BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN
-----------o0o-----------
ĐỒ ÁN CHUYÊN NGÀNH
Đề tài
Nghiên cứu IPv6 và thực nghiệm VPN trên IPv6
Sinh viên thực hiện:
Đỗ Đình Xuân – MSSV:09b1020121
Phạm Hải Hòa – MSSV:105102164
THÀNH PHỐ HỒ CHÍ MINH 2010
Xây Dựng VPN Trên IPv6
LỜI CẢM ƠN
Để thực hiện được đề tài này, chúng em xin chân thành cảm ơn quý thầy cô, các bạn,
gia đình đã tạo điều kiện cho chúng em học tập và nghiên cứu.
Đặc biệt chúng em cảm ơn thầy Nguyễn Văn Sinh đã nhiệt tình giúp đỡ hướng dẫn
chúng em thực hiện đồ án này.
Mặc dù chúng em đã cố gắng hết sức để nghiên cứu đề tài, nhưng do thời gian có hạn
không thể tránh khỏi những thiếu sót, rất mong sự đóng góp của quý thầy cô và các bạn,
để có những kiến thức hoàn thiện hơn.
Cuối cùng chúng em xin cảm ơn, kính chúc quý thầy cô và các bạn dồi dào sức khỏe
GVHD: Nguyễn Văn Sinh - 1 -
Xây Dựng VPN Trên IPv6
MỤC LỤC
Lời mở đầu................................................................................trang 4
Chương 1: Tổng Quan về IPv6
1. Giới thiệu về IPv6............................................................trang 7
1.1.Giới Thiệu.......................................................................trang 7
1.2.Đặc Điểm........................................................................trang 8
1.2.1 Không gian địa chỉ lớn..............................................trang 8
1.2.2 Địa chỉ phân cấp, hạ tầng định tuyến hiệu quả.....................trang 9
1.2.3 Khuôn dạng Header đơn giản hóa.............................trang 9
1.2.4 Tự cấu hình địa chỉ...................................................trang 9
1.2.5 Khả năng sát thực và bảo vệ an ninh.......................trang 9
1.2.6 Hỗ trợ tốt hơn về QoS.............................................trang 9
1.2.7 Hỗ trợ tốt hơn về tính năng di động.........................trang 9
1.2.8 Khả năng mở rộng...................................................trang 10
2. Các cấu trúc địa chỉ IPv6................................................trang 10
2.1 .Địa chỉ IPv6..................................................................trang 10
2.2 .Không gian địa chỉ........................................................trang 12
2.3 .Cấp phát địa chỉ............................................................trang 14
2.4 .Định dạng gói tin..........................................................trang 21
2.5 .Vùng Header mở rộng.....................................................trang 28
3. Sự chuyển tiếp từ IPv4 sang IPv6......................................trang 39
3.1 .Đặt vấn đề.......................................................................trang 39
3.2 .Các phương thức chuyển đổi............................................trang 41
3.2.1 chồng giao thức.........................................................trang 41
3.2.2 Đường hầm ipv6 qua ipv4.....................................trang 42
GVHD: Nguyễn Văn Sinh - 2 -
Xây Dựng VPN Trên IPv6
3.2.3 6 over 4.......................................................................trang 45
3.2.4 6 to 4........................................................................trang 48
3.3.Mô giới đường hầm.......................................................trang 50
3.4.Dịch địa chỉ - dịch giao thức.............................................trang 52
3.5.Một số cơ chế khác..........................................................trang 54
Chương 2: Tổng quan về VPN................................................trang 62
1. Giới Thiệu về VPN...............................................................trang 62
1.1.Giới thiệu.............................................................................trang 62
1.2.Một Số Khái Niệm..............................................................trang 62
1.3.Sự Phát Triển.....................................................................trang 64
1.4.Ưu Điểm/Khuyết Điểm........................................................trang 65
2. Các Dạng VPN.......................................................................trang 67
2.1.Remote access VPN............................................................trang 67
2.2.Intranet VPN........................................................................trang 70
2.3.Extranet VPN.....................................................................trang 72
3. Bảo Mật VPN........................................................................trang 74
3.1.Xác nhận người dùng và quản lý truy cập...........................trang 74
3.2.Mã hóa dữ liệu.................................................................trang 76
3.3.Cơ sở hạ tầng khóa chung..................................................trang 80
4. Các Giao Thức VPN............................................................trang 92
4.1.Kỹ thuật đường hầm..........................................................trang 92
4.2.Giao thức đường hầm.......................................................trang 93
4.3.Ipsec.................................................................................trang 94
4.4.L2TP (Layer 2 tuneling Protocal)......................................trang 101
4.5.PPTP ( Point to point tuneling protocal).........................trang 103
Chương 3: Xây Dựng VPN Trên IPv6.....................................trang 106
1. Ý Tưởng mô hình bài lab.................................................trang 106
GVHD: Nguyễn Văn Sinh - 3 -
Xây Dựng VPN Trên IPv6
2. Từng bước xây dựng và cấu hinh...................................trang 107
2.1.Phần mềm và thiết bị..........................................................trang 107
2.2.Mô tả mô hình mạng..........................................................trang 107
2.3.Từng bước cấu hình...........................................................trang 107
2.4.Kết quả...............................................................................trang 110
Chương 4: Kết Luận và Hướng Phát triển..........................................
1. Kết luận................................................................................................
2. Hướng phát triển...............................................................................
GVHD: Nguyễn Văn Sinh - 4 -
MỞ ĐẦU
1. Giới thiệu
Ngày này, máy tính không đơn thần là công cụ làm việc của mọi người, nó
còn là thiết bị lưu trữ dữ liệu, truyền tải thông tin...góp phần không nhỏ vào công
viêc, học tập, nghiên cứu và các lĩnh kinh doanh, sản xuất....phát triển. Do đó lợi ích
của công nghệ thông đối với xã hội là không nhỏ.
Vì vậy xã hội càng phát triển thì nhu cầu về khoa hoc công nghệ càng cao vì lý
do đó sự bùng nổ về công nghệ thông tin là tất yếu, giá trị của nó là rất lớn góp
phần thúc đẩy mọi lĩnh vực phát triển, làm cho con người có thông tin kiến thức
nhanh hơn, mọi người gần nhau hơn. Các chuyên gia về công nghệ thông tin đã
không ngừng nghiên cứu nhằm đưa ra những sản phẩm, dịch vụ ngày càng tốt hơn,
trong đó phải kể đến mạng máy tính, không thể thiếu với mỗi con người đặc biệt
với các công ty và doanh nghiệp lớn.
2. Đặt vấn đề
Như đã nói internet là nhu cầu không thể thiếu đỗi với mỗi người trong thời đại
hiện nay, nó không chỉ là nguồn cung cấp thông tin, quản cáo, ... nó còn kết nối các
công ty và doanh nghiệp với nhau đặc biệt là với những công ty nhiều chi nhánh
hay công ty đa quốc gia thì việc sử dụng internet giúp cho dữ liệu được thông suốt
các chi nhánh có thể làm việc thống nhất đồng bộ, có rất nhiều giải pháp làm được
điều này, nhưng trong đề tài này tôi chỉ nói đến là giải pháp VPN (vitual protacal
network).
Sự bùng nổ về công nghệ thông tin cũng góp phần làm cho nguồn tài nguyên địa chỉ
IPv4 đang dần cạn kiệt, để khắc phục khó khăn này và đáp ứng nhu cầu xã hội thì
IPv6 đã ra đời, sự ra đời của IPv6 với không gian địa chỉ gần như vô hạn và những
tính năng vượt trội so với IPv4, nhưng trên thực tế IPv6 chưa thể thay thế hoàn toàn
Xây Dựng VPN Trên IPv6
IPv4 cần có những giải pháp để đồng bộ IPv6 và IPv4 với nhau trong giờ gian
chuyển giao công nghệ. Trong để tài này Tôi sẽ nói về IPv6, VPN và giải phát VPN
trên IPv6 trong môi trường mạng internet vẫn còn IPv4.
3. Nhiệm vụ đề tài
Nghiên cứu về IPv6 và xây dựng VPN trên IPv6
4. Cấu trúc đề tài
Gồm 3 chương:
Chương 1: Tổng quan về IPV6
Chương 2: Tổng quan về VPN
Chương 3: Thử nghiệm và ứng dụng VPN trên IPV6
Chương 4: kết luận và hướng phát triển
GVHD: Nguyễn Văn Sinh - 6 -
Xây Dựng VPN Trên IPv6
Chương 1 TỔNG QUAN VỀ IPV6
1. Giới thiệu ipv6
1.1.Giới thiệu
Phiên bản IPv6 là một phiên bản mới của Internet. Nó được xây dựng trên cơ sở
của giao thức IPv4 nhằm tận dụng các ưu điểm và khắc phục hạn chế của IPv4.
Thay đổi của IPv6 chủ yếu sau:
Mở rộng không gia dia chi IPv6 có địa chỉ nguồn và đích dài 128 bít, không
gian địa chỉ lớn của IPv6 được thết kế dự phòng đủ lớn cho phép phân bổ địa chỉ và
mạng con từ trục xương sống Internet đến từng mạng con trong một tổ chức. Tính
biến đổi được lộ trình nhiều sắc thái được cải thiện gần thêm một phạm vi giải
quyết tới những địa chỉ nhiều sắc thái.
Sự đơn giản hoa khuôn dạng đầu mục (Header): Header của IPv6 được thiết
kế để giảm chi phí đến mức tối thiểu. Điều này đạt được bằng cách chuyển các
trường không quan trọng và các trường lựa chọn sang các header mở rộng được đặt
phía sau của IPv6 header. Khuôn dạng header mới của IPv6 tạo ra sự xử lý hiệu quả
hơn tại các ruoter.
Tiến bộ hỗ trợ cho những mở rộng và những tuỳ chọn: Thay đổi trong cách
mà những tuỳ chọn đầu mục IP được mã hoá kể cả hiệu quả hơn đẩy tới ít hơn
những giới hạn về khó khăn trên những tuỳ chọn mới trong tương lai.
Khả năng ghi nhãn luồng: Một khả năng mới được thêm để cho phép sự ghi
nhãn của những gói thuộc về tới giao thông “chảy” đặc biệt cho người gửi nào
GVHD: Nguyễn Văn Sinh - 7 -
Xây Dựng VPN Trên IPv6
những yêu cầu đặc biết điều khiển, như không mặc định chất lượng của dịch vụ
hoặc “ thời gian thực “ dịch vụ.
Những khả năng chứng thự và riêng tư: Những mở rộng để chứng thực sự toàn
vẹn dữ liệu được chỉ rõ cho IPv6
1.2.Đặc điểm
Trong IPv6 giao thức Internet được cải tiến một cách rộng lớn để thích nghi
được sự phát triển không biết trước được của Internet. Định dạng và độ dài của
những địa chỉ IP cũng được thay đổi với những gói định dạng. Những giao thức liên
quan, như ICMP cũng đựơc cải tiến. Những giao thức khác trong tầng mạng như
ARP, RARP, IGMP đã hoặc bị xoá hoặc có trong giao thức ICMPv6. Những giao
thức tìm đường như RIP, OSPF cũng được cải tiến khả năng thích nghi với những
thay đổi này. Những chuyên gia truyền thông dự đoán là IPv6 và những giao thức
liên quan với nó sẽ nhanh chóng thay thế phiên bản IP hiện thời.
Thế hệ mới của IP hay IPv6 có những ưu điểm như sau:
1.2.1. Không gian địa chỉ lớn
IPv6 có địa chỉ nguồn và đích dài 128 bít. Mặc dù 128 bít có thể tạo hơn
3,4*10 tổ hợp, không gian địa chỉ của IPv6 được thiết kế dự phòng đủ lớn cho
phép phân bổ địa chỉ và mạng con từ trục xương sống internet đến từng mạng con
trong một tổ chức. Các địa chỉ hiện đang phân bổ để sử dụng chỉ chiếm một lượng
nhỏ và vẫn còn thừa rất nhiều địa chỉ sẵn sàng cho sử dụng trong tương lai. Với
không gian địa chỉ lớn này, các kỹ thuật bảo tồn địa chỉ như NAT sẽ không còn cần
thiết nữa.
1.2.2. Địa chỉ phân cấp, hạ tầng định tuyến hiệu quả
Các địa chỉ toàn cục của Ipv6 được thiết kế để tạo ra một hạ tầng định tuyến hiệu qủa, phân cấp và có thể tổng quát hoá dựa trên sự phân cấp thường thấy của
GVHD: Nguyễn Văn Sinh - 8 -
38
Xây Dựng VPN Trên IPv6
các nhà cung cấp dịch vụ Internet (ISP) trên thực tế. Trên mạng Internet dựa trên IPv6, các router mạng xương sống (backbone) có số mục trong bảng định tuyến nhỏ hơn rất nhiều.
1.2.3. Khuôn dạng Header đơn giản hóa
Header của IPv6 được thiết kế để giảm chi phí đến mức tối thiểu. Điều này đạt
được bằng cách chuyển các trường không quan trọng và các trường lựa chọn sang
các header mở rộng được đặt phía sau của IPv6 header. Khuôn dạng header mới của
IPv6 tạo ra sự xử lý hiệu quả hơn tại các router.
1.2.4. Tự cấu hình địa chỉ
Để đơn giản cho việc cấu hình các trạm, IPv6 hỗ trợ cả việc tự cấu hình địa chỉ
stateful như khả năng cấu hình server DHCP và tự cấu hình địa chỉ stateless (không
có server DHCP). Với tự cấu hình địa chỉ dạng stateless, các trạm trong liên kết tự
động cấu hình chúng với địa chỉ IPv6 của liên kết (địa chỉ cục bộ liên kết) và với
địa chỉ rút ra từ tiền tổ được quảng bá bởi router cục bộ. Thậm trí nếu không có
router, các trạm trên cùng một liên kết có thể tự cấu hình chúng với các địa chỉ cục
bộ liên kết và giao tiếp với nhau mà không phải thiết lập cấu hình thủ công
1.2.5. Khả năng xác thực và bảo mật an ninh
Tích hợp sẵn trong thiết kế IPv6 giúp triển khai dễ dàng đảm bảo sự tương tác
lẫn nhau giữa các nút mạng.
1.2.6. Hỗ trợ tốt hơn về dich vụ QoS
Lưu thông trên mạng được phân thành các luồng cho phép sử lý mức ưu tiên
khác nhau tại các router.
1.2.7. Hỗ trợ tốt hơn về tính năng di động
Khả năng di động MobileIP tận dụng được các ưu điểm của IPv6 so với IPv4
GVHD: Nguyễn Văn Sinh - 9 -
Xây Dựng VPN Trên IPv6
1.2.8. Khả năng mở rộng
Thiết kế của IPv6 có dự phòng cho sự phát triển trong tương lai đồng thời dễ
dàng mở rộng khi có nhu cầu.
2. Cấu trúc địa chỉ ipv6
2.1.Địa chỉ ipv6
Một địa chỉ gồm có 16 byte, đó là 128 bít độ dài. Kiểu ký hiệu dấu 2 chấm
trong hệ đếm 16 ( Hexadecimal Colon Notation):
Để làm cho những địa chỉ trở nên có thể đọc được nhiều hơn, IPv6 trình bầy rõ
trong kiểu ký hiệu dấu 2 chấm trong hệ đếm 16. Trong kiểu ký hiệu này, 128 bít
được chia thàng 8 phần, mỗi phần rộng 2 byte. 2 byte trong kiểu ký hiệ hệ đếm 16
yêu cầu 4 chữ số trong hệ đếm 16 này. Vì thế cho nên địa chỉ gồm có 32chữ số
trong hệ đếm 16 với mỗi 4 chữ số một lại có một dấu : chấm(Hình1)
128 bít= 16 bytes= 32chữ số trong hệ đếm 16
FDEC : : 7654 3210 ADBF 2922 FFFF
Hình 1: Địa chỉ IP phiên bản 6 ( IPv6 Address)
*Su rút gọn:
Mặc dù là địa chỉ IP ngay cả khi ở trong định dạnh hệ số đếm 16, vẫn rất dài,
nhiều chữ số 0 trong một địa chỉ.
Thí dụ: 1080:0000:0000:0000:0008:0800:200C:417A
GVHD: Nguyễn Văn Sinh - 10 -
111111101111101100…………………………..111111111111
Xây Dựng VPN Trên IPv6
Do đó cơ chế nén địa chỉ được dùng để biểu diễn dễ dàng hơn các loại địa chỉ
dạng này. Ta không cần viết các số 0 ở đầu các nhóm, nhưng những số 0 bên trong
thì không thể xoá.
Chưa rút gọn
1080:0000:0000:0000:0008:0800:200C:417A
Đã rút gọn
1080: 0: 0: 0: 8: 800:200C:417A
Hình 2 : Sự rút gọn địa chỉ (Abbreviated Address)
Hơn nữa ta có thể sử dụng ký hiệu :: để chỉ một chuỗi các số 0. Tuy nhiên
ký hiệu trên chỉ được sử dụng một lần trong một địa chỉ. Địa chỉ IP có độ dài cố
định, ta có thể tính được số các bit 0 mà ký hiệu đó biểu diễn. Ta có thể áp dụng ở
đầu hay ở cuối địa chỉ. Cách viết này đặc biệt có lợi khi biểu diễn các địa chỉ
multicast, loopback hay các điạ chỉ chưa chỉ định.
Chưa rút gọn
1080: 0: 0: 0: 8: 800:200C:417A
Đã rút gọn
1080::8:800:200C:417A
Hình 3: Sự rút gọn địa chỉ có số 0 liên tiếp(Abbreviated Address with consecutive zeros)
GVHD: Nguyễn Văn Sinh - 11 -
Xây Dựng VPN Trên IPv6
Việc khôi phục lại sự rút gọn địa chỉ là rất đơn giản: thêm số 0 vào cho đến
khi nhận được địa chỉ nguyên bản (4 chữ số trong 1 phần , 32 chữ số trong một địa
chỉ)
IPv6 cho phép giảm lớn địa chỉ và được biểu diễn theo ký pháp CIDR.
Ví dụ: Biểu diễn mạng con có độ dài tiền tố 80 bít:
1080:0:0:0:8::/80
Hình 4 : Địa chỉ CIDR ( CIDR Address)
2.2.Không gian địa chỉ ipv6
Không gian địa chỉ có độ dài lớn hơn IPv4( 128 bít so với 32 bít) do đó cung
cấp không gian địa chỉ lớn hơn rất nhiều. Trong khi không gian địa chỉ 32 bít của
IPv4 cho phép khoảng 4 tỉ địa chỉ, không gian địa chỉ IPv6 có
thể có khoảng 6.5*10 địa chỉ trên mỗi mét vuông bề mặt trái đất. Địa chỉ IPv6 128
bít được chia thành các miền phân cấp theo trật tự trên Internet. Nó tạo ra nhiều
mức phân cấp và linh hoạt trong địa chỉ hoá và định tuyến hiện không có trong
IPv4.
Không gian địa chỉ có nhiều mục đích khác nhau. Người ta thiết kế địa chỉ IP
đã chia không gian địa chỉ thành 2 phần, với phần đầu được gọi là kiểu tiền tố. Phần
giá trị tiền tố này cho bíêt mục đích của địa chỉ. Những mã số được thiết kế sao cho
không có mã số nào giống phần đầu của bất kỳ mã số nào khác. Do đó không có sự
nhập nhằng khi một địa chỉ được trao kiểu tiền tố có thể dẽ dàng xác định được.
Hình 5 cho chúng ta thấy dạng của địa chỉ IPv6:
GVHD: Nguyễn Văn Sinh - 12 -
23
Xây Dựng VPN Trên IPv6
128 bít
Biến Biến
Kiểu tiền tố Phần cón lại của địa chỉ
Hình 5 : Cấu trúc địa chỉ ( Address Structure)
Không gian IPv6 được chia trên cơ sở các bít đầu trong địa chỉ. Trường có
độ dài thay đổi bao gồm các bít đầu tiên trong địa chỉ gọi là Tiền tố định dạng
( Format Prefix) FP. Cơ chế phân bổ địa chỉ như sau:
Phân bố Tiền tồ định dạng Tỷ lệ trong không gian địa chỉ
Dự phòng 0000 0000 1/256Dự phòng 0000 0001 1/256Dự phòng cho địa chỉ NSAP 0000 001 1/128Dự phòng cho địa chỉ IPX 0000 010 1/128Chưa cấp phát 0000 011 1/128Chưa cấp phát 0000 1 1/32Chưa cấp phát 0001 1/16Địa chỉ dựa trên vị trí địa lý ( Hiện đã loại bỏ)
001 1/8
Chưa cấp phát 101 1/8Chưa cấp phát 110 1/8Chưa cấp phát 1110 1/16Chưa cấp phát 1111 0 1/32Chưa cấp phát 1111 10 1/64Chưa cấp phát 1111 110 1/128Chưa cấp phát 1111 1110 0 1/512Địa chỉ liên kết cục bộ 1111 1110 10 1/1024
GVHD: Nguyễn Văn Sinh - 13 -
Xây Dựng VPN Trên IPv6
Địa chỉ site cục bộ 1111 1110 11 1/1024Địa chỉ multicast 1111 1111 1/256
Hình 6 : Cơ chế phân bổ địa chỉ
2.3.Cấp phát địa chỉ
2.3.1. Địa chỉ unicast
Địa chỉ trên cơ sở người cung cấp được sử dụng chung bởi 1 host bình
thường như 1 địa chỉ unicast. Định dạng địa chỉ được diễn tả như sau:
128 bits 8 bits
3 bits 5 bits
Hình 7: Địa chỉ trên cơ sở người cung cấp (Provider-based Address)
Những trường cho địa chỉ người dùng trên cơ sở cung cấp như sau :
+ Chứng thực kiểu (Type indentifier): Trường 3 bít này định nghĩa những
địa chỉ như là 1 địa chỉ trên cơ sở người cung cấp.
