬN CHƯƠNG

Chương 1 trình bày cái nhìn tổng quan về địa chỉ IPv6, các tính năng, các chức năng cấu hình tự động của địa chỉ IPv6 Bên cạnh đó còn trình bày việc tích hợp IPsec, chất lượng dịch vụ, không gian địa chỉ cũng như các kiểu địa chỉ IPv6

Ngoài ra chương 1 còn trình bày những hạn chế của IPv4 như cạn kiệt địa chỉ, hạn chế về công nghệ, hạn chế về bảo mật và các kết nối đầu cuối- đầu cuối Các tiêu

đề mở rộng và các giao thức điều khiển bản tin và cách thức định tuyến trên địa chỉ IPv6

CHƯƠNG 2: CÁC TÍNH NĂNG NÂNG CAO CỦA ĐỊA CHỈ IPV6

2 1 CÁC TÍNH NĂNG NÂNG CAO CỦA ĐỊA CHỈ IPV6

2.1.1 Kỹ thuật Multihoming

Multihoming có nghĩa là có khả năng sử dụng nhiều hơn một kết nối Internet Một máy chủ, ví dụ: có thể có nhiều hơn một kết nối mạng (ví dụ, 100baseT và WiFi), một kết nối đến một mạng LAN với nhiều hơn một bộ định tuyến Internet trên nó, hoặc kết nối với một router duy nhất có nhiều hơn một Internet kết nối Thông thường, người ta đề cập đến multihoming cho toàn bộ một trang web, có thể là một ngôi nhà, văn phòng nhỏ, hoặc vị trí khuôn viên trong một doanh nghiệp lớn

Multihoming là vô cùng hữu ích, nhưng có một tác động có tiềm năng lớn về kiến trúc mạng Internet toàn cầu Phần này mô tả các động lực cho multihoming, các vấn đề mà nó tạo ra, các yêu cầu cho một giải pháp tốt, giải pháp tiềm năng, và các vấn đề liên quan an ninh

Người dùng có động lực mạnh mẽ cho multihoming Trước hết, có nhiều hơn một kết nối Internet cung cấp độ tin cậy cao hơn và khả năng phục hồi một liên kết thất bại

Trong khi multihoming cung cấp lợi thế rõ ràng, việc sử dụng địa chỉ Internet cho hai mục đích Một mặt, các địa chỉ được sử dụng để chuyển tiếp các gói tin đến đúng vị trí Mặt khác, chúng được sử dụng để xác định một thiết bị đầu cuối, ví dụ như: một giao thức vận chuyển (địa chỉ cộng thêm số cổng TCP hoặc UDP) hoặc IPsec

an ninh liên kết (địa chỉ đích cộng với chỉ số thông số bảo mật) Đối với multihoming

để làm việc, hoặc là toàn bộ Internet có biết nhiều đường dẫn đến một trang web multihomed, hoặc các nút tại một trang web để có thể sử dụng nhiều địa chỉ liền mạch

và minh bạch

Các giải pháp Multihoming cũng cần phải đáp ứng các yêu cầu khác Họ cần phải tránh gây ra các vấn đề với sự phân mảnh, renumbering và những tên miền Họ cần phải quy mô kích thước của Internet toàn cầu và không ảnh hưởng lớn đến hiệu suất

Họ cũng cần phải làm việc với các tường lửa và lọc xâm nhập

a, Sự khác nhau giữa Multihoming IV4 và Multihoming IPv6

Bất kỳ giải pháp multihoming phải đáp ứng hai mục tiêu chính Đầu tiên là để làm cho các giao thức lớp trên Thứ hai là để tránh gây ra sự tăng trưởng bùng nổ trong các bảng định tuyến và chuyển tiếp toàn cầu

So với IPv6, giao diện IPv4 thường được giới hạn đến một địa chỉ duy nhất, cung

bốn lần, tất cả đều có hạn chế phần nào vấn đề Người sử dụng IPv4 với nhà cung cấp địa chỉ độc lập có thể đạt được multihoming hoàn toàn minh bạch với khả năng phục hồi và cân bằng tải tại các chi phí của tăng trưởng toàn cầu bảng định tuyến

b, Tổng quan về Site Multihoming SHIM6

Một số phương pháp kiến trúc multihoming IPv6 đã được xem xét

 Sử dụng cơ sở hạ tầng định tuyến toàn cầu, như được thực hiện với IPv4

 Cơ sở các giải pháp trên điện thoại di động IPv6

 Sửa đổi các giao thức trong các máy chủ để thích ứng với những thay đổi năng động của định vị