+ Chứng thực đăng ký (Registry indentifier) : Trường 5 bít này trình bày
chi nhánh đã đăng ký địa chỉ. Hiện thời thì có 3 trung tâm địa chỉ được định nghĩa:
RIPE- NCC (mã 01000): Tại Châu Âu.
INTERNIC (mã 11000): Tại Bắc Mỹ.
APNIC (mã 10100): Tại Châu á - Thái Bình Dương
GVHD: Nguyễn Văn Sinh - 14 -
0000 Cố định
0001Tạm thời
ProviderIndentifler
SubscriberIndentifler
SubnetIndentifler
NodeIndentifler
010 Registry
Xây Dựng VPN Trên IPv6
+ Chứng thực hà cung cấp (Provider indentifier): Trường độ dài tuỳ biến
này xác nhận nhà cung cấp (provider) cho truy cập Internet 16 bit độ dài là khuyến
cáo đối với trường này.
+ Chứng thực thuê bao (Subscriber indentifier): Khi một tổ chức đặt mua
Internet dài hạn thông qua 1 nhà cung cấp, nó được cấp phát 1 thẻ nhận dạng người
đặt mua (Subscriber indentification). 24 bít độ dài là khuyến cáo đối với trường này.
+ Chứng thực Subnet (Subnet indentifier): Mỗi subscriber có thể có nhiều
subnetwork khác nhau, và mỗi network có thể có nhiều chứng thực. Chứng thực.
Chứng thực subnet định nghĩa một network cụ thể dưới khu vực của subscriber. 32
bít độ dài là khuyến cáo đối với trường này.
+ Chứng thực None (None indentifier): trường cuối cùng định nghĩa nhận
dạng giao điểm kết nối tới subnet. Độ dài 8 bít là khuyến cáo với trường này để làm
nó thích hợp với địa chỉ link 48 bít (Vật lý) được sử dụng bởi Ethernet. Trong tương
lai địa chỉ link này có lẽ sẽ giống địa chỉ vật lý node.
Chúng ta có thể nghĩ về một điạ chỉ cung cấp trung tâm như 1 đẳng cấp
chứng thự có một số tiền tố. Như những gì thấy ở hình 8, mỗi tiền tố định nghĩa một
cấp bậc của hệ thống. Kiểu tiền tố định nghĩa kiểu, tiền tố định nghiã 1 cách duy
nhất về nhà cung cấp bậc đăng ký, tiền tố nhà cung cấp định nghĩa 1 cách duy nhất
về nhà cung cấp, tiền tố subnet định nghĩa 1 cách duy nhất về subscriber, và tiền tố
subnet định nghĩa 1 cách duy nhất về subnet.
Subnet
Subscriber
Provider
GVHD: Nguyễn Văn Sinh - 15 -
ProviderIndentifier
Subscriberindentifier
SubnetIndentifier
Nodeindentifier
Xây Dựng VPN Trên IPv6
Hình 8 : Hệ thống địa chỉ (Address Hierarchy)
2.3.2. Địa chỉ dự trữ
Những địa chỉ mà sử dụng tiền tố dự trữ (0000 0000) sẽ được thảo luận một
cách ngắn gọn tại đây.
+ Địa chỉ không xác định (Unspecified Address): Đây là một địa chỉ mà
phần không phải tiền tố chỉ chứa chữ số 0. Nói một cách khác phần còn lại của địa
chỉ gồm toàn zero. Địa chỉ này được sử dụng khi host không hiểu được địa chỉ của
chính nó và gửi 1 câu hỏi thăm để tìm địa chỉ của nó. Tuy nhiên trong câu hỏi thăm
phải định nghĩa 1 địa chỉ nguồn. Địa chỉ không xác định có thể được sử dụng cho
mục đích này. Chú ý là địa chỉ không thể được sử dụng làm địa chỉ đích. Địa chỉ
này được trình bày trong hình sau :
00000000 Tất cả toàn bít 0
8 bít 120 bit
Hình 9 : Địa chỉ không rõ (Unspecified Address)
+ Địa chỉ vòng ngược (Loopback Address): Đây là một địa chỉ được sử
dụng bởi 1 host để kiểm tr nó mà không cần vào mạng. Trong trường hợp này 1
thông điệp được tạo ra ở tầng ứng dụng nó gửi tới tầng chuyển tải và đi qua tầng
mạng. Tuy nhiên thay vì đi đến mạng vật lý nó trở lại tầng chuyển tải và đi qua tầng
ứng dụng. Địa chỉ này rất hữu dụng cho việc kiểm tra những gói phần mềm chức
năng trong tầng này trước khi thậm chí cả việc kết nối máy tính vào mạng. Địa chỉ
được mô tả trong hình dưới đây gồm có tiền tố 0000 0000 và theo sau là 119 bit 0
và 1 bit 1.
GVHD: Nguyễn Văn Sinh - 16 -
Xây Dựng VPN Trên IPv6
00000000 000000000000………….00000000000001
8 bít 120 bit
Hình 10 : Địa chỉ vòng ngược ( Loopback Address)
+ Địa chỉ IPv4: Những gì chúng ta thấy được trong suốt quá trình chuyển
đổi từ địa chỉ IPv4 và IPv6, host có thể sử dụng địa chỉ IPv4 của nó đã được nhúng
vào địa chỉ IPv6. Có 2 định dạng địa chỉ được thiết kế cho mục đích này: thích ứng
( compatible) và hoạ đồ (mapped)
+ Địa chỉ thức ứng ( Compatile Address): Là một địa chỉ của 96 bit 0 theo
sau 32 bit của địa chỉ IPv4. Địa chỉ này được sử dụng khi 1 máy tính sử dụng IPv6
muốn gửi một thông điệp sang 1 máy tính sử dụng IPv6. Tuy nhiên gói tin phải đi
qua một miền mà ở đó mạng vẫn sử dụng IPv4. Người gửi sử dụng địa chỉ thích
ứng IPv4 để làm cho thuận tiện việc chuyển gói tin qua miền sử dụng IPv4.
Thí dụ: Địa chỉ IPv4 là 2.13.17.14 (định dạng dấu chấm trong hệ đếm 10)
được chuyển thành 0::020D:110E (định dạng dấu 2 chấm trong hệ đếm 16). Địa chỉ
IPv4 được thêm 96 bít 0 để tạo ra địa chỉ IPv6 128 bít.
8 bít 88 bít 32 bít
00000000 Tất cả toàn bít 0 Địa chỉ IPv4
a. Địa chỉ thích ứng
Địa chỉ IPv6 Địa chỉ IPv4
GVHD: Nguyễn Văn Sinh - 17 -
0::020D:110E 2.13.17.14
Xây Dựng VPN Trên IPv6
b. Chuyển đổi địa chỉ
Hình 11: Địa chỉ tuong ứng ( Compatible Address)
Địa chỉ anh xa (Mapped Address): Gồm 80 bít o theo sau là 16 bít 1 sau
nữa là 32 bít của địa chỉ IPv4. Địa chỉ này được sử dụng khi 1 máy tính vẫn sử dụng
IPv4. Gói tin du lịch phần lớn qua mạng IPv6 nhưng sau hết được chuyển tới 1 host
sử dụng IPv4. Địa chỉ IPv4 được thêm 16 bít 1 và 80 bít 0 để tạo địa chỉ IPv6 128
bít.
8 bít 72 bít 16 bit 32 bít
00000000 Tất cả bít 0 Tất cả bít 1 Địa chỉ IPv4
a.Địa chỉ anh xa
Địa chỉ IPv6 Địa chỉ IPv4
b. Chuyển đổi địa chỉHình 12: Địa chỉ anh xa (Mapped Address)
Một điều thú vị về địa chỉ thích ứng và địa chỉ hoạ đồ là chúng được thiết kế
bằng một cách mà khi tính toán checksum chúng ta có thể sử dụng hoặc địa chỉ
nhúng hoặc địa chỉ đầy đủ vì những bít 0 hoặc bít 1 thêm vào là bội của 16, không
có bất kỳ một tác động nào lên việc tính toán checksum. Địa chỉ này quan trọng vì
nếu địa chỉ của gói tin được chuyển tư IPv6 sang IPv4 bởi router, việc tính toán
checksum sẽ không được tính toán.
2.3.3. Địa chỉ cục bộ
GVHD: Nguyễn Văn Sinh - 18 -
0::020D:110E 2.13.17.14
Xây Dựng VPN Trên IPv6
Nhũng địa chỉ mà sử dụng tiền tố dự trữ (1111 1110) sẽ được thảo kuận một
cách ngắn gọn tại đây.
+ Địa chỉ link cục bộ ( Link local Address): Những địa chỉ này được sử
dụng khi 1 mạng LAN muốn sử dụng giao thức Internet nhưng không kết nói
Internet vì lý do an ninh. Kiểu địa chỉ này sử dụng tiền tố 1111 1110 10. Đại chỉ
link cục bộ đựơc sử dụng trong mạng đôc lập và không có ảnh hưởng chung nào.
Không ai ở ngoài mạng độc lập này có thể gửi thông điệp đến những máy tính gia
nhập 1 mạng sử dụng những địa chỉ này.
10 bít 70 bít 48 bít
Hình 13 : Địa chỉ link cục bộ ( Link local Address)
+ Địa chỉ site cục bộ (Site Local Address): Những địa chỉ này được sử
dụng nếu như 1 site có một số mạng sử dụng giao thức Internet nhưng không kết
nối Internet vì những lý do an ninh. Kiểu địa chỉ này sử dụng tiền tố 1111 1110 11.
Địa chỉ site cục bộ được sử dụng trong mạng độc lập và không có ảnh hưởng chung
nào. Không ai ở ngoài mạng độc lập này có thể gửi thông điệp đến máy tính gia
nhập mạng sử dụng những địa chỉ này.
10 bít 38 bít 32 bít 48 bít
Hình 14 : Địa chỉ site cục bộ ( Site Local Address)
GVHD: Nguyễn Văn Sinh - 19 -
11111111010 Tất cả bít 0 Địa chỉ Node
11111111010 Tất cả bít 0 Địa chỉ Subnet Địa chỉ Node
0000 Dành trước0001 Node cục bộ0010 Link cục bộ0101 Site cục bộ1000 tổ chức cục bộ1110 Chung1111 Dành tiêng
0000 Cố định0001 Tạm thời
Xây Dựng VPN Trên IPv6
2.3.4. Địa chỉ multicast
Địa chỉ multicast được sử dụng để định nghĩa cho một nhóm các host thay vì
chỉ 1. Tất cả đều sử dụng tiền tố 1111 1111 trong trường đầu tiên. Trường thứ hai là
cờ (flag) định nghĩa 1 nhóm địa chỉ hoặc cố định hoặc tạm thời. Một nhóm địa chỉ
cố định được định nghĩa bởi nhà cầm quyền Internet và có thể truy cập bất cứ lúc
nào. Một nhóm địa chỉ tạm thời, nói một cách khác được sử dụng một cách tạm
thời. Hệ thống tham dự vào một hội nghị từ xa có thể sử dụng một nhóm tạm thời.
Trường thứ 3 định nghĩa phạm vi hoạt động của nhóm địa chỉ. Nhiều phạm vi đã
được định nghĩa.
8 bít 4 bít 4 bít 112 bít
Hình 15 : Địa chỉ Multicast (multicast address)
2.4.Định dạng gói tin
Gói tin trong IPv6 được thấy như trong hình dưới đây. Mỗi gói tin bao gồm
một vùng header nền tảng bắt buộc theo sau bởi payload. Payload gồm có 2 phần:
những vùng Header mở rộng tuỳ ý chọn và dữ liệu từ tầng cao hơn. Vùng Header
GVHD: Nguyễn Văn Sinh - 20 -
11111111 Cờ Phạm vi ID nhóm
Xây Dựng VPN Trên IPv6
nền tảng chiếm giữ 40 byte, trong khi đó những vùng Header mở rộng và dữ liệu từ
tầng cao hơn chứa đến 65535 byte thông tin.
40 byte Có thể lên đến 65535 byte
Hình 16 : Định dạng gói tin IPv6 (IPv6 Data Packet Format)
2.4.1. Vùng nền tảng
Vùng header nền tảng trong hình 17 cho ta thấy nó có 8 trường, những
trường này mô tả như sau:
GVHD: Nguyễn Văn Sinh - 21 -
Đầu mục nền tảng Payload
Đầu mục mở rộng (tuỳ ý lựa chọn)
Gói dữ liệu từ tầng cao hơn
Xây Dựng VPN Trên IPv6
VER PRI Flow lable
Độ dài PayloadVùng Header kế tiếp
Giới hạn nhảy
Những địa chỉ nguồn
Những địa chỉ đích
Những đầu mục mở rộng Payload
Gói dữ liệu từ tầng cao hơn
Hình 17 : Định dạng của 1 đơn vị dữ liệu IPv6( Format of an IPv6 datagram)
+ Phiên bản (VER- version): Trường 4 bít này định nghĩa số phiên bản của
IP. Với IPv6 giá trị là 6.
+ Quyền ưu tiên (PRI- prority): Trường 4 bít này định nghĩa sự ưu tiên của
những gói tin đối với sự tắc nghẽn giao thông.
+ Nhãn lưu lượng (Flow lable): Nhãn lưu lượng là một trường 3 byte – 24
bit được thiết kế để cung cấp sự điều khiển đặc biệt đối với những lưu lượng đặc
biệt của dữ liệu.
+ Độ dài Payload (Payload Length): Trường độ dài Payload 2 byte này
được định nghĩa độ dài tổng cộng của đơn vị dữ liệu IP trừ vùng Header nền tảng.
+ Vùng Header kế tiếp (Next Header): Vùng Header kế tiếp là 1 trường 8
bít định nghĩa 1 đầu mục mà theo sau vùng Header nền tảng trong đơn vị dữ liệu.
Vùng header kế tiếp là 1 trong những vùng mở rộng tuỳ ý lựa chọn được sử dụng
bởi IP hoặc vùng Header cho 1 giao thức tầng cao hơn như UDP hay TCP. Mỗi
vùng Header mở rộng lại có chứa trường này. Bảng sau cho chúng ta thấy những
giá trị của vùng Header kế tiếp.
Mã số Vùng Header kế tiếp
GVHD: Nguyễn Văn Sinh - 22 -
Xây Dựng VPN Trên IPv6
02617434450515960
Tuỳ chọn nhảy từng bước mộtICMPTCPUDPRouting nguồnSự phân miếngPayload bảo mật mã hoáSự chứng thựcTrống ( Không vùng Header kế tiếp)Tuỳ chọn đích
Giới hạn nhảy ( Hot Limit): Trường giới hạn nhảy 8 bít này phục vụ
cho mục đích tương tự trường TTL trong IPv4.
Địa chỉ nguồn ( Source Address): Trường địa chỉ nguồn là 1 điạ chỉ
Internet 16 byte (128 bit) mà xác minh nguồn bản gốc của đơn vị dữ liệu
Địa chỉ đích ( Destination Address): Trường địa chỉ đích là 1 địa chỉ
Internet 16 byte ( 128 bit) mà thường xác minh đích cuối cùng của đơn vị dữ liệu.
Tuy nhiên nếu router nguồn được sử dụng thì trường này sẽ chứa địa chỉ của router
kế tiếp.
+ Quyền ưu tiên (Priority): Trường quyền ưu tiên của gói tin IPv6 định nghĩa
quyền ưu tiên của từng gói tin có quan hệ với những gói tin khác trong cùng 1
nguồn. Ví dụ khi 1 trong 2 đơn vị dữ liệu liên tiếp phải bị loại bỏ đi vì chật chội,
đơn vị dữ liệu có quyền ưu tiên nhỏ hơn sẽ bị loại bỏ. IPv6 chia giao thông (traffic)
làm 2 loại: điều khiển tắc nghẽn (congestion- controlled) và điều khiển không tắc
nghẽn (nocongestion- controlled).
Giao thông điều khiển tắc nghẽn ( congestion- controlled traffic):
Nếu 1 nguồn tự điều chỉnh giao thông chậm lại khi có tắc nghẽn, giao thông sẽ gán
cho giao thông điều khiển tắc nghẽn. Ví dụ như giao thức TCP sử dụng giao thức
cửa sổ trượt (Sliding window protocol), có thể dễ dàng đáp ứng giao thông. Trong
giao thông điều khiển tắc nghẽn nó được hiểu là những gói tin có thể đến chậm
hoặc thậm chí mất hoặc được nhận ngoài yêu cầu. Dữ liệu điều khiển tắc nghẽn
được cấp phát quyền ưu tiên từ 0 đến 7 được thể hiện ở bảng sau:
GVHD: Nguyễn Văn Sinh - 23 -
Xây Dựng VPN Trên IPv6
Quyền ưu tiên Mô tả
0
1
2
3
4
5
6
7
Không có giao thông cụ thể
Dữ liệu nền
Giao thông dữ liệu không được quan tâm
Dự trữ
Giao thông dữ liệu tham dự khối lới
Dự trữ
Giao thông tương giao
Giao thông điều khiển
Có thể mô tả quyền ưu tiên như sau:
Không có giao thông cụ thể ( No specific traffic): quyền ưu tiên 0 được cấp
phát cho gói tin khi tiến trình không định nghĩa 1 ưu tiên nào.
Dữ liệu nền (Background data): nhóm này (quyền ưu tiên 1) định nghĩa dữl
iệu thường xuyên được nhận ở nền. Sự nhận tin tức là 1 ví dụ.
Giao thông dữ liệu không được quan tâm (unattended data tranffic): Nếu
người sử dụng đang không đợi dữ liệu sẽ được nhận, gói tin sẽ được quyền ưu tiên
2. Email thuộc nhóm này. Một người sử dụng gửi email cho người sử dụng khác,
nhưng người nhận không biết email đó sẽ đến sớm. Thêm vào email thường được
lưu trữ trước khi được gửi đi.
Giao thông dữ liệu tham dự khối lớn ( Attended bulk data tranffi): Giao thức
mà chuyển phần lớn dữ liệu khi người sử dụng đang đợi nhận dữ liệu (có thể trì
hoãn) được quyền ưu tiên 4. FTP và HTTP thuộc nhóm này.
Giao thông tương dao (Interactive tranffic): Giao thức dạng như TELNET
cần sự tương giao với người sử dụng cấp sự tương giao với người sử dụng được
cấp ưu tiên cao thứ 2 (6) trong nhóm.
GVHD: Nguyễn Văn Sinh - 24 -
Xây Dựng VPN Trên IPv6
Giao thông điều khiển (Control traffic): Giao thông diều khiển được quyền
ưu tiên cao nhất (7) trong loại này. Giao thức routing như OSPF và RIP và giao
thức quản trị SNMP sử dụng quyền ưu tiên này.
Giao thông điều khiển không tắc nghẽn ( Noncongestion- controlled
tranffic): Kiểu này gán cho kiểu giao thông mà chờ đợi một sự hãon lại nhỏ nhất.
Loại bỏ gói tin không phải là tốt. Sự chuyển giao lại trong hầu hết tình huống là có
thể hti hành được. Nói 1 cách khác nguồn không sửa lại nó thích nghi với sự tắc
nghẽn. Audio và video thời gian thực là những ví dụ điển hình cho dạng giao thông
này.
Quyền ưu tiên từ 8 đến 15 được cấp phát cho giao thông điều khiển không tắc
nghẽn. Mặc dù ở đây không có bát kỳ một sự cấp phát chuẩn đặc biệt nào cho loại
dữ liệu này, quyền ưu tiên thường được cấp phát dự vào số lượng cảu dữ liệu nhận
có thể bị tác động bởi việc loại bỏ gói tin. Dữ liệu chứa ít sự rườm rà (như audio và
video chất lượng thấp) có thể được đưa 1 quyền ưu tiên cao hơn (15). Dữ liệu chứa
nhiều sự rườm rà (như video và audio chất lượng cao) có thể bị đưa 1 quyền ưu tiên
thấp hơn (8).
Quyền ưu tiên Mô tả8...15
Dữ liệu với nhiều sự rườm rà nhất
Dữ liệu với ít sự rườm rà nhất
+ Nhãn lưu lượng ( Flow Lable):
Một dãy các gói tin được gửi từ 1 nguồn riêng đến đích riêng, cần sự điều
khiển đặc biệt từ router gọi là lưu lượng của những gói tin. Sự kết hợp của địa chỉ
nguồn và giá trị của nhãn lưu lượng định nghĩa 1 cách duy nhất 1 lưu lượng của
những gói tin.
Đối vơ router 1 lưu lượng là 1 dãy các gói tin chia sẻ cùng đặc tính như là
việc di chuyển cùng 1 đường, sử dụng cùng một nguồn, có cùng kiểu an toàn vv…
Một router mà hỗ trợ sự điều khiển của nhãn lưu lượng có 1 bảng nhãn lưu lượng.
GVHD: Nguyễn Văn Sinh - 25 -
Xây Dựng VPN Trên IPv6
Bảng này có 1 mục vào cho mỗi nhãn lưu lượng hoạt động, mỗi mục định nghĩa 1
dịch vụ được yêu cầu bởi nhãn lưu lượng tương ứng. Khi router nhận được 1 gói tin
nó tra cứu bảng nhãn lưu lượng của nó để tìm mục vào tương ứng cho giá trị nhãn
lưu lượng được định nghĩa trong gói tin. Sau đó nó cung cấp cho gói tin những dịch
vụ đã đề cập trong mục vào. Tuy nhiên chú ý là nhãn lưu lượng tự nó không cung
cấp thông tin cho những mục vào của bảng nhãn lưu lượng, thông tin được cung cấp
bởi những thứ khác như là tuỳ chọn nhảy từng bước một hay những giao thức khác.
Trong hình thức đơn giản nhất của nó, 1 nhãn lưu lượng có thể được sử dụng
để tăng tốc 1 tiến trình của 1 gói tin bởi 1 router. Khi router nhận được gói tin thay
vì xem bảng tìm đường và đi đến thuật toán tìm đường để định nghĩa địa chỉ cảu
bước nhảy kế tiếp, nó có thể dễ dàng được nhìn thấy trong 1 bảng nhãn lưu lượng
cho bước nhảy kế tiếp.
Trong hình thức rắc rối hơn của nó 1 nhãn lưu lượng có thể được sử dụng để
hỗ trợ quá trình chuyển giao audio và video thời gian thực. Audio và video thời gian
thực một cách đặc biệt trong hình thức kĩ thuật số đòi hỏi những nguồn như băng
thông rộng, buffer lớn, thời gian tiến trình dài vv… Một tiến trình có thể đặt trước
chỗ cho những nguồn này trước để đảm bảo là dữ liệu thời gian thực sẽ không bị
tạm hoãn do thiếu nguồn. Sự sử dụng dữ liệu thời gian thực và chỗ đặt trước của
những nguồn đòi hỏi những giao thức khác như là giao thức thời gian thực ( Real-
Time Protocol- RTP) hay giao thức đặt trước nguồn (Resource Reservation
Protocol- RRP) trong bổ sung của IPv6.
Để cho phép những hiệu quả sử dụng của nhãn lưu lượng 3 điều luật được
đưa ra :
Nhãn lưu lượng được cấp phát cho 1 gói tin bởi 1 host gốc. Nhãn
là một số bất kì từ 1 đến 2 -1. Nó sẽ không sử dụng lại một nhãn lưu lượng cho 1
lưu lượng mới khi lượng dang tồn tại vẫn hoạt động.
Nếu như 1 host không hỗ trợ nhãn lưu lượng, nó sẽ đặt trường này là 0.
Nếu như 1 router không hỗ trợ nhãn lưu lượng, nó đơn giản sẽ phớt lờ đi .
GVHD: Nguyễn Văn Sinh - 26 -
24
Xây Dựng VPN Trên IPv6
Tất cả những gói tin thuộc cùng 1 lưu lượng có thể có cùng nguồn, cùng
đích, cùng sự ưu tiên và cùng nhưng tuỳ chọn.
2.4.2. So sánh Header ipv4 & Header ipv6
Trường độ dài vùng header đã bị loại đi trong IPv6 vì độ dài vùng header đã
được xử lý trong phiên bản này.
Trường kiểu dịch vụ đã bị loại đi trong IPv6. Trường quyền ưu tiên và nhãn
lưu lượng cùng kiểm soát chức năng của trường kiểu dịch vụ.
Trường độ dài tổng cộng đã bị loại đi trong IPv6 và được thay thế bằng
trường độ dài payload.
Những Trường chứng thực ( identification ), Trường cờ ( flag ), và những
Trường offset đã bị loại bỏ từ vùng header nền tảng trong IPv6. Chúng được đi kèm
trong vùnh header mở rộng từng miếng.
Trường TTL được gọi là Giới hạn nhày trong IPv6.
Trường giao thức dược thay thế bởi Trường vùng header kế tiếp.
Vùng header checksum bị loại đi vì checksum được cung cấp bởi giao thức
của tầng cao hơn nó vì thế không cần thiết ở đây.
Những Trường tuỳ chọn trong IPv4 được trang bị như những vùng header
mở rộng trong IPv6.
2.5.Vùng Header mở rộng
Độ dài của vùng header được bố trí 40 byte. Tuy nhiên, để đem đến nhiều
chức năng hơn cho đơn vị dữ liệu IP vùng header nền tảng có thể cho theo sau đến 6
vùng header mở rộng. Nhiều vùng header này là những tuỳ chọn trong IPv4.
GVHD: Nguyễn Văn Sinh - 27 -
Xây Dựng VPN Trên IPv6
VER PRI Flow label
Độ dài Payload Vùng Header kế tiếp Giới hạn nhảy
Địa chỉ nguồn
Địa chỉ đích
Vùng Header kế tiếp Độ dài vùng Header
Vùng Header kế tiếp Độ dài vùng Header
Vùng Header kế tiếp Độ dài vùng Header
Hình 18 : Định dạng vùng header mở rộng
( Extenion header format )
Sáu loại vùng header đã được định nghĩa. Chúng là tuỳ chọn nhảy từng
bước, lộ trình nguồn, sự phân mảnh, sự chứng thực, Payload bảo mật mã hoá và tuỳ
chọn đích (Xem hinh 19).
GVHD: Nguyễn Văn Sinh - 28 -
Xây Dựng VPN Trên IPv6
Những vùng Header mở rộng
Tuỳ chọn nhảy từng bước
Nguồn tìm đường
Sự phân miếng
Sự chứng thực
Bảo mật Payload mã hoá
Tuỳ chọn đích
Hình 19 : Những loại vùng header mở rộng (Extension header types)
2.5.1. Tùy chon bước nhảy (Hop – by - Hop option)
Tuỳ chọn nhảy từng bước được sử dụng khi nguồn cần chuyển thông tin qua
tất cả các router được thăm bởi đơn vị dữ liệu. Ví dụ, không chừng những router sẽ
phải bị gây ra bởi sự quản trị, sự gỡ rối hay những chức năng điều khiển nào
đó.Hay,nếu như độ dài của đơn vị dữ liệu rộng hơn thông thường là 65,535 byte,
nhưng router phải có thông tin này. Hình 20 cho thấy định dạng của vùng header kế
tiếp trong một chuỗi vùng header. Độ dài vùng header định nghĩa số byte trong
vùng headerbao gồm cả trường vùng header kế tiếp). Phần còn lại của vùng header
chứa những tuỳ chọn khác nhau.
Vùng header nền tảng
Những tuỳ chọnPhẫn còn lại của Payload
GVHD: Nguyễn Văn Sinh - 29 -
Vùng header kế tiếp Độ dài vùng header
Xây Dựng VPN Trên IPv6
Hình 20 : Định dạng vùng header tuỳ chnj nhảy từng bước(Hop – by – hop option header format)
Xa hơn, chỉ có 3 tuỳ chọn được định nghĩa: Pad1, PadN và jumbo payload (Xem hình 21).
Mã số (8 bít) Độ dài (8 bít) Dữ liệu (Độ dài có thể thay đổi)
2 bít 1 bít 5 bít
Hành động : sẽ thực hiện nếu tuỳ chọn không được xác nhận
00 Bỏ qua tuỳ chọn Kiểu
01 Loại bỏ đơn vị dữ liệu không có hành động nào nữa 00000 Pal1
10 Loại bỏ đơn vị dữ liệu và gửi 1 thông điệp lỗi 00001 PadN
11 Như mã 10, nhưng nếu đích không phải địa chỉ munlticast
C: (change) giá trị thay đổi tuỳ chọn 00010 jumbo payload
0 : không bị thay đổi trong vận chuyển
1 : Có thể bị thay đổi trong vận chuyển
Hình 21 : Định dạng của những tuỳ chọn của vùngheader tuỳ chọn nhảy từng bước
(Format of options in a hop–by–hop option header)
Pad1: Tuỳ chọn này dài 1 byte và nó được thiết kế cho những mục đích sắp
nhóm. Một số tuỳ chọn cần phải băt đầu ở 1 bit riêng biệt trong 32 bit (xem mô tả
jumbo payload). Nếu một tuỳ chọn của sự yêu cầu này rớt chính xác là 1 byte, Pad1
sẽ được thêm vào để làm nên sự khác biệt. Pad1 không chứa trường độ dài tuỳ chọn
mà còn không cả chứa trường dữ liệu tuỳ chọn. Nó gồm có duy nhất trường mã tuỳ
GVHD: Nguyễn Văn Sinh - 30 -
Hành C Kiểu
Xây Dựng VPN Trên IPv6
chọn với tất cả các bít được đặt là 0 ( hành động là 00, C là kiểu 00000). Pad1 có
thể được chèn vào bất kỳ chỗ nào trong vùng header tuỳ chọn nhảy từng bước.
~ Dữ liệu ~
a. Pad1
b. Sử dụng làm đệm
Hình 22 : Pad1
PadN: PadN giống Pad1 về ý tưởng. Sự khác nhau là PadN được sử dụng khi 2
hay nhiều bít được cần cho việc sắp nhóm. Tuỳ chọn này gồm có 1 byte mã tuỳ
chọn, 1 byte độ dài tuỳ chọn, và một biến số những số 0 làm byte đệm. Giá trị của
mã tuỳ chọn là 1 (hành động là 00, C là 0 và kiểu là 00001). Độ dài tuỳ chọn chứa
số byte đệm.
Mã Độ dài Dữ liệu
GVHD: Nguyễn Văn Sinh - 31 -
Những tuỳ chọn Pad1
Mã00000000
Xây Dựng VPN Trên IPv6
00000001 Tất cả bít 0
1 byte 1 byte số byte có thể thay đổi
Hình 24: Jumbo Payload
2.5.2. Lộ trình nguồn ( Resource rourting
Vùng header mở rộng lộ trình nguồn kết hợp với ý tưởng của những tuỳ chọn
lộ trình nguồn chính xác và lộ trình nguồn không chính xác của IPv4. Vùng header
lộ trình nguồn chứa một số nhỏ nhất của 7 trường. Hai trường đầu tiên, vùng
header kế tiếp và độ dài vùng header, là đúng với vùng header mở rộng nhảy từng
bước.
Trường kiểu định nghĩa lộ trình là chính xác hoặc không chính xác. Trường
những địa chỉ còn lại chỉ ra số bước nhảy cần để tới đích. Trường mặt nạ tuyệt đối/
tương đối xác định sự chắc chắn của lộ trình. Nếu mặt nạ là tuyệt đối, lộ trình phải
theo chính xác những gì được chỉ ra bởi nguồn. Nếu thay vào mặt nạ tương đối
những router khác có thể thêm vào trong vùng header.
GVHD: Nguyễn Văn Sinh - 32 -
Xây Dựng VPN Trên IPv6
Vùng header nền tảngVùng header kế Độ dài vùng Kiểu Những địa chỉDự trữ Mặt nạ tuyệt đối/ tương đốiĐịa chỉ thứ nhấtĐịa chỉ thứ haiĐịa chỉ cuối cùngPhần còn lại của Payload
Hình 25 : Lộ trình nguồn (Source Routing)
Địa chỉ đích trong lộ trình nguồn không tuân theo sự định nghĩa trước đó của
chúng ta (địa chỉ cuối cùng trong đơn vị dữ liệu). Thay vào đó nó thay đổi từ router
sang router.
Thí dụ : Host muốn gửi tới 1 đơn vị dữ liệu sang host B sử dụng 1 lộ trình riêng: A
đến R1 đến R2 đến R3 đến B. Chú ý là địa chỉ đích nằm trong những vùng header
nền tảng. Nó không liên tiếp như bạn mong đợi. Thay vào đó nó thay đổi theo từng
router. Những địa chỉ trong vùng header mở rộng cũng thay đổi theo từng router.
GVHD: Nguyễn Văn Sinh - 33 -
Xây Dựng VPN Trên IPv6
Nguồn: A Đích: R1Còn lại: 3R2R3B
A B
R1 R3
R3
Hình 26: Ví dụ lộ trình nguồn (Source Routing Example)
2.5.3. Sự phân miếng
Ý tưởng về sự phân miếng như ở trong IPv4. Tuy nhiên nơi mà sự phân miếng
chiếm giữ không giống nhau. Ở IPv4 nguồn hoặc router cần phân miếng nếu cỡ của
đơn vị dữ liệu lớn hơn MTU của mạng vơi nhóm đơn cị dữ liệu sẽ được đưa đi. Ở
IPv6 chỉ những nguồn nguyên thuỷ mới được phân miếng. Một nguồn phải sử dụng
1 kỹ thuật khám phá quỹ đạo MTU (Path MTU Discovery) để tìm MTU nhỏ nhất
được hỗ trợ bởi bất kỳ một mạng nào trong quỹ đạo. Nguồn sau đó phân miếng sự
khám phát này.
Nếu nguồn không sưe dụng kỹ thuật khám phá quỹ đạo MTU nó có thể phân
miếnh đơn vị dữ liệu thành những miếng cỡ 576 byte hoặc nhỏ hơn. Đây là cỡ nhỏ
nhất MTU yêu cầu cho mỗi mạng kết nối vào Internet. Hình dưới đây cho ta thấy
định dạng của vùng header mở rộng sự phân miếng:
GVHD: Nguyễn Văn Sinh - 34 -
Nguồn: A Đích: R1Còn lại: 3R2R3B
Nguồn: A Đích: R1Còn lại: 3R2R3B
Nguồn: A Đích: R1Còn lại: 3R2R3B
Xây Dựng VPN Trên IPv6
Vùng Header nền tảng
Vùng header kế tiếp
Độ dài vùng header
Sự phân miếng bù đắp
0 M
Địa chỉ thứ nhất
Phần còn lại của Payload
Hình 26: Ví dụ lộ trình nguồn (Source Routing Example)
2.5.4. Sự chứng thực
Vùng header mở rộng sự chứng thực có một mục đích kép: nó làm cho
thông điệp gửi có giá trị và đảm bảo sự nguyên vẹn của dữ liệu. Đầu tiên cần để
người nhận có thể chắc chắn là từ người gửi thật và không phải là từ 1 kẻ mạo danh.
Điều cuối cùng cần kiểm tra là dữ liệu không bị thay đổi trong vận chuyển bởi
hacker.
Định dạng của vùng Header mở rộng sự chứng thực được trình bày ở hình 28 .
Trường chỉ mục tham gia số bảo mật định nghĩa thuận toán được sử dụng cho sự
chứng thực. Trường chứng thực chứa dữ liệu chứa những dữ liệu thật được sinh ra
bởi thuật toán.
GVHD: Nguyễn Văn Sinh - 35 -
Xây Dựng VPN Trên IPv6
Vùng Header nền tảng
Chỉ mục tham số bảo mật
Sự chứng thực dữ liệu
Phần còn lại của Payload
Hình 28 : Sự chứng thực (Authentication)
Nhiều thuật toán khác nhau có thể được sử dụng cho sự chứng thực. Hình 29
phác hoạ những phương thức tính toán trường chứng thực dữ liệu.
Hình 29 : Sự tính toán của sự chứng thực dữ liệu
(Calculation Of Authentication Data)
Người gửi đi qua khoá bảo mật 128 bít, toàn bộ đơn vị dữ
liệu IP và khoá bảo mật 128
bít lần nữa để đến thuật toán.
Những trường này
trong đơn vị dữ liệu
với những giá trị có thay
đổi trong quá trình vận chuyển (Ví dụ như bước nhảy) sẽ
được đặt là 0. Đơn vị dữ liệu qua được thuật toán sẽ chứa vùng header
sự chứng thực, với trường sự chứng thực dữ liệu được đặt là 0. Thuật toán tạo ra sự
chứng thực dữ liệu với những thứ đã được đưa vào trong vùng header mở rộng
trước khi tới quá trình vận chuyển đơn vị dữ liệu.
GVHD: Nguyễn Văn Sinh - 36 -
Sự chứng thực dữ liệu 128 bít
Khoá bảo mật 128 bít
Đơn vị dữ liệu IP với những trường sự thay đổi và sự chứng thực được đặt là 0
Khoá bảo mật 128 bít
Thuật toán sự chứng thực
Xây Dựng VPN Trên IPv6
Những chức năng người nhận trong 1 phương pháp tương tự. Nó nhận mang đi
khoá bảo mật và nhận lấy đơn vị dữ liệu ( lần nữa với những trường thay đổi được
đặt là 0) và đi qua chúng để đến thuật toán sự chứng thực. Nếu kết quả giống sự
chứng thực dữ liệu, đơn vị dữ liệu được chứng thực nếu không chúng sẽ bị loại.
2.5.5. Playload bảo mật mã hóa
Payload bỏ mật mã hoá là phần mở rộng mà cung cấp một cách tín nhiệm và
bảo vệ chống lại sự nghe lén. Hình 30 trình bày sự định dạng. Trường chỉ mục tham
số bảo mật 32 bít định nghĩa kiểu mã hoá / không mã hoá được sử dụng.
Vùng Header nền tảng
Chỉ mục tham số bảo mật
GVHD: Nguyễn Văn Sinh - 37 -
Xây Dựng VPN Trên IPv6
Dữ liệu mã hoá
Hình 30 : Payload bảo mật mã hoá
Trường khác chứa những dữ liệu đang mã hoá với bất kỳ những tham số thêm
nào được cần bởi thuật toán. Sự mã hoá có thể được trang bị trong 2 cách :
Mode vận chuyển (Transport Mode): Trong mode vận chuyển một TCP hay
đơn vị dữ liệu người sử dụng UDP là cái đầu tiên được mã hoá và được gói vào
trong 1 gói IPv6. Sự mã hoá trong mode vận chuyển được sử dụng đa số để mã hoá
dữ liệu từ host sang host.
Sự mã hoá
Hình 31 : Sự mã hoá mode vận chuyển (Transport Mode Encryption)
Mode tunnel (Tunnel Mode): Trong mode tunnel toàn bộ dữ liệu IP với những
vùng Header nền tảng của nó và những vùng Header mở rộng được mã hoá và gói
vào trong 1 gói IP mới sử dụng vùng Header mở rộng Paylaod bảo mật mã hoá. Nói
cách khác chúng ta có 2 vùng Header nền tảng: 1 đã mã hoá, 1 chưa mã hoá.
2.5.6. Tùy chọn đính
GVHD: Nguyễn Văn Sinh - 38 -
Vùng header nền tảng và những vùng header khác
Chỉ mục
Dữ kiệu mã hoáDữ liệu thô
Xây Dựng VPN Trên IPv6
Tuỳ chọn đích được sử dụng khi nguồn chỉ cần chuyển thông tin đến đích.
Những router không ngay lập tức trao quyền truy cập cho những thông tin này.
Định dạng của tuỳ chọn đích tương tự như tuỳ chọn nhảy từng bước. Xa hơn chỉ có
Pad1 và PadN được định nghĩa.
So sánh giữa IPv4 và IPv6: Chúng ta hãy thực hiện một số sự so sánh giữa
những vùng Header mở rộng của IPv4 và IPv6:
Tuỳ chọn không hoạt động (no-operetion) và kết thúc tuỳ chọn ( end- of -
option) trong IPv4 được thay bằng Pad1 và PadN trong IPv6.
Tuỳ chọn bản ghi tìm đường không được trang bị trong IPv6 vì nó không
được sử dụng.
Tuỳ chọn ten thời gian (timestamp) không được trang bị vì nó không được
sử dụng.