 Thiết kế thông minh, bao gồm địa chỉ viết lại, vào trang web xuất cảnh, các bộ định

 Duy trì thông tin liên lạc

 Tác động tối thiểu lên các giao thức vận tải và các ứng dụng đặc biệt

 Giải quyết các mối đe dọa bảo mật được xác định trong RFC 4218 thông qua sự kết hợp của địa chỉ dựa trên băm hoặc mã hóa tạo ra và các biện pháp bổ sung Không yêu cầu thêm khứ hồi lên phía trước để thiết lập nhà nước-shim cụ thể

 Trong trường hợp mất điện, nguồn và đích có thể phát hiện con đường thất bại trong mặt phẳng chuyển tiếp và thay đổi nguồn hoặc đích định vị trong bất kỳ các thiết lập định vị

c, Các biện pháp đảm bảo an toàn cho Multihoming

RFC 4218 trình bày tổng quan về các lỗ hổng bảo mật vốn có trong multihoming

Tóm lại, vấn đề cần quan tâm là từ chối dịch vụ, tái định tuyến các gói tin tới các điểm đến không mong muốn hoặc từ những lỗ đen, và các vấn đề multicast

Các giao thức vận chuyển kết nối như UDP đảm bảo an ninh hơn so với các giao thức vận chuyển hướng kết nối

Giao thức SHIM6 có một số biện pháp an ninh: Hash dựa trên địa chỉ (RFC 5535) cho phép chứng minh quyền sở hữu địa chỉ và ngăn chặn các cuộc tấn công chuyển hướng

 Truyền thông hai chiều là bắt buộc trước khi trả lời tạo ra bất kỳ trạng thái nào

2.2 KĨ THUẬT MULTICAST TRONG IPV6

2.2.1 Mô tả địa chỉ IPv6 Multicast

Địa chỉ multicast định danh một nhóm nhiều giao diện Gói tin có địa chỉ đích là địa chỉ multicast sẽ được gửi tới tất cả các giao diện trong nhóm được gắn địa chỉ đó Trong địa chỉ IPv6 không còn tồn tại khái niệm địa chỉ broadcast (địa chỉ quảng bá) Mọi chức năng của địa chỉ broadcast trong IPv4 được đảm nhiệm thay thế bởi địa chỉ IPv6 multicast

Địa chỉ multicast được cấu hình trong một nhóm multicast Nói cách khác, nhiều node có thể được gắn cho một nhóm multicast nhất định, và nhóm này được gắn một địa chỉ multicast Do vậy, node thực hiện truyền dữ liệu sẽ chỉ cần xác định địa chỉ multicast này, để gửi gói tin đến mọi node (chính xác hơn là đến các giao diện) trong nhóm multicast này

Địa chỉ multicast cũng có phạm vi: toàn cầu (global), tổ chức local), một site (site-local), link (link-local) và trong node (node-local

(organization-Dạng thức của địa chỉ multicast như sau:

Hình 2.1 dạng thức của địa chỉ multicast

8 bít đầu tiên trong địa chỉ multicast luôn luôn là 1111 1111 (tức là FF theo dạng thức hexadecimal) “Flag” sử dụng từ bít thứ 9 đến bít 12 và chỉ ra xem liệu đây có phải là dạng địa chỉ multicast được định nghĩa trước (well-known) Nếu có là well-known, mọi bít sẽ là 0 “Scope” chiếm từ bít thứ 13 đến bít thứ 16 Nếu Scope ID = 2, thì đó là phạm vi link-local

Group ID được sử dụng để xác định một nhóm multicast Có những group ID được định nghĩa từ trước (predefined group ID), ví dụ Group ID=1 tức là mọi node Bởi vậy, nếu địa chỉ multicast là ff02;;1 có nghĩa Scope ID=2 và Group ID=1, chỉ định mọi node trong phạm vi một link (link-scope) Điều này giống như broadcast trong địa chỉ IPv4

Địa chỉ multicast của IPv6 có nhiều ưu điểm so với địa chỉ multicast của IPv4 Thêm nữa cơ sở hạ tầng có hỗ trợ multicast có thể xây dựng dễ dàng hơn, bởi vì không như IPv4, địa chỉ multicast là bắt buộc trong thực hiện IPv6

Trong cấu trúc địa chỉ IPv6 multicast có các nhóm bit thực hiện các chức năng sau đây:

Cờ Flag 4 bit: Trường này có bốn bit “00T0”, trong đó 3 bit hiện chưa sử dụng

được đặt giá trị 0 Bit T sẽ xác định đây là dạng địa chỉ IPv6 multicast được IANA gắn vĩnh viễn, sử dụng thống nhất trong hoạt động Internet IPv6 toàn cầu, hay là dạng địa chỉ IPv6 multicast do người sử dụng tự gắn Khái niệm này cũng tương tự như khái niệm well-known port trong thủ tục TCP/IP

Nếu bit T=0, đây là địa chỉ multicast IPv6 vĩnh viễn được IANA quy định Có những dạng địa chỉ phục vụ cho những quy trình hoạt động cốt yếu của IPv6, sử dụng cho những giao tiếp khi một node cần giao tiếp với toàn bộ hoặc với nhóm các node xác định trên một đường kết nối

Định danh nhóm 32 bit: Thực hiện chức năng định danh các nhóm multicast

Trong một phạm vi, có nhiều nhóm multicast Giá trị các bộ định danh nhóm sẽ xác định các nhóm multicast Số định danh này là duy nhất

Trong địa chi IPv6 multicast, 32 bit cuối được sử dụng để xác định nhóm multicast Theo thiết kế ban đầu, định danh nhóm gồm 112 bit Với 112 bit có thể xác định 2112 nhóm Tuy nhiên, để có thể truyền đi trên mạng tới đích, dữ liệu phải chứa đồng thời thông tin địa chỉ IP (lớp mạng) và địa chỉ lớp 2 (địa chỉ MAC trong trường hợp kết nối Ethernet) tương ứng Để có được ánh xạ 1-1 từ một địa chi IFv6 multicast tới một địa chỉ Ethernet multicast MAC duy nhất, số lượng của phần định danh nhóm được khuyến nghị là 32 bit

Một số địa chỉ multicast Ipv6:

Multicast tới mọi node:

Nhóm multicast mọi node hiện nay được gắn giá trị Group ID 1

o FF01::1 - Địa chỉ multicast mọi node phạm vi node

- Giá trị Scope = 1 xác định phạm vi node

- Giá trị Group ID = 1 xác định nhóm multicast mọi node

o FF02::1 - Địa chỉ multicast mọi node phạm vi link Địa chỉ này xác định mọi node

IPv6 trong phạm vi một đường kết nối

- Giá trị Scope = 2 xác định phạm vi link

- Giá trị Group ID = 1 xác định nhóm multicast mọi node

Multicast tới mọi router:

Nhóm multicast mọi router hiện nay được gắn giá trị Group ID 2

o FF01::2 - Địa chỉ multicast mọi router phạm vi node

- Giá trị Scope = 1 xác định phạm vi node

- Giá trị Group ID = 2 xác định nhóm multicast mọi router

o FF02::2 - Địa chỉ multicast mọi router phạm vi link Địa chỉ này xác định mọi

router IPv6 trong phạm vi một đường kết nối

- Giá trị Scope = 2 xác định phạm vi link

- Giá trị Group ID = 2 xác định nhóm multicast mọi router

o FF05::2 - Địa chỉ multicast mọi router phạm vi site Địa chỉ này xác định mọi

router IPv6 trong phạm vi một site

- Giá trị Scope = 5 xác định phạm vi site

- Giá trị Group ID = 2 xác định nhóm multicast mọi router

2.2.2 Sự khác nhau giữa Muticast IPv4 và Multicast IPv6

Khác nhau về lưu lượng

 IPv4: multicast routing MIB

- Mỗi lưu lượng multicast chạy trên mỗi interface

- Lưu lượng được gửi cho 1 nhóm nào đó

- Dễ dàng theo dõi lưu lượng, thống kê báo kê trên mỗi interface

- Bản đồ lưu lượng thể hiện lưu lượng cho 1 nhóm cụ thể trên mạng

 IPv6:

- Mỗi lưu lượng chạy trên mỗi đường hầm (tunnels)

- Phải có thiết bị để thu thập lưu lượng (hiện tại chưa thấy có thiết bị hỗ trợ)

 IPv4:

- SNMP có thể giám sát MBGP thông qua các trạng thái và các bảng thu thập

- Chưa có chuẩn hóa MIB

- Sử dụng các MIB dành riêng

 IPv6:

- Không có sẵn MIB

- Vẫn chỉ đang sử dụng các công cụ tự viết mà chưa dc chuẩn hóa

2.2.3 Các khía cạnh chưa được giải quyết của IPv6 Multicast

IPsec và IKE không được thiết kế với an ninh multicast, và ba khía cạnh quan trọng chưa được giải quyết an ninh multicast có liên quan đến IPsec và quản lý chủ chốt cho IPsec IPsec cơ bản kết hợp kiến trúc và giao thức bảo vệ ESP và AH, được thiết kế chủ yếu cho unicast, mặc dù làm việc với multicast về nguyên tắc, không đầy

đủ theo quy định cho multicast, và có nhiều vấn đề tồn tại

Quản lý chủ chốt cho IPsec, được cung cấp bởi IKE, vốn là một giao thức hai bên Giao thức khác nhau để quản lý nhóm chính đã được đề xuất, nhưng một tiêu chuẩn đã thỏa thuận và triển khai rộng rãi cho IPsec Thông số kỹ thuật như giao thức PIM đề nghị sử dụng Ipsec, nhưng giải pháp này cũng không quy mô theo thời gian hay không gian và có những hạn chế khác

Bảo mật khuyến nghị cho cuộc gọi bằng cách sử dụng IPsec AH, ngay cả đối với các thông điệp unicast

2.3 CHẤT LƯỢNG DỊCH VU QOS TRONG IPV6

2.3.1 Mô tả về chất lượng dịch vụ trong IPv6

Trong hoạt động mạng, QoS là một yếu tố rất quan trọng QoS liên hệ mật thiết với các yếu tố sau như: mật độ dữ liệu, trễ, băng thông dịch vụ Tất cả chúng ảnh hưởng lớn đến việc truyền tải dữ liệu đến người sử dụng mà cụ thể là các kết nối đầu cuối- đầu cuối Phần đầu của địa chỉ IPv4 có trường "Dạng dịch vụ" 8 bits, được sử dụng để phân định mức độ ưu tiên và một số giá trị khác dành cho lưu lượng IPv4 Trong đó 3 bits dùng để xác định độ ưu tiên của gói tin (sẽ có 8 mức độ ưu tiên); 4 bits tiếp theo được gọi là ToS (Type of Service) giúp xác định dịch vụ và một số các thông

số khác như độ trễ, thông lượng, độ tin cậy; bit cuối cùng không sử dụng, luôn đặt giá

trị 0 đối với địa chỉ IPv6, trường “Phân dạng lưu lượng” với số bits nhiều hơn sẽ giúp phân định tốt hơn mức độ ưu tiên cho gói tin

Nhãn dòng là trường mới của phần đầu IPv6 Khi được sử dụng, trường này sẽ

hỗ trợ tốt hơn thực thi QoS Một nguồn IPv6 có thể sử dụng 20 bits trường “Nhãn dòng” trong phần đầu IPv6 làm số định danh để xác định gói tin gửi đi trong một dòng nhất định, yêu cầu router xử lý đặc biệt hơn Như vậy, những cải tiến trong phần đầu IPv6, cùng với những ưu điểm khác của IPv6 như: không phân mảnh, định tuyến phân cấp, đặc biệt gói tin IPv6 được thiết kế với mục đích xử lý hiệu quả tại bộ định tuyến Tất cả tạo ra khả năng hỗ trợ tốt hơn cho chất lượng dịch vụ

Thiết kế tổng thể của QoS IPv6 là tốt hơn, một số cải tiến cụ thể trong IPv6 cho phép sử dụng mạng hiệu quả hơn

2.3.2 Các khía cạnh bảo mật của QoS IPv6

Trong hoạt động Internet, vấn đề bảo mật chủ yếu được thực hiện tại tầng IP, phổ biến là bằng công nghệ IPSec IPSec thực hiện chức năng xác thực nơi gửi và mã hóa đường kết nối, do vậy đảm bảo có kết nối bảo mật IPSec có hai phương thức làm việc:

"phương thức đường hầm Tunnel mode" và "phương thức truyền tải-transport mode" Phương thức đường hầm thực hiện IPSec bằng việc thêm một phần đầu mới và lấy toàn bộ gói tin IP trước kia làm phần dữ liệu (payload) còn phương thức truyền tải áp dụng IPSec cho truyền gói tin IP bởi host, được sử dụng trong bảo mật kết nối đầu cuối-đầu cuối giữa các nút mạng