Tuỳ chọn nguồn tìm đường (source route) được gọi là vùng Header mở
rộng tuỳ chọn nguồn tìm đường trong IPv6.
Những trường sự phân miếng (fragmentation) trong khu vực vùng Header
nèn tảng của IPv4 được chuyển đến vùng Header mở rộng tuỳ chọn sự phân miếng
của IPv6.
Vùng Header sự chứng thực là mới trong IPv6.
Vùng Header mở rộng Payload bảo mật mã hoá là mới trong IPv6.
3. Sự chuyển tiếp từ ipv4 sang ipv6
3.1. Đặt vấn đề
Giao thức IPv6 có nhiều ưu điểm vượt trội so với IPv4, đáp ứng được nhu cầu
phát triển của mạng Internet hiện tại và trong tương lai. Do đó, giao thức IPv6 sẽ
thay thế IPv4.
Tuy nhiên, không thể chuyển đổi toàn bộ các nút mạng IPv4 hiện nay sang IPv6
trong một thời gian ngắn. Hơn nữa, nhiều ứng dụng mạng hiện tạichưa hỗ trợ IPv6.
GVHD: Nguyễn Văn Sinh - 39 -
Xây Dựng VPN Trên IPv6
Theo dự báo của tổ chức ISOC, IPv6 sẽ thay thế IPv4 vào khoảng 2020- 2030. Vì
vậy, cần có một quá trình chuyển đổi giữa hai giao thức để tránh hiện tượng tương
tự như sự cố Y2K.
Các cơ chế chuyển đổi (Transition mechanism) phải đảm bảo khả năng tương tác
giữa các trạm, các ứng dụng IPv4 hiện có với các trạm và ứng dụng IPv6. Ngoài ra,
các cơ chế cũng cho phép chuyển tiếp các luồng thông tin IPv6 trên hạ tầng định
tuyến hiện có.
Trong giai đoạn chuyển đổi, điều quan trọng là phải đảm bảo sự hoạt động bình
thường của mạng IPv4 hiện tại.
Yêu cầu đối với các cơ chế chuyển đổi:
+ Việc thử nhiệm IPv6 không ảnh hưởng đến các mạng IPv4 hiện đang hoạt
động.
+ Kết nối và các dịch vụ IPv4 tiếp tục hoat động bình thường.
+ Hiệu năng hoạt động của mạng IPv4 không bị ảnh hưởng. Giao thức IPv6 chỉ
tác động đến các mạng thử nghiệm.
+ Quá trình chuyển đổi diễn ra từng bước. Không nhất thiết phải chuyển đổi toàn
bộ các nút mạng sang giao thức mới.
Các cơ chế chuyển đổi được phân thành 2 nhóm với hai chức năng khác nhau:
+ Kết nối các mạng và các nút mạng IPv6 qua hạ tầng định tuyến IPv4 hiện có.
Các cơ chế này bao gồm: Đường hầm (tunnel), 6to4, 6over4.
+ Kết nối các nút mạng IPv4 với các nút mạng IPv6. Các cơ chế này bao gồm:
SIIT, NAT- PT, ALG, DSTM, BIS, BIA, SOCK64.
- Mối cơ chế đều có ưu, nhược điểm và phạm vi áp dụng khác nhau. Tùy từng thời
điểm trong giai đoạn chuyển đổi, mức độ sử dụng của các cơ chế chuyển đổi sẽ
khác nhau.
Giai đoạn đầu: Giao thức IPv4 chiếm ưu thế. Các mạng IPv6 kết nối với nhau
trên nền hạ tầng IPv4 hiện có thông qua các đường hầm IPv6 qua IPv4.
Giai đoạn giữa: Giao thức IPv4 và IPv6 được triển khai về phạm vi ngang nhau
trên mạng. Các mạng IPv6 kết nối với nhau qua hạ tầng định tuyến IPv6. Các mạng
GVHD: Nguyễn Văn Sinh - 40 -
UDP
Data link (Ethernet)
TCP
Ipv6Ipv4
Xây Dựng VPN Trên IPv6
IPv4 kết nối với các mạng IPv6 sử dụng các phương pháp chuyển đổi địa chỉ giao
thức như NAT- PT, ALG…
Giai đoạn cuối: Giao thức IPv6 chiếm ưu thế. Các mạng IPv4 còn lại kết nối với
nhau trên hạ tầng định tuyến IPv6 thông qua các đường hầm IPv4 qua IPv6 khi
chuyển hoàn toàn sang IPv6.
3.2.Các phương thức chuyển đổi
3.2.1. Chồng giao thức
Đây là cơ chế đơn giản nhất cho phép nút mạng đồng thời hỗ trợ cả hai giao thức
IPv6 và IPv4. Có được khả năng trên do một trạm Dual Stack càI đặt cả hai giao
thức, IPv4 và IPv6. Trạm Dual Stack sẽ giao tiếp bằng giao thức IPv4 với các trạm
IPv4 và băng giao thức IPv6 với các trạm IPv6.
Application
Hình 32. Chồng hai giao thức
GVHD: Nguyễn Văn Sinh - 41 -
Xây Dựng VPN Trên IPv6
Do hoạt động với cả hai giao thức, nút mạng kiểu này cần ít nhất một địa chỉ
IPv4 và một địa chỉ IPv6. Địa chỉ IPv4 có thể được cấu hình trực tiếp hoặc thông
qua cơ chế DHCP. Địa chỉ IPv6 được cấu hình trực tiếp hoặc thông qua khẳ năng tự
cấu hình địa chỉ.
Nút mạng hỗ trợ các ứng dụng với cả hai giao thức. Chương trình tra cứu tên
miền có thể tra cứu đồng thời cả các truy vấn kiểu A lẫn kiểu AAAA(A6). Nếu kêt
quả trả về là bản ghi kiểu A, ứng dụng sẽ sử dụng giao thưc IPv4. Nếu kêt quả trả
về là bản ghi AAAA(A6), ứng dụng sẽ sử dụng giao thức IPv6. Nếu cả hai kết quả
trả về, chương trình sẽ lựa chọn trả về cho ứng dụng một trong hai kiểu địa chỉ hoặc
cả hai.
- Ưu điểm:
+ Đây la cơ chế cơ bản nhất để nút mạng có thể hoạt động đồng thời với cả hai
giao thứ do đó, nó được hỗ trợ trên nhiều nền tảng khác nhau như FreeBSD,
Linux, Windows và Solaris.
+ Cho phép duy trì các kết nối bằng cả hai giao thức IPv4 và IPv6.
Nhược điểm:
+ Khả năng mở rộng kém vì phảI sử dụng địa chỉ IPv4.
3.2.2. Đường hầm ipv6 qua ipv4
Đường hầm cho phép kết nối các nút mạng IPv6 qua hạ tầng định tuyến IPv4 hiện
có. Các trạm và các router IPv6 thực hiện bằng cách đóng các gói tin IPv6 bên rong
gói tin IPv4.Có 4 cách thực hiện đường hầm:
+ Đường hầm từ router dến router.
+ Đường hầm từ trạm đến router.
+ Đường hầm từ trạm đến trạm
+ Đường hầm từ router đến trạm.
GVHD: Nguyễn Văn Sinh - 42 -
Ipv4host host
IPv4 header IPv6 header Data
IPv6 header Data
IPv6 header Data
Xây Dựng VPN Trên IPv6
Hình 33. Đường hầm Ipv6 qua Ipv4
- Các cách thực hiện đường hầm khác nhau ở vị trí của đường hầm trong tuyến
đường giữa hai nút mạng. Trong hai cách đầu, gói tin được định đường hầm tới một
router trung gian sau đó, router này sẽ chuyển tiếp gói tin đến đích. Với hai cách
sau, gói tin được định đường hầm thẳng tới địa chỉ đích.
- Để thực hiện đường hầm, hai điểm đầu đường hầm phải là các nút mạng hỗ trợ cả
hai giao thức. Khi cần chuyển tiếp một gói tin IPv6, điểm đầu đường hầm sẽ đóng
gói gói tin trong một gói tin IPv4 bằng các thêm phần mở đầu header IPv4 phù hợp.
- Khi gói tin IPv4 đến điểm cuối đường hầm, gói tin IPv6 sẽ được tách ra để xử lý
tùy theo kiểu đường hầm
Gói tin ban đầu:
Gói tin đường hầm:
GVHD: Nguyễn Văn Sinh - 43 -
3ff:b00:a:1::111
Src=3ffe:b00:a:1::1
192.168.1.1 192.168.2.1
IPv66 Ipv44
IPv6 IPv6Header Dataheader
IPv6 IPv6 Header data
IPv4 IPv6 IPv6Header header data
3ffe:b00:a::3::2
Dst=3ffe:b00:a:3::2 Dst=192.168.2.1
Src=192.168.1.1
Xây Dựng VPN Trên IPv6
Gói tin ra klhỏi đường hầm
- Có hai loại đường hầm chính là đường hầm có cấu hình và đường hầm tự động.
Đường hầm có cấu hình (Configured tunnel)
Đặc điêm của đường hầm có cấu hình là địa chỉ điểm cuối đường hầm không
được xác định tự động mà dựa trên những thông tin cấu hình trước tai điểm đầu
đường hầm.
Hình 34: Đường hầm có cấu hình.
Đường hầm tự động (Automatic tunnel)
Đặc điểm của đường hầm tự động là địa chỉ điểm cuối đường hầm được xác định
một cách tự động. Đường hầm được tạo ra một cách tự động và cũng tự động mất
đi. Mô hình đầu tiên là dùng địa chỉ IPv6 có khuôn dạng đặc biệt: địa chỉ IPv6
tương thích IPv4 để mã hóa thông tin về địa chỉ IPv4 trong địa chỉ IPv6.
GVHD: Nguyễn Văn Sinh - 44 -
96 bit 32 bit
0:0:0:0:0:0: IPv4 ADDR
Xây Dựng VPN Trên IPv6
Hình 45: Địa chỉ IPv6 tương thích địa chỉ IPv4
- Tại điểm đầu đường hầm, nút mạng đóng gói sẽ tách phần địa chỉ IPv4 làm địa chỉ
điểm cuối đường hầm để đóng gói gói tin.
Ưu điểm:
+ Đường hầm tự động đơn giản, cho phép hai nút mạng IPv6 dễ dàng kết nối với
nhau qua kết nối IPv4 hiện có mà không cần các cấu hình đặc biệt.
Nhược điểm:
+ Hạn chế về không gian địa chỉ do phụ thuộc vào không gian địa chỉ IPv4.
+ Nguy cơ bị tấn công phá hoại bởi các tin tặc.
- Do địa chỉ cuối đường hầm được xác định hoàn toàn tự động và gói tin đường hầm
sẽ được giử đến địa chỉ IPv4 đó. Nếu không có cơ chế kiểm tra đặc biệt, giả sử có
một gói tin được giửi dén router của mạng (203.162.7.0) với địa chỉ IPv6
đích ::203.162.7.255. Địa chỉ IPv4: 203.162.7.255 là địa chỉ broadcast của mạng do
đó, các gói tin đường hầm sẽ được giử tới mọi trạm trong mạng.
- Do đó, các đường hầm tự động thường được han chế sử dụng. Sau này người ta đề
xuất một số phương pháp cải tiến như 6over, 6to4…
3.2.3. 6 over 4
Cơ chế cho phép các trạm IPv6 cô lập trên các liên kết vật lý không có các
router IPv6 hoạt động dựa trên các gói tin multicast IPv4 như một liên kết cục bộ
ảo. Cơ chế này còn gọi là mạng Ethernet ảo.
Để hỗ trợ các cơ chế Phát hiện láng giềng và tự cấu hình địa chỉ stateless, một số
các địa chỉ có phạm vi quản trị được sử dụng. Các nhóm multicas để giả lập một
GVHD: Nguyễn Văn Sinh - 45 -
Xây Dựng VPN Trên IPv6
tầng liên kết Ethernet. Do đó, cơ chế phat hiện láng giềng (ND) giữa các trạm IPv6
với các trạm 6over4 giống như trong tầng Ethernet thông thường. Cách tiếp cận này
tạo ra liên kết IPv6 thật trên một mạng LAN ảo. Điểm khác biệt là các trạm 6over4
vào cùng một miền IPv4 multicast thay vì một mạng chia sẻ đường truyền.
GVHD: Nguyễn Văn Sinh - 46 -
Xây Dựng VPN Trên IPv6
IPv6
IPv6 over IPv4
IPv4
Hình 36. 6over4
- Việc ánh xạ địa chỉ IPv6 sang địa chỉ tầng liên kết được thực hiện giống giao
thức ND. Trong trường hợp này, tùy chọn Địa chỉ tầng liên kết nguồn/đích sử
dụng IPv4 làm tầng liên kết. Do đó, toàn bộ mạng IPv4 được coi như một tầng
liên kết chia sẻ đường truyền thông qua việc sử dụng các địa chỉ multicast sau
đây:
+Địa chỉ multicast tất cả các nút mạng (239.X.0.1): Địa chỉ quản trị này được
dùng để đến mọi nút mạng trong miền IPv4 hỗ trợ cơ chế này.
+ Địa chỉ multicast tất cả các rouuter (239.X.0.2): Địa chỉ quản trị này được
dùng để đến mọi router trong miền IPv4 hỗ trợ cơ chế này.
+ Địa chỉ multicast solicited-node (239.X.C.D): Địa chỉ quản trị này được
dùng để xác định địa chỉ nút láng giềng (C và D là hai byte thấp trong địa chỉ
IPv4).
- Trong tấ cả các địa chỉ này, X chỉ định danh cục bộ liên kết (thường bằng 192).
GVHD: Nguyễn Văn Sinh - 47 -
Ipv6 network
Ipv6network
Xây Dựng VPN Trên IPv6
3.2.4. 6 to 4
6 to 4 router 6 to 4 router
192.168.99.1 192.168.30.1
Network Preix: Network Preix: 2002: c0a8:6301::/48 2002: c0a8:6301::/48
Hình 37 : 6 to 4
Khuôn dạng của một địa chỉ 6to4 như sau:
FP TLA IPv4ADDR SLAID Interface ID
Hình 38:Khuôn dạng địa chỉ 6to4
Cơ chế hoạt động:
GVHD: Nguyễn Văn Sinh - 48 -
Ipv6 IPv6Ipv4 IPv6
Xây Dựng VPN Trên IPv6
Type: native IPv6 Type: IPv6 in IPv4 2002:c0a8:1e01::1Dst:2002:c0a8:1e01::1 Dst:192.168.30.1 192.168.30.1
Hình 39 : Cơ chế hoạt động 6 to 4
Khi có một gói tin IPv6 với địa chỉ đích có dạng 2002::/16 được giử đến một router
6to4, router 6to4 tách địa chỉ IPv4 (địa chỉ Ipv4 vừa tách được chính là địa chỉ IPv4
của 6to4 router đích), bọc gói tin IPv6 trong gói tin IPv4 với địa chỉ đích là địa chỉ
IPv4 vừa tách được. Sau đó, các gói tin sẽ được chuyển tiếp trên hạ tầng IPv4. Khi
router 6to4 đích nhận được gói tin, gói tin IPv6 sẽ được tách ra và chuyển đến nút
mạng IPv6 đích.
- Ưu điểm:
+ Các nút mạng không bắt buộc phải dùng địa chỉ IPv6 kiểu tương thích IPv4
như đường hầm tự động.
+ Không cần nhiều cấu hình đặc biệt như đường hầm có cấu hình.
+ Không bị ảnh hưởng bởi các hệ thống tường lửa của mạng, chỉ cần routercủa
mạng có địa chỉ IPv4 toàn cục có thể định tuyến.
- Nhược điểm:
+ Chỉ thực hiện với một lớp địa chỉ mạng đặc biệt.
+ Có nguy cơ bị tấn công theo kiểu của đường hầm tự động nếu phần địa chỉ
IPv4ADDR trong địa chỉ đích của gói tin 6to4 là địa chỉ broadcast hay multicast.
- Triển khai:
GVHD: Nguyễn Văn Sinh - 49 -
Xây Dựng VPN Trên IPv6
+ 6to4 được hỗ trợ trên nhiều hệ điều hành như Linux, Windows 2000.
+ Linux: radvd có thể cấu hình để quảng bá tiền tố địa chỉ 6to4.
+ Windows 2000: chương trình 6to4cfg dùng để cấu hình mạng 6to4.
3.3.Mô giới đường hầm
Hiện nay, mạng IPv6 sử dụng rất nhiều đường hầm trên hạ tầng IPv4. Tunnel
Broker được đưa ra để giảm nhẹ chi phí cấu hình và duy trì các đường hầm này.
- Cơ chế này sử dụng một tập các server chuyên dụng gọi là Tunnel Broker để
cấu hinh và duy trì các đường hầm. Chúng có thể xem như các ISP IPv6 ảo cho các
người dùng đã kết nối vào Internet IPv4. Cơ chế này phù hợp cho các trạm (hoặc
site) IPv6 nhỏ cô lập muốn kết nối dễ dàng vào mạng IPv6.
- Cấu trúc của TUnnel broker bao gồm:
+ Một server tunnel broker.
+ Một DNS server.
+ Một số các server đường hầm.
GVHD: Nguyễn Văn Sinh - 50 -
Xây Dựng VPN Trên IPv6
IPv6 IPv4
host
IPv4 network
IPv4 network IPv6 network
Hình 40: Môi trường đường hầm
- Cách thức thực hiện:
+ Các khách hàng của dịch vụ Tunnel broker là các nút mạng IPv6 stack kép
(host hoặc router) đã kết nối vào Internet IPv4. Trước khi thiết lập đường hầm, cần
có sự trao đổi thông tin giữa Tunnel broker với khách hàng như xác thực, quản lý và
thông tin tài khoản.
+ Khách hàng kết nối tới tunnel broker để đăng kí và kích hoạt các đương hầm.
Tunnel broker có thể chia sẻ tại các điểm cuối đường hầm trên các server đường
hầm. Nó cũng có thể đăng kí tên và địa chỉ IPv4 của đầu đường hầm phía họ, tên
đăng kí trong DNS và đó là một trạm hay một router.
+ Tunnel broker chọn một server đường hầm làm điểm cuối đường hầm thực
sự. Nó chọn tiền tố cấp phát cho khách hàng (từ 0 đến 128) và cố định thời gian tồn
tại của đường hầm.
GVHD: Nguyễn Văn Sinh - 51 -
Xây Dựng VPN Trên IPv6
+ Tunnel broker đăng kí địa chỉ IPv6 cấp cho các điểm cuối đường hầm trong
DNS.
+ Tunnel broker cấu hình đường hầm phía server và thông báo các thông tin
liên quan cho khách hàng.
- Sau đó, khách hàng có thể kết nối vào mạng IPv6 thông qua cơ chế đường hầm
như bình thường.
- Ưu điểm:
+ Quản lý tập trung các đường hầm phía server, giảm bớt chi phí.
+ Có thể sử dụng các ISP ảo trên IPv6.
- Các Tunnel Broker trên mạng Internet:
+ Freenet6 www.freenet6.net
+ Hurriane Electric www.ipv6tb.he.net
3.4.Dịch địa chỉ dịch giao thức
Dịch địa chỉ và dịch giao thức được phát triển trên cơ sở cơ chế NAT trong
IPv4 nhằm cho phép các nút mạng IPv4 và IPv6 kết nối với nhau. Cơ chế này hoạt
động trên cơ sở chuyển đổi các khác biệt giữa các gói tin IPv4 và IPv6.
- Khác biệt về địa chỉ: Dịch địa chỉ IPv4- IPv6.
- Khác biệt về phần mở đầu header: Dịch giao thức thay đổi header gói tin.
Thiết bị NAT- PT được cài đặt tại biên giới giữa mạng IPv4 với Ipv6. Cơ chế này
không đòi hỏi các cấu hình dặc biệt tai các máy trạm và các sự chuyển đổi gói tin tại
thiết bị NAT- PT hoàn toàn trong suốt với người dùng.
- Mỗi thiết bị NAT- PT duy trì một tập các địa chỉ IPv4 dùng đẻ ánh xạ các yêu cầu
với địa chỉ IPv6.
- NAT- PT có thê mở rộng thành NAPT- PT cho phép sử dụng một địa chỉ - - IPv4
cho nhiều phiên làm việc khác nhau.
NAT- PT cũng như NAT cũng như IPv4 không có khả năng hoạt động với các gói
tin có chứa địa chỉ trong phần tải tin. Do đó, NAT- PT thường đi kèm với cơ chế
GVHD: Nguyễn Văn Sinh - 52 -
Xây Dựng VPN Trên IPv6
Cửa khẩu tầng ứng dụng ALG. Cơ chế này cho phép xử xý các gói tin ứng với từng
dịch vụ nhất định như DNS hay FTP, ...
- Ưu điểm:
+ Quản trị tập trung tại thiết bị NAT- PT.
+ Có thể triển khai nhiều thiế bị NAT- PT để tăng hiệu năng hoạt động.
- Nhược điểm:
+ Tạo lên một điểm gây lỗi loạn single poin of failure tại thiết bị NAT- PT.
- Các triển khai của NAT- PT: NAT- PT đã được thử nghiệm trên các hệ điều hành
mạng như:
+ Linux, Free BSD, Microsoft Windows 2000.
+ Ngoài ra, nó cũng là một phần của hệ điều hành Cisco IOS IPv6 bản beta với
hai phiên bản dựa trên IOS v11.3 và IOS v12.0. Các triển khai này có cho nhiều
loại router khác nhau.
Hình 41: NAI- PT
- SIIT (Stateless IP/ICMP Translation Algorithm) là một chuẩn của IETF
(RFC2765) mô tả bộ dịch IPv6/IPv4 không lưu trạng thái (Stateless).
- Tương tự cơ chế NAT- PT ngoại trừ nó không cấp phát động địa chỉ IPv4 cho các
trạm IPv6. Chức năng chuyển đổi thực hiện giữa header IPv6 và IPv4. SIIT không
bao gồm các tùy chọn IPv4 và header mở rộng trong IPv6.
SIIT cũng thực hiện chuyển đổi các thông điệp điều khiển ICMP giữa hai giao thức.
- Đối với quá trình chuyển đổi IPv4 sang IPv6, một địa chỉ IPv4 tạm thời được gán
cho nút mạng IPv6.
GVHD: Nguyễn Văn Sinh - 53 -
IPv4
Xây Dựng VPN Trên IPv6
- Các gói tin đến thiết bi SIIT sẽ được chuyển đổi header và địa chỉ từ IPv4 sang các
địa chỉ IPv4-dịch (IPv4- translated) và IPv4- ánh xạ (IPv4- mapped). Một địac hỉ
IPv4-dịch tương ứng với một nuts mạng IPv6 còn địa chỉ IPv4- ánh xạ tương ứng
một nút mạng IPv4. Đối với chiều ngược lại, các địa chỉ này sẽ được chuyển đổi
ngược lại thành địa chỉ IPv4.
- Do quá trình chuyển đổi không lưu trạng thái, có thể tồn tại nhiều bộ chuyển đổi
giữa hai mạng IPv4 và IPv6. Không có sự ràng buộc mỗi phiên truyền phải đi qua
một thiết bị duy nhất như trong NAT- PT.
3.5.Một số cơ chế khác.
3.5.1. BIS (Bump Into the Stack)
BIS là sự kết hợp của hai cơ chế NAT- PT và DNS- ALG nhưng được cài đặt
ngay tại các nút mạng IPv6. Qua đó, các ứng dụng trên các trạm IPv4 có thể kết nối
với các trạm IPv6.
Ưu điểm:
+ Hỗ trợ nhanh chóng và đơn giản các ứng dụng IPv4 có thể kết nối với các nút
mạng IPv6 khác.
+ Cài đặt ngay trên từng trạm nên không phụ thuộc vào một thiết bị trung gian
như NAT- PT.
Nhược điểm:
+ Không hỗ trợ khả năng tự cấu hình.
+ Cần cài đặt và cấu hình riêng rẽ trên từng nút mạng: card mạng, cấu hình IP,
NAT. Các thông số cấu hình này cần được thực hiện lại mỗi khi có sự thay đổi
về topo và địa chỉ mạng.
+ Về lâu dài và với các mạng có kích thước lớn, hoạt động không hiệu quả và
chi phí quản trị cao.
- Triển khai:
GVHD: Nguyễn Văn Sinh - 54 -
Xây Dựng VPN Trên IPv6
+Phần mềm Tôlnet6 hỗ trợ BIS hạn chế với một số card mang họ 3Com,
NE2000 dưới dạng driver cho card mạng do công ty Hitachi cung cấp. Chương trình
hoạt động với Win9x và NT cho phép kết nối với các trạm IPv6.
+Sau7 khi cài đặt phần driver của card mạng, cần cấu hình các ánh xạ địa chỉ
IPv6- IPv4 trước khi có thể thực hiện kết nối thông qua chương trình NAT
MAnager.
3.5.2. BIA (Bump Into the API
Phương pháp này áp dụng cho các dual- stack host (các host hỗ trợ cả IPv4 và
IPv6), cho phép các host IPv6 khác với các ứng dụng IPv4 hiện có.
Mục đích của phương pháp cũng giống như cơ chế Bump-in-the-stack (BIS) nhưng
nó đưa ra cơ chế dịch giữa các API IPv4 và IPv6. DO vậy, quá trình đơn giản không
cần dịch header gói tin IP và không phụ thuộc vào các giao thức tầng dưới và trình
điều khiển của giao diện mạng.
Host Translatorr( BIA) IPv6 hative host (API) IP v6 network
IPv4 Applications
IPv6 hative host
Hình 42: BIA
GVHD: Nguyễn Văn Sinh - 55 -
Xây Dựng VPN Trên IPv6
Phương pháp BIA không sủ dụng được trong các host chỉ hỗ trợ IPv4 như
phương pháp BIS. Nó chỉ được sử dụng trên các host IPv6/Ipv4 nhưng có một số
trình ứng dụng IPv4 không thẻ hoặc khó chuyển đổi sang hỗ trợ IPv6.
Do BIA hoạt động tại mức API socket nên ta có thể sử dụng các giao thức an
ninh tại tầng mạng (IPsec).
BIA hiện nay chỉ áp dụng được cho các trao đổi kiểu Unicast, chưa áp dụng được
cho kiểu Multicast. Các tính năng mới của socket IPv6 không thể sử dụng.
Phương thức hoạt động:
+ Phương pháp BIA chèn thêm một bộ dịch API vào giữa module socket API và
module TCP/IP trên dual-stack host và dịch các hàm API socket IPv4 thành các
hàm API socket IPv6 và ngược lại.
Để áp dụng phương pháp này, host hỗ trợ cả TCP(UDP)/IPv4 và TCP(UDP)/IPv6.
+ Khi một ứng dụng IPv4 giao tiếp với một host IPv6 khác, bộ dịch API phát hiện
các hàm APG socket mà ứng dụng sử dụng và gọi tương ứng các hàm API socket
IPv6 để giao tiếp với host IPv6 và ngược lại.
+ Quá trình chuyển đổi IPv6 sang một tập các địa chỉ IPv4 được thực hiện trong
module ánh xạ tên (name resolver).
- Kiến trúc của dual-stack host sử dụng BIA.
- Module BIA gồm 3 phần:
+ Module tra cứu tên (Name resolver): Đáp ứng các yêu càu tra cứu tên miền của
các ứng dụng IPv4. Khi một ứng dụng giửi một truy vấn các bản ghi kiểu A tới
name server, module này sẽ nhận truy vấn này, phân tích và tạo ra truy vấn tương
ứng với tên máy đó cho cả các bản ghi kiểu A và AAAA rồi giửi cho name server.
GVHD: Nguyễn Văn Sinh - 56 -
Xây Dựng VPN Trên IPv6
IPv4 Applications
Socket API (IPv4 , IPv6)
API Translator
TCP(UDP)/IPv4 TCP(UDP)/IPv6
Hình 43. Kiến trúc của dual- stack host sử dụng BIA
Nếu trả lời từ name server chỉ có bản ghi kiểu AAAA, module này sẽ yêu cầu
module ánh xạ địa chỉ gán một địa chỉ IPv4 tương ứng với địa chỉ IPv6 này rồi tạo
ra một trả lời kiểu A chứa địa chỉ IPv4 trả về cho ứng dụng
+ Module ánh xạ địa chỉ (Address mapper).
Duy trì một bảng các cặp địa chỉ IPv4 và IPv6. Các địa chỉ IPv4 được gán từ một
tập các địa chỉ này và cập nhật thêm một mục trong bảng. Quá trình cập nhật xảy ra
trong hai trường hợp:
Khi module ánh xạ tên chỉ nhận được trả lời về bản ghi kiểu AAAA và không có
mục nào trong bảng chứa địa chỉ IPv6 tương ứng.
Khi module ánh xạ hàm nhận được một lời gọi hàm API socket từ dữ liệu thu nhận
mà không có mục nào trong bảng tương ứng với địa chỉ IPv6 nguồn.
+ Module ánh xạ hàm (Function mapper): Chuyển đổi các hàm API socket IPv4
thành các hàm API socket IPv6 và ngược lại.
GVHD: Nguyễn Văn Sinh - 57 -
Xây Dựng VPN Trên IPv6
- Các vấn đề liên quan
+ Chuyển đổi API socket.
Các hàm API socket IPv4 được chuyển đổi tương ứng sang các hàm API socket
IPv6. Quá trình này chuyển đổi cả các địa chỉ IP nhúng trong các giao thức tầng
ứng dụng (FTP, DNS,...). Sự tương thích giữa các hàm API socket là không hoàn
toàn do các hàm API socket IPv6 có nhiều tính năng hơn.
Các hàm API socket được chuyển đổi:
bind()
connect()
sendmsg()
sendto()
accept()
rrecvfrom()
recvmsg()
getpeername()
gétockname()
gétocketopt()
sétocketopt()
recv()
send()
Bảng 3- 1. Các hàm API socket được chuyển đổi Các cấu trúc và hàm API cơ bản
AF_ INET AF- INET6
sockaddr_in sockaddr_in6
gethostbyname() getaddrinfo()
GVHD: Nguyễn Văn Sinh - 58 -
Xây Dựng VPN Trên IPv6
gethosbyaddr() getnameinfo()
inet_ntoa()/inet_addr() inet_pton()/inet_ntop()
INADDR_ANY in6addr_any
Bảng 3- 2. Các cấu trúc và hàm API cơ bản
- Các thông điệp ICMPv4 được chuyển thành ICMPv6 và ngược lại giống trong
phưong pháp SIIT.
+ Tập các địa chỉ IPv4 và bảng ánh xạ địa chỉ.
Để tránh hiện tượng dùng hết tập địa chỉ IPv4 dẫn đến không thể tiếp tục đáp ứng
các yêu cầu trao đổi với bên ngoài, BIA đưa ra các cơ chế để loại bỏ các mục tồn tại
lâu nhất trong bảng để sử dụng trong các yêu càu mới.
+ Các địa chỉ IPv4 nội bô.
Để tránh đụng độ về địa chỉ, BIA sử dụng các địa chỉ không được cấp phát (0.0.0.0
đến 0.0.0.255).
+ Vấn đề không phù hợp giữa kết quả DNS (AAAA) với phiên bản ứng dụng
(v4).
- Nếu server ứng dụng chưa hỗ trợ IPv6 nhưng chạy trên một máy có hỗ trợ IPv6 và
có tên dưới kiểu bản ghi AAAA trong DNS, ứng dụng client có thể không kết nối
được với server do có sự không phù hợp giữa bản ghi kết quả DNS (AAAA) với
phiên bản ứng dụng server (IPv4).
- Một trong các giải pháp là thử tất cả các địa chỉ trong DNS và không kết thúc
ngay sau lần thử đầu tiên. Điều này có thể ứng dụng bởi sự mở rộng module tra cứu
tên và bộ dich API trong BIA. BIA thực hiện lặp công việc tìm kiếm các địa chỉ
hoạt động sử dụng bởi các ứng dụng khác bên ngoài các địa chỉ trả về từ name
server.
GVHD: Nguyễn Văn Sinh - 59 -
Xây Dựng VPN Trên IPv6
3.5.3. Cơ chế chuyển đổi hai giao thức (DSTM)
Cơ chế này cho phép kết nối các nút mạng stack kếp (IPv6/IPv4) trên một
mạng IPv6 với các nút mạng IPv4 ở xa. DSTM không áp dụng được cho các nút
mạng chỉ hỗ trợ IPv6.
- DSTM cấp một địa chỉ IPv4 toàn cục tạm thời cho nút mạng IPv6 và sử dụng
đường hầm IPv4-in-IPv6 để truyền gói tin IPv4 trên mạng IPv6.
- Đây là cơ chế hai chiều, quá trình truyền thông có thể bắt đầu từ nút mạng IPv6
hoặc nút mạng IPv4.
- Cách thức hoạt động:
+ DSTM được cài đặt trên tất cả các nút mạng trong mạng IPv6 và router biên giới
giữa hai miền IPv6 và IPv4. Nó cũng sử dụng DHCPv6. Do vậy, DSTM cần một
server DHCPv6 và các client tại mỗi nút mạng.
DHCP
Border router(Y)IPv4IPv6
IPv4 only node (Z)
Dual stack node (X)
DNS
Bảng 3- 3. Cơ chế chuyển đổi hai giao thức (DSTM)
GVHD: Nguyễn Văn Sinh - 60 -
Xây Dựng VPN Trên IPv6
- Chức năng các bộ phận như sau:
+ DHCPv6 Server: Cấp địa chỉ IPv4 tạm thời cho các nút mạng muốn giao tiếp
với nút mạng IPv4 ở xa. Nó cũng duy trì sự ánh xạ giữa địa chỉ IPv4 và IPv6. Để
hỗ trợ DSTM, DHCPv6 phải hỗ trợ một tùy chọn mới cho phép nút mạng IPv6
nhận địa chỉ IPv4 tạm thời và thông báo cho phía client biết địa chỉ IPv6 của
cuối đường hầm.
+ DSTM daemon: Sử dụng DHCPv6 client trên nút mạng để yêu cầu địa chỉ
IPv4 toàn cục mỗi khi khởi tạo truyền thông.
+ Giao diện đường hầm động (DTI): Đây là một giao diện IPv4 ảo trongnut
stack kép để cho phép truyền các gói tin IPv4 một cách trong suốt trên mạng
IPv6. Các gói tin chuyển đến giao diện này được bọc trong gói tin IPv6 và được
giửi thông qua giao diện IPv6 đến router biên mạng.
+ Router biên mạng: Đây là một router stack kép kết nối miền IPv4 với IPv6.
Đây là nơi kết thúc đường hầm 4 trong 6. Router cũng lưu các ánh xạ giữa địa
chỉ IPv6 với địa chỉ IPv4 tạm thời.
- Ưu điểm:
+ Trong suốt đối với mạng, chỉ cần duy trì định tuyến IPv6 trên mạng, giảm chi
phí quản trị mạng.
+ Trong suốt đối với ứng dụng, cho phép các ứng dụng chỉ cho IPv4 hoạt động
bình thường trên nút mạng IPv4/IPv6.
+ Khắc phuc sự thiếu hụt địa chỉ IPv4 bằng cách sử dụng DHCPv6.
- Nhược điểm:
+ Đòi hỏi nhiều cơ chế đặc biệt.
+ Sử dụng các địa chỉ IPv4 toàn cục.
- Triển khai:
+Hiên mới chỉ có trên hệ điều hành Free BSD.
GVHD: Nguyễn Văn Sinh - 61 -
Xây Dựng VPN Trên IPv6
Chương 2: Tổng quan về VPN
1. Giới Thiệu về VPN
1.1. Giới thiệu
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn
thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ
dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối
vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc
sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau...
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và
dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành
thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua
mạng internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin
quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát
triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các
chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng
cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu
quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề
này, một giải pháp đưa ra là mạng riêng ảo (VPNs). Chính điều này là động lực cho
sự phát triển mạnh mẽ của VPNs như ngày nay.
Trong chương này, chúng ta sẽ đề cập đến những vấn đề cơ bản của kĩ thuật VPN
1.2. Một Số Khái Niệm
Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi
dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của
VPNs. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được
truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy
cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPNs là
GVHD: Nguyễn Văn Sinh - 62 -
Xây Dựng VPN Trên IPv6
đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng
với chi phí bổ sung hợp lý.
Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force
(IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP
chia sẻ và công cộng như mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang
mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông
tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical
"tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là
giao thức thông tin point-to-point.
Hình 1: VPN setup
Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật
của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau:
Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu
sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi,
người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong
phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng
một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện
nay thì sử dụng 2 khóa:
GVHD: Nguyễn Văn Sinh - 63 -
Xây Dựng VPN Trên IPv6
Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá
trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác
nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn
giao tiếp một cách an toàn với thực thể đó.
Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể,
tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất
cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể
có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao
tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử
dụng khóa riêng để giải mã dữ liệu đó.
Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and
Data Encryption Standard (DES).
Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến
được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một
dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy
cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một
khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key
encryption)
Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên
mạng sau khi người sử dụng đã xác nhận thành công.
1.3. Sự Phát Triển
VPNs không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô
hình VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành
như hiện nay.
Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được
biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết
GVHD: Nguyễn Văn Sinh - 64 -
Xây Dựng VPN Trên IPv6
nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên
ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông
qua hệ thống chuyển mạch chia sẻ công cộng.
Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated
Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho
phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao
thức X.25 và ISDN được xem là nguồn gốc của giao thức VPNs. Tuy nhiên do hạn
chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người
nên thời gian tồn tại của nó khá ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-
based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ
thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR này. Hai kĩ thuật này dựa trên
mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không
chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ
đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ
truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25
hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90,
người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng
quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPNs hiện tại đã đáp
ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling
technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác
định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol
(PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi
thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải
có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM
1.4. Ưu Điểm/Khuyết Điểm
GVHD: Nguyễn Văn Sinh - 65 -
Xây Dựng VPN Trên IPv6
a. Ưu điểm:
Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các
giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là
VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết
nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP).
Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông
khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể.
Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng
WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân nữa giúp làm
giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho
nhiều người người quản lý mạng.
Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet
cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy
cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể
kết nối dễ dàng với mạng intranet chính
Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông
qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPNs
sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy
quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin.
Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối
Internet nào được kích hoạt. Trong kĩ thuật VPNs thì các “đường hầm” chỉ được
hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng
khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó
cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh
doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối
thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển
trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.
b. Khuyết điểm:
GVHD: Nguyễn Văn Sinh - 66 -
Xây Dựng VPN Trên IPv6
Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn
mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng
VPNs.
Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ
sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes)
và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs
không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải
quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin
SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất
làm việc của cả mạng.
2. Các Dạng VPN
2.1. Remote access VPN
Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống. Hệ thống bao gồm
các thành phần chính:
Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và
ủy quyền của yêu cầu truy cập từ xa.
Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà
khoảng cách xa
Nhân sự: những người có trách nhiệm cấu hình hệ thống, bảo trì và quản
lý RAS và hỗ trợ người dùng ở xa.
GVHD: Nguyễn Văn Sinh - 67 -
Xây Dựng VPN Trên IPv6
hình 2: VPN remote access
Để nâng cấp Remote Access VPNs, người dùng xa và các văn phòng chi
nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết
nối với mạng trung tâm thông qua Internet. Mô hình thiết lập Remote Access VPN
được mô tả ở hình 1-3
GVHD: Nguyễn Văn Sinh - 68 -
Xây Dựng VPN Trên IPv6
Hình 3: VPN remote access setup
Ưu khuyết điểm của Remote Access VPNs so với Remote Access truyền
thống:
Không có thành phần RAS và các thành phần modem liên quan
Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi
ISP
Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối
địa phương. Do đó chi phí vận hành giảm rất nhiều.
Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ
cao hơn so với phải truyền dữ liệu đi xa.
VPNs cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó
hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập
mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất
lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất.
GVHD: Nguyễn Văn Sinh - 69 -
Xây Dựng VPN Trên IPv6
Bên cạnh những ưu điểm của VPNs thì vẫn tồn tại một số khuyết điểm còn
tồn tại của Remote Access truyền thống:
Remote Access VPNs không đảm bảo chất lượng của dịch vụ QoS.
Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân
mảnh và mất trật tự
Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên
khá nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó,
dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt.
Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa
phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường
truyền.
2.2. Intranet VPN
Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánh của
tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ
thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus
router. Mô hình được mô tả như hình 1-4:
Hình 4: VPN intranet
GVHD: Nguyễn Văn Sinh - 70 -
Xây Dựng VPN Trên IPv6
Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để
kết nối. Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu
cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa
lý của mạng intranet.
Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được
thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng
intranet sẽ giảm xuống. Giải pháp VPNs được mô tả như hình 1-5:
Hình 5: VPN extranet
Ưu điểm :
Giảm chi phí cho router được sử dụng ở WAN backbone.
Giảm số nhân sự hỗ trợ ở các nơi, các trạm
Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối
peer-to-peer mới.
Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết
hợp với kĩ thuật chuyển mạch nhanh như FR
GVHD: Nguyễn Văn Sinh - 71 -
Xây Dựng VPN Trên IPv6
Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt
hơn. Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành
intranet rất nhiều.