Về cấu trúc IPSec bao gồm: hai thủ tục bảo mật Authentication Phần đầu(AH)

và Encapsulating Security Payload (ESP), các cơ sở dữ liệu lưu trữ tham số và chính sách về bảo mật và các thủ tục để trao đổi khóa

Trong IPv6, thực thi IPSec được định nghĩa như là một đặc tính bắt buộc của địa chỉ IPv6 khi các thủ tục bảo mật của IPSec được đưa vào thành hai đặc tính là hai phần đầu mở rộng của địa chỉ IPv6

Đó là phần đầu “Xác thực” và phần đầu “Mã hoá” Hai phần đầu này có thể được sử dụng cùng lúc, hoặc riêng rẽ để cung cấp các mức bảo mật khác nhau cho những người sử dụng khác nhau

Những khía cạnh chưa được giải quyết của QoS IPv6

Các khía cạnh chung của việc sử dụng nhãn đã được sử dụng, nhưng chi tiết cần

để tận dụng lợi thế đó thì chưa được tìm thấy Bởi vì QoS phụ thuộc vào giao thức lớp thấp hơn, vẫn chưa rõ sự tiến bộ trên mặt trận này sẽ được thực hiện ở đâu và như thế

2.4 GIAO THỨC CẤU HÌNH TỰ ĐỘNG DHCP CHO IPV6

2.4.1 Tổng quan về DHCP của IPv6

DHCPv6 được định nghĩa trong RFC 3315, Dynamic Host Configuration Protocol cho IPv6 Nó là một giao thức khá tinh vi với nhiều loại tin nhắn, tùy chọn,

mã trạng thái, và tính giờ Nó thực hiện ba dịch vụ: Địa chỉ cấu hình: phân bổ địa chỉ

và cung cấp một tiền tố mạng và địa chỉ của router mặc định

 Cung cấp các thông tin cấu hình khác: chủ yếu địa chỉ của một máy chủ DNS

 Phân bổ tiền tố cho các bộ định tuyến

 Ngoài RFC 3315, các tiêu chuẩn khác bổ sung hoặc sửa đổi DHCPv6

 RFC 3319, Dynamic Host Configuration Protocol (DHCPv6) tùy chọn cho phần Servers Initiation Protocol (SIP), xác định một lựa chọn cho DHCPv6 khách hàng

để có được một danh sách các tên miền hoặc địa chỉ cho các máy chủ SIP

 RFC 3633, chọn tiền tố IPv6 cho phiên bản DHCP, mô tả sử dụng DHCPv6 giữa các bộ định tuyến các địa chỉ

 RFC 3646, DNS tùy chọn cấu hình, xác định các tùy chọn để cấu hình một danh sách các máy chủ tên DNS và danh sách tìm kiếm tên miền

Thiết bị IPv4 khi kết nối vào mạng phải được cấu hình bằng các thông số địa chỉ, mặt nạ mạng, bộ định tuyến mặc định, máy chủ tên miền Để giảm cấu hình thủ công, máy chủ DHCP được sử dụng để có thể cấp phát địa chỉ IP và thông số cho thiết bị IPv4 khi nó kết nối vào mạng Địa chỉ ipv6 tiến thêm một bước xa hơn khi cho phép một node IPv6 có thể tự động cấu hình địa chỉ và các tham số hoạt động mà không cần

sự hỗ trợ của máy chủ DHCPV6 Do vậy, địa chỉ IPv6 có hai phương thức tự động cấu hình địa chỉ

Sử dụng máy chủ DHCPV6 để cung cấp địa chỉ và thông số cho các thiết bị IPv6 Cách thức này tương tự như việc sử dụng DHCP của địa chỉ IPv4 Tuy nhiên, việc hướng dẫn thiết bị IPv6 nhận địa chỉ và thông số từ máy chủ DHCPV6 do router trên đường kết nối quảng bá thông tin, không phải thực hiện cấu hình xác định bằng tay

như IPv4 Phương thức tự động cấu hình này được gọi là "tự động cấu hình có trạng thái - stateful autoconfiguration"

Thiết bị ipv6 tự động cấu hình địa chỉ cho mình mà không cần sự hỗ trợ của máy chủ DHCPV6 Thiết bị thực hiện cấu hình ip bắt đầu từ trạng thái chưa có thông tin hỗ

trợ cấu hình, do vậy phương thức cấu hình này được gọi là "tư động cấu hình không trạng thái stateless autoconrguration" Giảm thiểu cấu hình thủ công là một trong