Khuyết điểm :
Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet -
mạng chia sẻ công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như
tấn công từ chối dịch vụ (denial-of-service)
Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao.
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải,
chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và
QoS không thể đảm bảo
2.3. Extranet VPN
Không giống như giải pháp của intranet VPNs và remote access VPNs,
extranet VPNs không tách riêng với thế giới ngoài. Extranet VPNs cho phép điều
khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các
đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong
hoạt động thương mại của tổ chức
Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở
hình1-6
GVHD: Nguyễn Văn Sinh - 72 -
Xây Dựng VPN Trên IPv6
Mô hình truyền thống có chi phí rất cao do mỗi mạng phân chia của intranet
phải có bộ phận kết nối (tailoring) tương xứng các mạng ngoài. Do đó sẽ vận hành
và quản lý rất phức tạp các mạng khác nhau. Ngoài ra yêu cầu nhân sự để bảo trì và
quản lý hệ thống phức tạp này trình độ cao. Ngoài ra, với thiết lập dạng này sẽ
không dễ mở rộng mạng do phải cài đặt lạu cho toàn bộ intranet và có thể gây ảnh
hưởng đến các kết nối mạng ngoài khác.
Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên
dễ dàng hơn và giảm chi phí. Thiết lập extraner VPNs được mô tả như hình 1-7:
GVHD: Nguyễn Văn Sinh - 73 -
Xây Dựng VPN Trên IPv6
Ưu điểm :
Giảm chi phí rất nhiều so với phương pháp truyền thống
Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn.
Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho
giải pháp tailoring phù hợp với nhu cầu tổ chức
Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi
phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống.
Khuyết điểm:
Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại
Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức.
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải,
chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không
ổn đinh và QoS không thể đảm bảo.
GVHD: Nguyễn Văn Sinh - 74 -
Xây Dựng VPN Trên IPv6
Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs đã
thõa mãn rất tốt nhu cầu của các doanh nghiệp.
3. Bảo Mật VPN
3.1. Xác nhận người dùng và quản lý truy cập
Xác nhận người dùng
Cơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn
truy xuất tài nguyên trong mạng thì phải được xác nhận cho phép truy cập. Do đó
chỉ có những người sử dụng được cho phép mới truy xuất tài nguyên mạng, giảm
thiểu sự truy xuất trái phép các tài nguyên mạng.
Sự xác nhận có thể bao gồm các thành phần sau hoạt động riêng biệt hay kết
hợp với nhau:
Đăng nhập ID và password: Người sử dụng dùng ID và password để xác
nhận truy cập từ các nút VPN.
S/Key password: Người dùng thiết lập S/KEY bằng cách chọn một
password bí mật và một số nguyên n. Số nguyên này có ý nghĩa là số lần mà hàm
mã hóa ( hiện tại là MD4) được áp dụng đối với password. Kết quả được lưu lại trên
server tương ứng. Khi người sử dụng đăng nhập tạm thời, server yêu cầu. Phần
mềm trên máy người sử dụng sẽ yêu cầu password bí mật và áp dụng lặp lại n-1 lần
hàm mã hóa và gửi kết quả về server. Server sẽ áp dụng hàm này thêm 1 lần nữa lên
kết quả vừa nhận được. Nếu kết quả nó đưa ra trùng lặp với giá trị được lưu trước
đó thì người sử dụng xác nhận thành công. Người sử dụng được cho phép truy cập
mạng, server sẽ thay thế và lưu giữ giá trị nhận được từ máy khách và giảm
password counter.
Remote Access Dial-In User Service (RADIUS). RADIUS là giao thức
bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là
máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server
RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu.
GVHD: Nguyễn Văn Sinh - 75 -
Xây Dựng VPN Trên IPv6
RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của
các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng
có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho
các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể
sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như
Password Authentication Protocol (PAP) và Challenge Handshake Authentication
Protocol (CHAP).
Two-factor token-based technique. Yêu cầu xác nhận bằng dấu hiệu
(token) và password. Trong quá trình xác nhận, phần cứng (thiết bị điện) được sử
dụng như các dấu hiệu và duy nhất như Personal Identification Number (PIN) được
sử dụng làm password. Theo truyền thống thì các dấu hiệu là các thiết bị phần cứng
(có thể là card), nhưng hiện nay thì một số nhà cung cấp sử dụng dấu hiệu dựa trên
phần mềm
Quản lý truy cập
Sau khi người sử dụng xác nhận thành công thì mặc định người đó có thể
truy cập đến tất cả các tài nguyên, dịch vụ và các ứng dụng trong nội bộ mạng. Nó
có thể tăng các nguy cơ bảo mật cho người sử dụng bởi vì người sử dụng có thể cố
ý hay không cố ý xáo trộn dữ liệu trên các thiết bị khác nhau. Bằng cách phân loại
các loại dữ liệu quan trọng và các dữ liệu không quan trọng mà người sử dụng làm
việc hằng ngày, bạn có thể ngăn chặn hiệu quả điều đó. Kết quả là sự truy cập có
thể bị ngăn cấm đến thiết bị lưu trữ những thông tin quan trọng này
Phân quyền quản lý truy cập cũng là 1 phần của quản lý truy cập. Nguy cơ
bảo mật này có thể được giảm bằng cách giới hạn quyền truy cập của người sử
dụng. Ví dụ, dữ liệu có thể được bảo vệ bằng cách cho phép các người sử dụng bình
thường chỉ được phép đọc dữ liệu. Và một số người sử dụng đặc biệt mới có khả
năng thay đổi hay xóa dữ liệu đó.
Quản lý truy cập dựa trên mã xác nhận người sử dụng (ví dụ ID). Tuy nhiên
một số thông số khác như địa chỉ IP nơi gửi hay nơi đến, địa chỉ cổng, và các nhóm
có thể đóng vai trò quan trọng trong phương pháp quản lý truy cập truyền thống. Cơ
GVHD: Nguyễn Văn Sinh - 76 -
Xây Dựng VPN Trên IPv6
chế quản lý truy cập hiện đại cũng dựa trên các thông số như thời gian, ngày, phần
mềm ứng dụng, dịch vụ hay phương pháp xác nhận URL và cơ chế mã hóa
3.2. Mã hóa dữ liệu
Mã hóa dữ liệu hay mật mã là một phần quan trọng trong vấn đề bảo mật
VPN và đóng vai trò quan trọng khi truyền dữ liệu quan trọng. Đó là cơ chế chuyển
đổi dữ liệu sang định dạng khác mà không có khả năng đọc được gọi là ciphertex,
do đó các truy xuất trái phép vào dữ liệu có thể ngăn được khi dữ liệu truyền qua
môi trường trung gian không an toàn.
Mã hóa dữ liệu có thể ngăn được các nguy cơ sau:
Xem dữ liệu trái phép Thay đổi dữ liệu Dữ liệu giả Ngắt dịch vụ mạng
Ở dữ liệu nhận được, người nhận phải giải mã trở lại định dạng ban đầu.
Trong trường hợp ciphertext bị ngăn chặn trong quá trình truyền đi thì người có dữ
liệu đó cũng không thể biết phương pháp để chuyển đổi nó về dạng ban đầu, do đó
nó cũng trở nên vô dụng với người đó. Hình 3-2 mô phỏng mô hình phương pháp
mã hóa truyền thống:
Người gửi và nhận trong tiến trình mã hóa gọi là hệ thống mã
hóa(cryptosystem). Cryptosystem thuộc một trong 2 dạng sau:
Đồng bộ Không đồng bộ
GVHD: Nguyễn Văn Sinh - 77 -
Xây Dựng VPN Trên IPv6
Cryptosystem được phân loại dựa theo số khóa (key) được sử dụng. Khóa có
thể là số, từ hay đoạn cú pháp được sử dụng nhằm mã hóa và giải mã
Hệ thống mã hóa đồng bộ
Hệ thống mã hóa đồng bộ dựa trên một khóa duy nhất, đó là một chuỗi bit cố
định độ dài. Nên cơ chế mã hóa này cũng được gọi là mã hóa khóa duy nhất. Khóa
là cá nhân (bi mật) và được sử dụng cho mã hóa cũng như giải mã.
Symmetric cryptosystems are based on a single key, which is a bit string of
fixed length. Therefore, this encryption mechanism is also referred to as single-key
encryption. The key is private (or secret) and is used for encryption as well as
decryption.
Trước khi truyền tải thông tin giữa 2 thành phần, khóa phải được chia sẻ với
nhau. Người mã hóa thông tin gốc sử dụng khóa cá nhân và gửi đến cho người
nhận. Khi nhận được dữ liệu đã được mã hóa, người nhận sử dụng cùng khóa đó để
giải mã.
Quá trình mã hóa đồng bộ được mô tả như hình 3-3
Như đã đề cập ơ trên, người nhận và nguời gửi cần phải chia sẻ cùng một
khóa. Một phương pháp chia sẻ khóa là người nhận cung cấp khóa bí mật hóa đối
với người nhận bằng cách gặp trực tiếp. Tuy nhiên điều này làm lãng phí thời gian
và cũng mất đi ý nghĩa của truyền thông tin bằng mạng. Một phương pháp khác để
chuyển khóa cho người nhận là bằng cách điện thoại. Nhưng phương pháp này có
GVHD: Nguyễn Văn Sinh - 78 -
Xây Dựng VPN Trên IPv6
thể bị nghe trộm. Một cách khác nữa là gửi bằng thư hay email. Và cũng như các
phương pháp trước, nguy cơ bị lấy mất thông tin là rất lớn.
Bởi vì các phương pháp gửi khóa đều không an toàn, một giải pháp khả thi
cho vấn đề này là làm cho độ dài khóa đủ lớn. Bất cứ người nào cũng cần phải “phá
vỡ” hay giải mã khóa trước nếu muốn xem thông tinh gốc. Tuy nhiên với khóa có
độ dài lớn thì việc giải mã khóa sẽ rất khó khăn. Phụ thuộc vào độ dài khóa, nhiều
thuật toán mã hóa đồng bộ đã được phát triển qua nhiều năm, một số thuật toán phổ
biến sử dụng mã hóa đồng bộ trong VPN là:
Data Encryption Standard (DES). DES đề xuất độ dài khóa đến
128bit. Tuy nhiên kích thước khóa đã giảm xuống còn 56bits bởi chính phủ Mĩ
nhằm tăng tốc độ thuật toán. Tuy nhiên với độ dài khóa được rút ngắn như vây thì
thuật toán mã hóa này bảo mật không tốt, có thể bi tấn công ví dụ như tấn công
Brute Force. Tong tấn công Brute Force thì khóa sẽ được tạo ra ngẫu nhiên và
được ghép vào file text cho đến khi khóa đúng được xác định. Với độ dài khóa nhỏ
hơn có thể dễ dàng tạo ra khóa đúng và hệ thống mã hóa mất tác dụng
Triple Data Encryption Standard (3DES). Giống như hệ thống
DES, 3DES cũng sử dụng khóa 56bit. Tuy nhiên, nó bảo mật tốt hơn do sử dụng 3
khóa khác nhau để mã hóa dữ liệu. Tiến trình thực hiện: Sử dụng khóa thứ nhất để
mã hóa dữ liệu, sử dụng khóa thứ 2 để giải mã dữ liệu mã hóa bước 1 và cuối cùng
sử dụng khóa 3 để mã hóa lần 2. Do đó nó tăng tính bảo mật nhưng cũng đồng thời
do tính phức tạp của thuật toán nên chậm hơn gấp 3 lần so với DES.
Ron's Code 4 (RC4). Phát triển bởi Ron Rivest, sử dụng khóa có độ
dài thay đổi đến 256bit. Vì độ dài của khóa nên RC4 được xếp vào một trong các cơ
chế mã hóa tốt nhất, nhưng cũng hoạt động nhanh. RC4 tạo một chuỗi byte ngẫu
nhiên và XOR chúng với file văn vản gốc. Vì byte được tạo ngẫu nhiên nên RC4
yêu cầu khóa mới cho mỗi lần gửi đi thông tin.
Hệ thống mã hóa xuất hiện 2 vấn đề chính. Đầu tiên là chỉ sử dụng một khóa
cho mã hóa và giải mã. Nếu một người ngoài mà biết được khóa này thì tất cả thông
tin truyền đạt sử dụng khóa này đều gặp nguy hiểm, nguy cơ mất mát cao. Di đó
GVHD: Nguyễn Văn Sinh - 79 -
Xây Dựng VPN Trên IPv6
khóa cần được thay đổi theo chu kì. Vấn đề thứ 2 là số lượng thông tin lớn, quản lý
khóa trở nên nhiệm vụ phức tạp. Thêm vào đó tổng chi phí cho thiết lập khóa ban
đầu, phân phối hay thay thế các khóa chu kì là rất đắt và lãng phí thời gian.
Hệ thống mã hóa không đồng bộ có thể giải quyết các vấn đề của hệ thống
mã hóa đồng bộ.
Hệ thống mã không đồng bộ
Thay thế cho khóa duy nhất của hệ thống mã hóa đồng bộ, hệ thống mã hóa
không đồng bộ sử dụng một cặp khóa liên quan toán học với nhau. Một khóa là cá
nhân và chỉ được biết bởi chủ của cặp khóa này. Khóa thứ 2 là khóa chung và được
phân phối tự do. Khóa chung được sử dụng cho mã hóa còn mã cá nhân được sử
dụng cho giải mã thông tin.
Trong giải pháp VPN, 2 hệ thống mã hóa không đồng bộ được sử dụng phổ
biến nhất là Diffie-Hellman (DH) algorithm và the Rivest Shamir Adleman (RSA)
algorithm.
a. Thuật toán Diffie-Hellman
Trong thuật toán Diffie-Hellman, mỗi thực thể giao tiếp cần 2 khóa, một để
phân phối cho các thực thể khác và một khóa cá nhân
b. Thuật toán The Rivest Shamir Adleman (RSA)
RSA là cơ chế mã hóa mạnh, là chuẩn trong hệ thống mã hóa không đồng
bộ. Không giống như Diffie-Hellman, thông tin gốc được mã hóa sử dụng khóa
chung của người nhận, Người nhận sẽ khôi phục lại thông tin ban đầu bằng khóa
chung của người gửi.
3.3. Cơ sở hạ tầng khóa chung (Public Key Infrastructure - PKI)
PKI là một bộ khung của các chính sách dể quản lý các khóa và thiết lập mộ
phương pháp bảo mật cho việc trao đổi dữ liệu. Các sự trao đổi dữ liệu sử dụng PKI
có thể xảy ra trong một tổ chức, một quốc gia, một khu công nghiệp hay một vùng.
GVHD: Nguyễn Văn Sinh - 80 -
Xây Dựng VPN Trên IPv6
Để nâng cao sự quản lý khóa và bảo đảm các giao dịch dữ liệu có độ an toàn cao,
một khung dựa trên PKI bao gồm các chính sách và thủ tục được hỗ trợ bởi các tài
nguyên phần cứng và phần mềm. Chức năng chính của PKI như sau :
Tạo ra các cặp khóa cá nhân và công cộng cho khách hàng PKI
Tạo và xác nhận chữ ký số
Đăng ký và xác nhận người sử dụng mới
Cấp phát các sự chứng nhận cho người sử dụng
Bám theo các khóa đã được cấp phát và lưu trữ lịch sử của mỗi khóa
( dùng để tham khảo trong tương lai)
Thu hồi rút lại các giấy chứng nhận không hợp lệ hoặc quá hạn
Xác nhận người sử dụng PKI
Trước khi cố tìm hiểu công việc của PKI, chúng ta hãy tìm hiểu các thành
phần tạo thành khung PKI
Các thành phần PKI
Các thành phần chính tạo thành khung PKI là
Khách hàng PKI Người cấp giấy chứng nhận (CA) Người cấp giấy đăng ký (RA) Các giấy chứng nhận số Hệ thống phân phối các giấy chứng nhận (CDS)
a. Khách hàng PKI
Một khách hàng PKI là thực thể mà yêu cầu giấy chứng nhận số từ CA hoặc
RA. Trườc khi một khách hàng PKI tham gia cvào các sự giao dịch dữ liệu, nó phải
có được một giầy chứng nhận số. Để làm được điều này, khách hàng phát ra một
yêu cầu về một giầy chứng nhận từ CA hoặc RA được chỉ định cho tổ chức. Khi
một khách hàng được xác nhận thành công, nó nhận được giấy xác nhận mà nó yêu
GVHD: Nguyễn Văn Sinh - 81 -
Xây Dựng VPN Trên IPv6
cầu. Sau khi nhận được giấy xác nhận, khách hàng sử dụng nó để nhận dạng mình.
Tuy nhiên trách nhiệm duy nhất của khách hàng là bảo vệ giữ gìn giấy chứng nhận
b. Certification Authority (CA)
CA là một người thứ ba tin cậy cấp phát các gấiy chứng nhận số đến khách
hàng PKI. Trườc khi cấp phát một xác nhận số, CA kiểm tra tính đồng nhất và tính
xác thực của khách hàng PKI
CA sử dụng các thủ tục và các nguyên tắc thực hiện riêng của nó để cấp phát
các giấy chứng nhận số. NHư bạn kỳ vọng, quá trình cấp giấy chứng nhận thay đổi
phụ thuộc vào cơ sở hạ tầng hợp lệ được hỗ trợ bởi CA, các chính sách tổ chức của
nó, mứ độ của giấy chứng nhận được yêu cầu. Quá trình có thể yêu cầu một vài
thông tin, như bằng lái xe, notarization hoặc dấu vân tay.
Một ví dụ của một CA nổi tiếng là Verisign,Inc
c. Registration Authority ( RA)
Trước khi thỏa mãn một yêu cầu về giấy chứng nhận số, CA phải xác nhận
và kiểm tra tính hợp lệ của yêu cầu. Tuy nhiên, bởi vì số lượng lớn các yêu cầu cho
giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ của yêu cầu cho
RA. RA nhận tất cả các yêu cầu cấp giấy chứng nhận và kiểm tra chúng
Sau khi một RA kiểm tra một yêu cầu thành công, nó chuyển yêu cầu tới
CA. CA phát giấy chứng nhận yêu cầu và chuyển nó tới cho RA. Ra sau đ1o
chuyển giấy chứng nhận tới khách hàng yêu cầu. Trong cách thực hiện này, RA
đóng vai trò như một gnười trung gian giữa các khách hàng PKI và CA.
d. Các giấy chứng nhận số
Một giấy chứng nhận số là một tương đương về mặt điện tử của một thẻ xác
nhận và được sử dụng để xác định duy nhất một thực thể trong suốt quá trình
truyền. Bên cạnh việc xác định định dan của người chủ, các giấy chứng nhận số
GVHD: Nguyễn Văn Sinh - 82 -
Xây Dựng VPN Trên IPv6
cũng loại bỏ cơ may của sự làm giả, vì thế giảm được nguy cơ của sự tạo ra dữ liệu,
các giấy chứng nhận số cũng ngăn chặn có hiệu quả người gởi từ các thông tin
không xác nhận
Một giấy chứng nhận số bao gồm các thông tin giúp xác nhận tính hợp lệ của
người gửi và bao gồm các thông tin sau :
Dãy số của giấy chứng nhận Hạn sử dụng của giấy chứng nhận Chữ ký số của CA Khóa công cộng của khách hàng PKI
Trong suốt một giao dịch, người gửi phải gửi giấy chứng nhận số của anh ấy
hoặc cô ấy theo với tín hiệu đã mã hóa để xác nhận anh ấy hay cô ấy. Người nhận
sử dụng khóa công cộng của CA để xác nhận tính hợp lệ của khóa công cộng của
người gửi, cái mà được gắn vào thông tin gửi. Như trong trường hợp các khóa công
cộng, khóa công công của CA được phổ biến rộng rãi và sẵn sàng cho tất cả. Khi
người nhận đã đảm bào được định danh đúng của người gửi, người sử dụng dùng
khóa công cộng của người gửi để giải mã thông tin thực sự
e. Hệ thông phân phối giấy chứng nhận
Hệ thống phân phối giấy chứng nhận là một kho chứa các giấy chứng nhận
được cấp cho người sử dụng và tổ chức. Thêm nữa CDS sinh ra và lưu trữ các cặp
khóa, mật hiệu các khóa công cộng sau khi đã xác nhận chúng, lưu trữ và thu hồi
các khóa bị mất hay hết hạn.CDS cũng chịu trách nhiệm cho việc xuất các khóa
công cộng tới các server dịch vụ thư mục
Các giao dịch dựa trên PKI
Như đã đề cập phía trên, PKI cung cấp bốn chức năng bo mật chính : sự cẩn
mật, sự toàn vẹn, sự xác nhận và không có sự từ chối. Mỗi bước trong một giao dịch
GVHD: Nguyễn Văn Sinh - 83 -
Xây Dựng VPN Trên IPv6
VPN được lặp lại một hay nhiều trong số các tính năng bảo mật này. Các bước
trong một giao dịch dựa trên PKI là :
Sự sinh ra cặp khóa. Trườc khi người gởi chuyển dữ liệu đến người
nhận mong muốn, nó báo cho người nhận biết mục đích của nó về việc trao đổi dữ
liệu. Như vậy thì, cà hai đầu sinh ra một cặp khóa tạo bởi khóa riw6ng và khóa
công cộng. Đầu tiên, khóa cá nhân được tạo ra. Sau đó, khóa công cộng tương ứng
được tạo bằng cách áp dụng một hàm băm một chiều đối với khóa riêng
Sự tạo ra chữ ký số. Sau khi cặp khóa được tạo ra, một chữ ký số duy
nhất được tạo ra. Chữ ký số này dùng để định danh người gửi dữ liệu. Để tạo ra chữ
ký số, đầu tiên thông tin gốc bị băm. Nói một cách khác, một hàm băm được áp
dụng vào tín hiệu gốc. Quá trình băm cho kết quả là một tập thông tin, cái mà sau
đó được mã hóa với khóa các nhân của người gửi. Kết quả được gọi là chữ ký số
Áp dụng mã hóa dữ liệu và chữ ký số.Sau khi một chữ ký số được tạo
ra, thông tin gốc được mã hóa với khóa công cộng của người gửi. Kế tiếp, chữ ký số
được tạo ợ trân được gắn vào thông tin đã mã hóa.
Thông tin đã mã hóa và khóa công cộng của người gửi được chuyển
tới người nhận. Thông tin được mã hóa sau ứo được truyền đến người nhận cùng
với khóa công cộng của người gửi. Thay vì chuyển khóa công cộng dưới dạng văn
bản rõ nghĩa thì khóa công cộng đầu tiên được mã hóa bởi khóa công cộng của
người nhận. Để giải mã khó công cộng được mã hóa này, người sử dụng phải sử
dụng khóa riêng của mình. Bởi vì khóa riêng của người nhận chỉ có người nhận
biết, cơ hội để cho các người xâm phạm phá khóa công cộng là rất thấp. Khóa công
cộng của người gửi còn được xem như là khóa phiên
GVHD: Nguyễn Văn Sinh - 84 -
Xây Dựng VPN Trên IPv6
Nhận thông tin và xác nhận định danh người gửi. Trong lúc nhận
thông tin mã hóa và khóa công cộng, người nhận có thể yêu cấu CA kiểm tra danh
tính người gửi. CA làm được điều đó bằng cách kiểm tra chữ ký số được gắn với
thông tin và báo kết quả cho người nhận biết. Nếu chữ ký số được kiểm tra thành
công, người nhận tiếp tục qua 1trình giải mã thông tin. Nếu không người nhận sẽ từ
chối và giao dịch sẽ kết thúc
Sự giải mã thông tin. Sau khi định danh người gửi được xác nhận thành
công, người nhận mã hóa thông tin. Để làm được như vậy người nhận đầu tiên phải
giải mã khóa công cộng của người gửi bằng cách sử dụng khóa riêng của nó. Khi
khóa công cộng của người gửi được ciết xuất thành công thì người nhận sẽ dùng nó
để giải mã thông tin
Sự xác nhận nội dung thông tin Cuối cùng, người nhận xác nhận kiểm
tra nội dung của thông tin nhận được. Đầu tiên, chữ ký số được giải mã sử dụng
khóa công cộng của người gửi và thông tin được chiết xuất ra. Thông tin mã hóa sẽ
được băm qua một hàm băm và một tập thông tin mới được rút ra. tập thông tin
nhận được va tập thông tin mới sinh ra được so sánh với nhau.nếu chúng phù hợp,
dữ liệu không bị chặn đứng hoặc can thiệp vào trong quá trình truyền
GVHD: Nguyễn Văn Sinh - 85 -
Xây Dựng VPN Trên IPv6
Ở phần kế, bạn sẽ được biết về các cách thực hiện PKI đa dạng được sử dụng
phần lớn bởi các tổ chức trên thế giới
Hiện thực PKI
Như bạn đã biết, CAs giúp thiết lập định danh đúng của các thực thể giao
tiếp. Tuy nhiên, CAs không những chứng thực các khách hàng PKI, mà còn các
CAs khác bằng cách phát giấy chứng nhận số tới chúng. Cas được kiểm tra, xoay
vòng, kiểm tra các CAs khác và chuỗi tiếp tục cho tới khi mỗi thực thể các thể tin
tưởng các thực thể khác liên quan đến một giao dịch. Chuỗi chứng nhận này được
biết đến như là đường đi của sự chứng nhận, và sự sắp xếp của CAs trong đường đi
chứng nhận này được xem như cấu trúc của PKI
Các loại chính của cấu trúc PKI bao gồm
Cấu trúc CA đơn Cấu trúc danh sách tin cậy Cấu trúc có thứ bậc
GVHD: Nguyễn Văn Sinh - 86 -
Xây Dựng VPN Trên IPv6
Cấu trúc mắt lưới Cấu trúc hỗn hợp
a. Cấu trúc CA đơn
Cấu trúc CA đơn là cấu trúc PKI đơn giản nhất. Như tên gọi của nó, cấu trúc
này được dựa trên CA đơn, cái mà cấp phát các giấy chứng nhận, và khi cần thiết
truy hồi các giấy chứng nhận. Tất cả các thực thể bên dưới có một mối quan hệ tin
cậy đối với CA này. Bởi vì sự vắng mặt của các CA khác trong mô hình, cấu trúc
này không hỗ trợ mối quan hệ tin cậy CA
Hình 3-7 miêu tả cấu trúc của một CA đơn
Cấu trúc CA đơn phù hợp với các tổ chức nhỏ bởi vì số lượng khách hàng
PKI tương đối thấp và sự quản lý các khách hàng này không phải là một nhiệm vụ
tiêu thụ thời gian
b. Cấu trúc danh sách tin cậy
Vì số lượng khách hàng PKI trong một tổ chức tăng, sự quản lý xác nhận và
kiểm tra định danh trở nên phức tạp và tiêu tốn nhiều thời gian đối với một CA đơn.
GVHD: Nguyễn Văn Sinh - 87 -
Xây Dựng VPN Trên IPv6
Tình huống này có thể được đơn giản bằng cách dùng nhiều CAs trong một cấu
trúc.
Với nhiều Cas, một khách hàng PKI đơn có thể yêu cầu các gấiy chứng nhận
từ nhiều hơn một CA. Kết quả là, mỗi khách hàng phải lưu trữ một danh sách các
mối liên hệ tin cậy với tất cả các CAs trong một cấu trúc – do đó có tên là cấu trúc
danh sách tin cậy
Hình 3-8 miêu tả cấu trúc danh sách tin cậy
Như bạn thấy trong hình 3-8, cấu trúc không hỗ trợ các mối quan hệ tin cậy
Ca
c. Cấu trúc có thứ bậc
Cấu trúc có thứ bậc là cấu trúc PKI được hiện thực phổ biến nhất và được sử
dụng trong các tổ chức có quy mô lớn. Không giống các cấu trúc ở trên, mô hình
này dựa trên các mối quan hệ tin cậy giữa các Cas khác nhau trong mô hình.
Như tên gọi của nó, Cas được sắp xếp một cách có thứ bậc và chia xe một
loại “cấp trên - cấp dưới ” của mối quan hệ tin cậy. CA cao nhất được xem như đỉnh
CA và được xem như điểm bắt đầu của mô hình. Nó cấp phát giấy chứng nhận và
GVHD: Nguyễn Văn Sinh - 88 -
Xây Dựng VPN Trên IPv6
kiểm tra định danh của các CAs cấp dưới của nó. Các CAs cấp dưới, xoay vòng, có
thể cấp giấy chứng nhận tới các cấp dưới của chúng và khách hàng PKI. Tuy nhiên
chúng không thể c6áp giấy chứng nhận cho cấp trên
Hình 3 – 9 miêu tả cấu trúc có thứ bậc
d. Cấu trúc mắt lưới
Không giống như cấu trúc thứ bậc, trong một cấu trúc mắt lứơi các Cas chia
sẻ một mối qun hệ tin cậy ngang hàng với các Cas khác. Kết quả là, chúng có thể
cấp phát các giầy chứng nhận số lẫn nhau, điều này có nghĩa là, mối quan hệ tin cậy
giữa các Cas là hai chiều. Các Cas cũng cấp phát giấy chứng nhận tới khách hàng
PKi của chúng
Hình 3-10 miêu tả cấu trúc mắt lưới PKI
GVHD: Nguyễn Văn Sinh - 89 -
Xây Dựng VPN Trên IPv6
e. Cấu trúc PKI hỗn hợp
Các cấu trúc trên phục vụ cho các yêu cầu của một tổ chức đơn. Tuy nhiên,
viễn cảnh và sự hiện thực của cơ sở hạ tầng PKI trở nên phức tạp khi một tổ chức
phải tác động tới các tổ chức khác, như là trương hợp với hầu hết các tổ chức ngày
nay. vấn đề nằm ở khả năng của sự khác nhau trong mỗi cấu trúc PKI của mỗi tổ
chức. Ví dụ, một tổ chức có thể sử dụng cấu trúc mắt lưới trong khi các tổ chức
khác sử dụng cấu trúc CA đơn. Trong tình huống như vậy, một cấu trúc hỗn hợp
chứng mính sự hữu ích vì nó cho phép sự tương tác thành công giữa hai tổ chức
Có ba loại cấu trúc hỗn hợp. Bao gồm
Cấu trúc danh sách tin cậy mở rộng. Trong cấu trúc này, ấtt cả các
khách hàng PKI giữ một danh sách mở rộng tất cả các điểm tin cậy trong cấu trúc
của tổ chức khác thêm vào các điểm tin cậy trong tổ chức của chúng. Một điểm tin
cậy trong cấu trúc của các hệ thông khác có thề hoặc là một CA đơn, nhiều hơn một
CA, hợac tất cả các Cas của tổ chức khác. Hình 3-11 miêu tả cấu trúc danh sách tin
cậy mở rộng giữa 3 tổ chức
GVHD: Nguyễn Văn Sinh - 90 -
Xây Dựng VPN Trên IPv6
Cấu trúc xác nhận chéo. Trong cấu trúc hỗn hợp này, gốc CA của một
cơ sở hạ tầng của một tổ chức lưu trữ một mối quan hệ ngang hàng với các Cas gốc
của các tổ chức khác. Hình 3-12 miêu tả cấu trúc xác nhận chéo
GVHD: Nguyễn Văn Sinh - 91 -
Xây Dựng VPN Trên IPv6
Cấu trúc CA cầu. Không giống cấu trúc xác nhận chéo, khi một mối
quan hệ trực tiếp ngang hàng tồn tại giữa gốc Cas của mỗi cơ sở hạ tầng của mỗi tổ
chức, một thực thể mới gọi là Bridge CA ( BCA) lưu giữ mối quan hệ ngang hàng
giữa các Cas gốc. Hình 3-13 miêu tả cấu trúc CA cầu
GVHD: Nguyễn Văn Sinh - 92 -
Xây Dựng VPN Trên IPv6
4. Các Giao Thức VPN
4.1. Kỹ thuật đường hầm
Kỹ thuật đường hầm là một thành phần cực kỳ quan trọng trong VPN, nó cho
phép các tổ chức tạo một mạng riêng ngay trên internet hoặc các mạng công cộng
khác. Mạng riêng ảo này không bị xâm nhập bởi “người lạ”, những cá nhân, máy
tính không thuộc tổ chức của mạng riêng ảo này.
Lưu ý: Hiện nay mạng internet được sử dụng rộng rãi ở khắp nơi. Tuy
nhiên bên cạnh mạng internet còn nhiều mạng khác được dùng để truyền các gói tin
đi trên những khỏang cách khá xa.
Đường hầm là kỹ thuật đóng gói tòan bộ dữ liệu của bất kỳ một định dạng
giao thức nào khác. Header của Đường hầm sẽ được đính vào gói tin ban đầu sau đó
đựơc truyền thông qua một cơ sở hạ tầng trung gian đến điểm đích.
Một điểm quan trọng của kỹ thuật đường hầm là nó có thể giúp truyền những
gói tin có giao thức không được hỗ trợ. Nếu gói tin này được gửi bình thường,
GVHD: Nguyễn Văn Sinh - 93 -
Xây Dựng VPN Trên IPv6
mạng truyền dẫn trung gian không thể hiểu được gói tin này đến đâu vì không biết
định dạng của nó. Đường hầm sẽ đính header vào gói tin gốc, phần header này sẽ
cung cấp thông tin về lộ trình và đích đến của gói tin giúp mạng vận chuyển gói tin
đến được nơi cần đến.
Lưu ý: Thuật ngữ đường hầm giống như công việc gửi thư. Sau khi bạn
viết xong một lá thư, bạn sẽ đặt nó vào trong bì thư. Trên bì thư có địa chỉ người
nhận. Sau khi bạn gửi lá thư, nó sẽ đến được người nhận theo địa chỉ ghi ở bì thư.
Người nhận cần mở lá thư ra trước khi đọc nó. Trong kỹ thuật đường hầm thì lá thư
giống như payload ban đầu còn bì thư giống như gói giao thức định tuyến bọc lấy
payload. Địa chỉ trên lá thư tương tự như thông tin định tuyến dính vào bì thư.
Hình 4.1 : quá trình đường hầm
4.2. Giao thức đường hầm
Kỹ thuật đường hầm sử dụng ba giao thức
Carrier protocol (giao thức sóng mang). Giao thức được dùng để gửi
gói tin đường hầm đến đích thông qua mạng tương tác. Gói tin đường hầm được
đóng gói bên trong gói tinc của giao thức này. Do nó phải gửi gói tin qua một mạng
không đồng nhất, ví dụ internet, giao thức này cần được hỗ trợ rộng rãi. Do đó nếu
đường hầm được tạo ra trong internet, giao thức sóng mang thường được dùng là
giao thức IP. Trong trường hợp mạng nội bộ, giao thức native routing được dùng
làm giao thức sóng mang.
GVHD: Nguyễn Văn Sinh - 94 -
Xây Dựng VPN Trên IPv6
Encapsulating protocol (giao thức đóng gói). Giao thức được dùng để
đóng gói payload ban đầu. Giao thức đóng gói cũng chịu trách nhiệm tạo ra, bảo trì
và kết thúc đường hầm. Ngày nay giao thức đóng gói thường là PPTP, L2TP, and
IPSec.
Passenger protocol (giao thức hành khách). Dữ liệu gốc cần được đóng
gói để truyền qua mạng nhờ đường hầm thuộc về giao thức này. Giao thức hành
khách thường là PPP and SLIP (Serial Line Internet Prbotocol)
Figure 4-7: Định dạng gói tin đường hầm của giao thức đường hầm
4.3.Ipsec
IPSec có nghĩa là Internet Protocol SECurity. It refers to a suite of protocols
(AH, ESP, FIP-140-1, v.v..) được phát triển bởi Internet Engineering Task Force
(IETF). IPSec cung cấp chức năng bảo mật tại lớp thứ ba trong mô hình OSI ( lớp
mạng ).
GVHD: Nguyễn Văn Sinh - 95 -
Xây Dựng VPN Trên IPv6
Hình 6.1 : Vị trí của IPSec trong mô hình OSI
Khi một cơ chế bảo mật mạnh được tích hợp vào IP, tòan bộ mạng sẽ được
bảo mật vì mọi sự thông tin liên lạc phải thông qua lớp thứ ba ( đây là lý do tại sao
IPSec lại được xây dựng ở lớp thứ ba thay vì lớp thứ hai ). Giao thức IPSec được
phát triển cho phiên bản IP hiện tại là IP 4 và cho cả phiên bản sau của IP ( IP 6 ).
Giao thức này không chỉ tương thích với mạng IP mà còn đối với nhiều mạng khác
nữa.
VớiIPSec, tất cả các ứng dụng chạy trên lớp ứng dụng của mô hình OSI khi
truyền dẫn dữ liệu sẽ phụ thuộc và bị kiểm sóat bởi lớp mạng. IPSec đã được tích
hợp vào IP, tất cả các ứng dụng mạng có thể sử dụng nó mà không cần phải điều
chỉnh gì hết. Tương tự như IP, IPSec trong suốt đối với người dùng, người dùng
không cần quan tâm đến cách thức để nó họat động.
IPSec gồm ba chức năng chính sau :
Xác thực và tòan vẹn dữ liệu.
Tin cẩn.
Quản lý khóa.
a. Authentication Header Protocol
Giao thức header xác thực (AH) đính thêm vào header của IP datagram.
Header này cung cấp IP datagram gốc tại nơi nhận. Bên cạnh đó, header này giúp
xác định bầt kì sự chỉnh sửa nào bởi các user trái phép khi dữ liệu truyền qua mạng.
Tuy nhiên HA không cung cấp sự tin cẩn.
Để tạo ra HA, Hashed Authentication Message Code (HMAC) được tạo ra
tai nơi gửi. Mã hash code được tạo ra trên một SA xác định, xác định thứ tự biến
đổi datagram. Mã sẽ được đính vào sau IP header ban đầu. Tại nơi nhận, HMAC
được giải mã để xác định người gửi cũng như tính tòan vẹn của dữ liệu.
GVHD: Nguyễn Văn Sinh - 96 -
Xây Dựng VPN Trên IPv6
Ghi chú : Thông thường mã hash code được thực thi trong AH là HMAC-
MD5 và HMAC-SHA1. DES-MAC thì có thể có hoặc không.
AH không hề đưa ra một cơ chế tin cẩn khi truyền đi. Nó chỉ đơn thuần thêm
một header vào IP datagram; phần còn lại của datagram được giữ nguyên như ban
đầu. AH không bảo vệ bất kì trường nào trong IP header bởi vì chúng có thể thay
đổi trong quá trình truyền. Trường duy nhất không thay đổi trong quá trình truyền
sẽ được bảo vệ bởi AH. Ví dụ IP của nơi gửi và nơi nhận. Hình 6-3 minh họa IP
datagram sau khi IPSec AH được thêm vào.
Hình 6-3: Gói IP sau khi authentication header được thêm vào
Độ dài AH là 24 bytes và cấu trúc định dạng của IPSec AH được mô tả như
hình vẽ 6-4.
Figure 6-4: Định dạng của IPSec Authentication Header
AH gồm có nhiều trường:
Next Header. Trường xác định giao thức bảo mật
Chiều dài Payload.Trường xác định chiều dài của thông điệp.
Để dành. Trường này được để dành, không sử dụng.
SPI (Chỉ số bảo mật). Trường xác định ngữ nghĩa của giao thức bảo
mật trong nhiều giao thức bã(địa chỉ đích đến và giao thức bảo mật)
Số thứ tự. Trường xác định trật tự các datagram.
GVHD: Nguyễn Văn Sinh - 97 -
Xây Dựng VPN Trên IPv6
Dữ liệu xác thực. Trường chứa dữ liệu xác thực và Integrity Check
Value (ICV) (giá trị kiểm tra tòan vẹn), dùng để kiểm tra tính tòan vẹn
của dữ liệu truyền đi.
b. Giao thức Encapsulating Security Payload (ESP)
ESP giúp tăng độ tin cậy trong quá trình xác định người người và xác minh
tính tòan vẹn của dữ liệu trong quá trình truyền qua mạng. ESP se mã hóa nội dung
của datagram bằng các giải thuật mã hóa. Một vài giải thuật thường được sử dụng là
: DES-CBG, NULL, CAST-128, IDEA, and 3DES. Giải thuật xác định tương tự
như những giải thuật dùng trong HA là HMAC-MD5 và HMAC-SHA.
So sánh ESP với AH ta thấy rằng : AH chú trọng đến việc xác minh và bảo
vệ tòan vẹn dữ liệu của IP datagram, trong khi đó ESP chỉ bảo vệ phần payload
(chứa nội dung cần truyền ) (Xem hình 6-5). ESP có cơ chế mã hóa khá mạnh nhờ
đó nó không hề làm nặng CPU và chạy nhanh hơn so với AH. Tuy nhiên do ESP
phải đính thêm 24 byte vào datagram nên nó khá chậm khi tính tóan và phân đọan.
Figure 6-5: The IP packet after the ESP header and trailer are added
Định dạng của datagram IP dựa trên ESP được minh họa ở hình 6-6 gồm
những trường sau.
SPI (Security Parameter Index). Trường này mô tả về ngữ cảnh của SA
( địa chỉ đích, giao thức sử dụng).
Số thứ tự. Trường mô tả chuỗi các datagram trong phiên truyền thông tin
này.
GVHD: Nguyễn Văn Sinh - 98 -
Xây Dựng VPN Trên IPv6
Đệm. Trường dùng để đệm thêm vào payload nếu payload không đủ độ
dài cần thiết.
Chiều dài đệm. Trường mô tả độ dài của phần đệm thêm. Nó giúp máy
nhận xác định ranh giới của phần payload gốc so với sau khi đệm thêm
vào.
Next Header. Trường xác định giao thức bảo mật để đóng gói.
Dữ liệu xác thực. Trường chứa dữ liệu xác thực với giá trị kiểm tra tính
tòan vẹn (ICV), dùng để kiểm tra tính tòan vẹn của thông điệp gửi đi
IPSec Modes
SA trong IPSec được thực thi trong hai mode (minh họa hình 6-7). Gồm đó
mode truyền tải(Transport mode) và mode đường hầm (Tunnel mode). Cả AH va
ESP đều họat động ở cả hai mode.
Figure 6-7: The two IPSec modes
a. Mode chuyền tải
GVHD: Nguyễn Văn Sinh - 99 -
Xây Dựng VPN Trên IPv6
Mode chuyển tải bảo vệ các giao thức ở lớp trên và các trình ứng dụng.
Trong mode chuyền tải, IPSec header được gắn vào giữa IP header và header của
các giao thức lớp trên, minh họa hình 6-8
Figure 6-8: IPSec mode truyền tải
Figure 6-9: AH mode vận chuyển.
Đối với ESP, ESP trailer và ESP dữ liệu xác thực được đính vào sau payload
ban đầu. Sau đó một header mới được thêm vào trước payload (minh họa hình 6-
10).
Figure 6-10: ESP mode truyền tải.
GVHD: Nguyễn Văn Sinh - 100 -
Xây Dựng VPN Trên IPv6
Mode truyển tải ít sử lý ở phần đầu của datagram nên nó nhanh hơn. Tuy
nhiên nó sẽ không hiệu quả với ESP hoặc các trường hợp không xác thực cũng như
mã hóa IP header.
b. Mode đường hầm
Khác với mode truyền tải, mode đường hầm bảo vệ tòan bộ IP datagram.
Tòan bộ IP datagram được bọc lại vởi một IP datagram khác, sau đó một IPSec
header đính vào giữa IP header cũ và mới.(Hình 6-11 minh họa họat động của
IPSec ở mode đường hầm.
Figure 6-11: IPSec mode đường hầm
Mode đường hầm của AH, một header mới (AH) được thêm vào giữa IP
header mới và header cũ ( hình 6-12).
Figure 6-12: AH mode đường hầm.
GVHD: Nguyễn Văn Sinh - 101 -
Xây Dựng VPN Trên IPv6
Trong trường hợp của ESP, datagram ban đầu kết thúc bằng payload cho một
gói tin ÉP mới, and, as a result of which, both encryption as well as authentication
can be implemented with ease. Figure 6-13 represents the ESP Tunnel mode
Figure 6-13: ESP mode đường hầm
4.4. L2TP (Layer 2 tuneling Protocal)
Được phát triển bởi IETF và được ủng hộ bởi các nhà công nghiệp khổng lồ
như Cisco Systems, Microsoft, 3COM, và Ascend, L2TP là sự kết hợp hai giao
thức VPN sơ khởi PPTP và L2F. Do đó L2TP kết hợp được các tính năng của L2F
và PPTP. L2TP cung cấp dịch vụ mềm dẻo với giá cả truy cập từ xa hiệu quả của
L2F và tốc độ kết nối điểm tới điểm nhanh của PPTP.
Lợi ích của L2TP kết hợp từ các tính năng của L2F và PPTP:
L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP.
Do đó nó có thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập.
L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua
Internet và các mạng công cộng khác, như.
L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều
khiển hay phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ
đều không cần phải thực thi phần mềm chuyện dụng
L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP
của riêng truy cập mạng từ xa thông qua mạng công cộng.
GVHD: Nguyễn Văn Sinh - 102 -
Xây Dựng VPN Trên IPv6
Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của
máy chủ. Do đó ISPs không cần cập nhật dữ liệu chứng thực user hay quyền truy
cập của user từ xa. Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập
tới nó và có các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường
hầm của L2TP nhanh hơn so với các nghi thức đường hầm trước nó.
Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất
như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy
đích) của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ
user từ xa và gateway của ISP
Hình 5-15: Đường hầm L2TP.
Khi Frame PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng
gói dưới dạng gói dữ liệu user : thông điệp UDP(Uer Datagram Protocol). L2TP sử
dụng thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy
gói dữ liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc.
GVHD: Nguyễn Văn Sinh - 103 -
Xây Dựng VPN Trên IPv6
4.5.PPTP ( Point to point tuneling protocal)
PPTP là một giải pháp mạng riêng cho phép bảo mật dữ liệu truyền giữa các
máy khách di động và máy chủ bằng cách thiết lập mạng riêng ảo dựa trên nền IP
của mạng internet. PPTP được phát triển bởi Microsoft Corporation, Ascend
Communications, 3COM, US Robotics và ECI Telematics. PPTP không chỉ cung
cấp đường truyền bảo mật thông qua mạng công cộng mà còn bảo mật trong mạng
Chú ý: Vì Microsoft Corporation đóng vai trò chính trong việc phát triển PPTP nên
tất cả các sản phẩm mạng của Microsoft như Window NT 4.0, Windown 2000 đều
hỗ trợ PPTP.
Có hai đặc tính nổi bật đóng vai trò quan trọng trong việc bảo mật của PPTP
khi các kết nối có khoảng cách xa:
Sử dụng mạng chuyển mạch điện thoại công cộng. PPTP cho phép sử
dụng mạng chuyển mạch điện thoại công cộng để thực thi mạng riêng ảo. Và vậy
việc thực thi mạng riêng ảo sẽ trở nên rất đơn giản và chi phí thấp bằng cách sử
dụng đường leasline của doanh nghiệp để cung cấp thêm các dịch vụ truyền thông
khác.
Cung cấp giao thức Non_IP. Mặc dù được phát triển trên nền IP của
mạng internet nhưng PPTP cũng hỗ trợ để hiện thực các giao thức mạng khác như
TCP/IP, IPX, NetBEUI, và NetBIOS. Vì vậy, PPTP chứng tỏ khả năng có thể triển
khai dễ dàng trên mạng riêng ảo thông qua mạng LAN hoặc mạng công cộng.
PPTP đưa ra nhiều cơ chế bảo mật cho máy chủ và máy khách PPTP. Các
dịch vụ bảo mật bao gồm:
Mã hóa và nén dữ liệu Chứng thực Kiểm soát truy cập Lọc gói
Với các cơ chế bảo mật trên, PPTP có thể được sử dụng kết hợp với tương lửa và các bộ định tuyến.
GVHD: Nguyễn Văn Sinh - 104 -
Xây Dựng VPN Trên IPv6
a. Mã hóa và nén dữ liệu PPTP
PPTP không cung cấp cơ chế mã hóa để bảo mật dữ liệu. Nó sử dụng dịch vụ
mã hóa dữ liệu được cung cấp bởi PPP. Trên thực tế thì PPP sử dụng phương pháp
mã hóa điểm tới điểm của Microsoft( MPPE- Microsoft Point-to-Point Encryption),
dựa trên phưương pháp mã hóa công khai-bí mật.
Mã công khai – bí mật được sử dụng trong PPP là ID của người dung và password tương ứng. 40 bit được dung để mã hóa ID và password theo giải thuật băm được lưu trữ trên cả máy chủ và máy khách. Giải thuật băm sẽ tạo khóa của mã RSA RC4. Khóa này sẽ được sử dụng để mã hóa dữ liệu truyền trong đường hầm PPTP. Tuy nhiên khóa 40 bits ngắn và không đủ để chống đỡ ký thuật hacking hiện nay, nên người ta có thể sử dụng khóa 128 bits. Để giảm các nguy cơ liên quan bảo mật, Microsoft đề nghị tạo lại mã mới sau khi gói thứ 256 được truyền đi.
b. Chứng thực dữ liệu PPTP
PPTP hỗ trợ các cơ chế chứng thực của Microsoft:
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol).
PAP (Password Authentication Protocol).
c. Kiểm soát truy cập PPTP
Sau khi máy khách PPTP từ từ xa được chứng thực thành công thì nó có thể
truy cập những nguồn lực bên trong của mạng, điều này có thể hạn chế mục đích
tăng cường bảo mật. Tuy nhiên người ta vẫn có thể thực hiện mục tiêu bảo mật
bằng các phương tiận kiểm soát truy cập:
Access rights ( Quyền truy cập) Permissions ( Cho phép truy cập) Workgroups ( Truy cập theo nhóm)
d. Lọc gói PPTP
Lọc gói PPTP cho phép máy chủ của mạng riêng chấp nhận và định tuyến
gói chỉ từ các máy khách đã được định quyền. Do vậy chỉ các máy khách đã được
kiểm quyền mới có thể truy cập được đến các máy xác định của mạng từ xa.. Như
GVHD: Nguyễn Văn Sinh - 105 -
Xây Dựng VPN Trên IPv6
vậy PPTP không chỉ cung cấp các dịch vụ chứng thực user, kiểm soát truy cập, các
phương pháp mã hóa mà còn tăng khả năng bảo mật của mạng.
e. PPTP với tường lửa và các bộ định tuyến
Các thiết bị PPTP ( chủ và khách) nhận dữ liệu TCP và IP ở cổng 1723 và
cổng 47. Tuy nhiên khi kết hợp với tường lửa và bộ định tuyến, lưu lượng đến các
cổng này được định tuyến thông qua tường lửa và bộ định tuyến. Tường lửa và bộ
định tuyến sẽ lọc dũ liệu dựa trên danh sách kiểm soát truy cập và các cơ chế bảo
mật khác. Trong trường hợp này PPTP có thể tăng cường khả năng bảo mật mà nó
cung cấp.
GVHD: Nguyễn Văn Sinh - 106 -
Xây Dựng VPN Trên IPv6
Chương 3: Xây Dựng VPN Trên IPv6
1. Ý tưởng xây dựng mô hình bài Lab
Ngày nay, IPv6 đã và đang dần được triển khai áp dụng trong một số mô hình
mạng, sự ra đời và triển khai IPv6 là rất cần thiết nhưng cũng không thể phủ bỏ hệ
thống mạng IPv4 được, do đó để đáp ứng nhu cầu thực tế chúng ta xây dựng hệ
thống mạng IPv6 với những đường hầm qua IPv4 ma không ảnh hưởng gì đến hệ
thống mạng.
Chúng ta có hai mạng LAN đang sử dụng thuần IPv6 đó là site HANOI và site
SAIGON, hai site này kết nối VPN với nhau thông qua mạng internet đang sử dụng
IPv4, chúng ta xây dựng tunnel mã hóa bằng Ipsec.
2. Từng bước xây dựng và cấu hình
2.1. Phần mền và các thiết bị yêu cầu
3 router, dùng GNS3 để cấu hình router
Router HANOI:
Cisco router 3660.
Ram of router: 256Mb.
IOS router: c3660-jk9o3s-mz.123-17a.bin
Router ISP:
Cisco router 3660.
Ram of router: 256Mb.
IOS router: c3660-jk9o3s-mz.123-17a.bin
Router SAIGON:
Cisco router 3660
Ram of router: 256Mb.
GVHD: Nguyễn Văn Sinh - 107 -
Xây Dựng VPN Trên IPv6
IOS router: c3660-jk9o3s-mz.123-17a.bin
2 pc chạy hệ điều hành XP và windown server
2.2. Mô tả kết mối
ta
Ta có 2 site HANOI và SAIGON kết nối với nhau qua ISP
Site HANOI có địa chỉ: 2100::/64
Cổng Ethennet có địa chỉ 2100::1/64
Cổng serial có địa chỉ 20.0.0.2/24
Tunnel có địa chỉ: 4000::1/64
Site SAIGON có địa chỉ: 3100::/64
GVHD: Nguyễn Văn Sinh - 108 -
Xây Dựng VPN Trên IPv6
Cổng Ethenet có địa chỉ: 3100::1/64
Cổng serial có địa chỉ 30.0.0.2/24
Tunnel có địa chỉ: 4000::2/64
2.3. Các bước cấu hình
2.3.1. Cấu hình windown XP
Cài đặt ipv6
C:\>netsh interface ipv6 install
C:\>netsh intterface ipv6 add address
“local Area connetion” 3001::2/64
Kiểm tra ip
C:\>ipconfig/all
2.3.2. Cấu hình window Server
Cài đặt ipv6
C:\>netsh interface ipv6 install
C:\>netsh intterface ipv6 add address
“local Area connetion” 2001::2/64
Kiểm tra ip
C:\>ipconfig/all
2.3.3. Cấu hình Router HANOI
Cấu hình địa chỉ ip cho các interface
HANOI(config)#interface Ethenet1/0
HANOI(config-if)#ip address 2100::1/64
HANOI(config-if)#no shutdown
HANOI(config)#interface serial2/0
GVHD: Nguyễn Văn Sinh - 109 -
Xây Dựng VPN Trên IPv6
HANOI(config-if)#ip address 20.0.0.2 255.255.255.0
HANOI(config-if)# clock rate 64000
Cấu hình isakmp policy
HANOI(config)#ctypto isakmp policy 1
HANOI(config-isakmp)#encrypto 3des
HANOI(config-isakmp)#hash sha
HANOI(config-isakmp)#authentication pre-shared
HANOI(config-isakmp)#group 2
HANOI(config-isakmp)#exit
HANOI(config)#crypto isakmp key 123 address 30.0.0.2
Cấu hình ipsec
HANOI(config)#ctypto ipsec transform-set myset esp-3des esp-sha-
hmac
HANOI(config)#ipv6 access-list dinhxuan
HANOI(config-access-list)#permit ipv6 2100::/64 3100::/64
HANOI(config-crypto-transform-set)#exit
HANOI(config)#crypto map mymap 1 ipsec-isakmp
HANOI(config-crypto)#math address 100
HANOI(config-crypto)#set transform-set myset
HANOI(config-crypto)#set peer 30.0.0.2
Cấu hình tunnel
HANOI(config)#interface tunnel 1
HANOI(config-interface)#ipv6 enable
HANOI(config-interface)#ipv6 address 4000::1/64
HANOI(config-interface)#tunnel source serial2/0
HANOI(config-interface)#tunnel destination 30.0.0.2
HANOI(config-interface)#tunnel mode ipv6 ip
HANOI(config-interface)#crypto map mymap
GVHD: Nguyễn Văn Sinh - 110 -
Xây Dựng VPN Trên IPv6
2.3.4. Cấu hình Router ISP
Cấu hình ip các interface trên Router ISP
ISP(config)# interface Serial1/0
ISP(config-interface)# ip address 20.0.0.1 255.255.255.0
ISP(config-interface)# clock rate 64000
ISP(config-interface)# no shutdown
ISP(config)# interface Serial1/1
ISP(config-interface)# ip address 30.0.0.1 255.255.255.0
ISP(config-interface)# clock rate 64000
ISP(config-interface)# no shutdown
2.3.5. Cấu hình Router SAIGON
Cấu hình địa chỉ ip cho các interface
SAIGON(config)#interface Ethenet1/0
SAIGON(config-if)#ip address 3100::1/64
SAIGON(config-if)#no shutdown
SAIGON(config)#interface serial2/0
SAIGON(config-if)#ip address 30.0.0.2 255.255.255.0
SAIGON(config-if)# clock rate 64000
Cấu hình isakmp policy
SAIGON(config)#ctypto isakmp policy 1
SAIGON(config-isakmp)#encrypto 3des
SAIGON(config-isakmp)#hash sha
SAIGON(config-isakmp)#authentication pre-shared
SAIGON(config-isakmp)#group 2
SAIGON(config-isakmp)#exit
SAIGON(config)#crypto isakmp key 123 address 20.0.0.2
GVHD: Nguyễn Văn Sinh - 111 -
Xây Dựng VPN Trên IPv6
Cấu hình ipsec
SAIGON(config)#ctypto ipsec transform-set myset esp-3des esp-
sha-hmac
SAIGON(config)#ipv6 access-list dinhxuan
SAIGON config-access-list)#permit ipv6 3100::/64 2100::/64
SAIGON(config-crypto-transform-set)#exit
SAIGON(config)#crypto map mymap 1 ipsec-isakmp
SAIGON(config-crypto)#math address 100
SAIGON(config-crypto)#set transform-set myset
SAIGON(config-crypto)#set peer 30.0.0.2
Cấu hình tunnel
SAIGON(config)#interface tunnel 1
SAIGON(config-interface)#ipv6 enable
SAIGON(config-interface)#ipv6 address 4000::2/64
SAIGON(config-interface)#tunnel source serial2/0
SAIGON(config-interface)#tunnel destination 20.0.0.2
SAIGON(config-interface)#tunnel mode ipv6 ip
SAIGON(config-interface)#crypto map mymap
3. Kết quả
Cấu hình địa chỉ ipv6 winxp
GVHD: Nguyễn Văn Sinh - 112 -
Xây Dựng VPN Trên IPv6
Cấu hình địa chỉ win server
GVHD: Nguyễn Văn Sinh - 113 -
Xây Dựng VPN Trên IPv6
Cấu hình router HANOI
Cấu hình router ISP và SAIGON
GVHD: Nguyễn Văn Sinh - 114 -
Xây Dựng VPN Trên IPv6
Kết quả Win Server ping đến Win XP và ngược lại
GVHD: Nguyễn Văn Sinh - 115 -
Xây Dựng VPN Trên IPv6
GVHD: Nguyễn Văn Sinh - 116 -
Xây Dựng VPN Trên IPv6
Chương 4: kết luận và hướng phát triển
1. Kết luận
Sự phát triển của ngành công nghệ thông tin nói chung và ngành mạng máy tính
nói riêng, nhiều công nghệ mới đã được áp dụng thành công và mang lại nhiều lợi
ích đáng kể, giảm thiểu được chi phí, tăng cường tính an toàn trên toàn hệ thống
mạng, đảm bảo tính toàn vẹn của dữ liệu trên hệ thống mạng. Sự bùng nổ về
internet và cạn kiệt nguồn tài nguyên IPv4 dẫn đến rự ra đời của IPv6 với đề tài này
sẽ cung cấp một số kiến thức cơ bản về IPv6 và VPN thêm vào đó là giải pháp phù
hợp khi IPv6 ra đời mà vẫn chung sống không ảnh hưởng gì đến IPv4 trong khi
IPv6 đang dần được thây thế. IPv6 ra đời sẽ không làm mất đi những tính năng và
các dịnh vụ, công nghệ, giao thức... mà IPv4 đã mang lại ví dụ như VPN, MPLS,
RADIUS..không dừng lại ở đây IPv6 còn có những tính năng vượt trội khăc thúc
đẩy những công nghệ khác pháp triển để đáp ứng nhu cầu của con người.
VPN là cộng nghệ không thế thiếu đối với những công ty đa quốc gia hay công
ty nhiều chi nhánh, sự ra đời của IPv6 không ảnh hưởng gì đến mạng VPN ngược
lại nó còn có một số tính năng giúp hệ thống VPN tốt hơn, như bảo mật hơn, nhanh
hơn, giảm chi phí... Ngoài ra, còn có thể tạo ra mạng VPN mang địa chỉ IPv6 có thể
xuyên qua internet sử dụng IPv4
2. Hướng phát triển
Hiện nay, trên thế giới các nước có nền công nghệ thông tin phat triển như
Mỹ, Nhật ... đã và đang triển khai các dịch vụ, công nghệ mang tính thuần
IPv6, những thiết bị, những phần mên.. sẽ dần dần ra đời đáp ứng nhu cầu của
con người, với tính năng và tài nguyên địa chỉ IP gần như là vô hạn IPv6
không những phát triển ở công nghệ thông tin, mà còn phát triển rộng lớn ở
các lĩnh vự khác.
Ở Việt Nam hiện nay mạng IPv6 đang trong giai đoạn nguyên cứu và thử
nghiệp trong mạng lõi. Với những gì mà lợi ích của IPv6 mạng lại việc phát
triển mạng IPv6 là tất yếu nhưng việc triển khai vẫn còn gặp những khó khăn
GVHD: Nguyễn Văn Sinh - 117 -
Xây Dựng VPN Trên IPv6
do còn khan hiếm về thiết bị phần cứng, phần mềm hỗi trợ IPv6 và chi phí
cho cơ sở hạ tầng mạng IPv4 là rất lớn khó có thể bỏ được. Tuy nhiên IPv6
vẫn phát triển mạnh và các thiết bị phần cứng và phần mềm cũng từ từ được
tạo ra hỗ trợ cho IPv6, IPv6 vẫn từ từ thây thế IPv4 và phát triển sang lĩnh
vực khác.
GVHD: Nguyễn Văn Sinh - 118 -