HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Đức Khương CHUYỂN ĐỔI IPv4-IPv6 TRONG MẠNG BĂNG RỘNG VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - NĂM 2020 e ii e HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Đức Khương CHUYỂN ĐỔI IPv4-IPv6 TRONG MẠNG BĂNG RỘNG VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN Chun ngành: Kỹ thuật Viễn thơng Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : GS.TS NGUYỄN BÌNH HÀ NỘI - NĂM 2020 e ii e LỜI CAM ĐOAN Em xin cam đoan đề tài: “Chuyển đổi Ipv4-Ipv6 mạng băng rộng VNPT khía cạnh bảo mật có liên quan” là cơng trình nghiên cứu độc lập hướng dẫn GS - TS Nguyễn Bình Ngồi khơng có chép người khác Đề tài, nội dung luận văn sản phẩm mà em nỗ lực nghiên cứu trình học tập trường tìm hiểu qua tài hiệu, trang web vv… Các số liệu, kết trình bày báo cáo hồn tồn trung thực, em xin chịu hoàn toàn trách nhiệm luận văn riêng em Người cam đoan Nguyễn Đức Khương i e LỜI CẢM ƠN Đầu tiên xin trân trọng gửi lời cảm ơn sâu sắc đến quý thầy cô Học viện Cơng nghệ Bưu Viễn thơng thời gian qua dìu dắt tận tình truyền đạt cho em kiến thức, kinh nghiệm vô quý báu để em có kết ngày hơm Xin trân trọng cảm ơn GS.TS Nguyễn Bình, người hướng dẫn khoa học luận văn, hướng dẫn tận tình giúp đỡ mặt để hồn thành luận văn Xin trân trọng cảm ơn quý thầy cô Khoa Đào tạo sau đại học hướng dẫn giúp đỡ em trình thực luận văn Cuối biết ơn tới gia đình, bạn bè người thân động viên, giúp đỡ tác giả suốt trình học tập thực luận văn Hà Nội, tháng năm 2020 Học viên thực Nguyễn Đức Khương ii e MỤC LỤC LỜI CẢM ƠN ii MỤC LỤC .iii DANH MỤC HÌNH VẼ vi DANH MỤC BẢNG BIỂU viii DANH MỤC TỪ VIẾT TẮT ix MỞ ĐẦU CHƯƠNG 1: tổng quan IPv4 IPv6 1.1 Tổng quan IPv4 .3 1.1.1 IPv4 1.1.2 Cấu trúc địa IPv4 1.1.3 Các lớp cảu địa IPv4 1.1.4 Một số lưu ý lớp IPv4 1.1.5 Hạn chế IPv4 1.2 Các tính IPv6 1.2.1 Dạng mào đầu gói tin 1.2.2 Không gian địa lớn hơn: .8 1.2.3 Tự động cấu hình địa chỉ: 1.2.4 An ninh thông tin: .9 1.2.5 Hỗ trợ qos tốt hơn: 1.2.6 Giao thức cho thông tin host liền kề: 10 1.3 Cấu trúc, phân bổ cách viết địa IPv6 10 1.3.1 Cấu trúc gói tin IPv6 mạng lan 10 1.3.2 Phân bổ địa IPv6 .11 1.3.3 Cách viết địa IPv6 .17 1.4 Các loại địa IPv6 19 1.4.1 Địa unicast .19 1.4.1.1 Địa global unicast 20 1.4.1.2 Địa local unicast: .24 1.4.1.3 Địa unicast theo chuẩn ipx 27 1.4.2 Địa anycast 28 iii e 1.4.3 Địa multicast .30 1.4.3.1 Cấu trúc chung 30 1.4.3.2 Địa solicited-node 33 1.4.4 Các dạng địa IPv6 khác .34 1.4.4.1 Địa không xác định: 34 1.4.4.2 Địa loopback 35 1.4.4.3 Địa tương thích 35 1.4.5 Phương thức gán địa IPv6 37 1.5 Kết luận Chương 39 CHƯƠNG 2: CÁC GIẢI PHÁP CHUYỂN ĐỔI HẠ TẦNG TỪ IPV4 SANG IPV6 41 2.1 Mục đích chuyển đổi IPv4 – IPv6 41 2.2 Cơ chế dual stack .43 2.2.1 Cấu hình địa 44 2.2.2 Dịch vụ cung cấp tên miền (dns) 45 2.2.3 Ưu điểm dual stack 45 2.2.4 Nhược điểm dual stack .45 2.3 Đường hầm IPv6 qua IPv4 46 2.3.1 Cơ chế cấu hình tự động 6to4 48 2.3.2 Cơ chế cấu hình tự động isatap(intra-site automatic tunnel addressing protocol) 51 2.4 Cơ chế dịch địa (address translation) 56 2.5 Biên dịch NAT-PT (netwokr address translation - otocol translation) 61 2.5.1 Hoạt động NAT-PT 63 2.5.2 Sử dụng DNS cho việc gán địa chỉ: 64 2.5.3 Gán địa cho kết nối đầu (IPv6 sang IPv4) .66 2.5.4 Ưu điểm nat-pt 67 2.5.5 Nhược điểm NAT-PT .67 2.5.6 Phạm vi ứng dụng 67 2.6 Kết luận Chương .67 CHƯƠNG 3: CHUYỂN ĐỐI IPv4 – IPv6 TRONG MẠNG KHÁCH HÀNG VNPT HẢI DƯƠNG 69 iv e 3.1 Chuyển đổi IPv4 – IPv6 mạng băng rộng vnpt 69 3.1.1 Mơ hình cung cấp dịch vụ internet vnpt hải dương .69 3.1.2 Phương án cung cấp IPv6 – IPv4 dual – stack đến khách hàng .70 3.2 Cấu hình định tuyến IPv4 – IPv6 dual-stack môi trường giả lập .75 3.2.1 Cấu hình địa IPv6: 75 3.2.2 Cấu hình định tuyến ospfv3 80 3.2.3 Cấu hình IPv4 ospfv2 83 3.2.4 Kiểm tra định tuyến IPv4 IPv6, kiểm tra IPv4 - IPv6 dual – stack 85 3.4 Bảo mật IPv6 .87 3.4.1 Ip sec (ip security) 87 3.4.2 Kiến trúc ipsec: .88 3.4.3 Hiện trạng .90 3.4.4 Technical details - chi tiết kỹ thuật 94 Kết Luận 99 Tài liệu tham khảo .101 v e DANH MỤC HÌNH VẼ Hình 1: IPv4 viết dạng nhị phân Hình 2: Cấu trúc địa IPv4 Hình 3: Lớp A địa IPv4 Hình 4: Lớp B địa IPv4 Hình Lớp C đại IPv4 Hình Hạn chế IPv4 .6 Hình Cấu trúc khung IPv6 lớp mạng LAN .8 Hình 8: Cấu trúc khung truyền dẫn IPv6 mạng Ethernet II Hình Cấu trúc địa IPv6 dang Global Unicast 11 Hình 10: Cấu trúc dạng địa Unicast .15 Hình 11: Ba phần chia Unicast 16 Hình 12 Cấu trúc địa Link-local sau .18 Hình 13: Hai máy trạm kết nối dùng địa Link Local 18 Hình 14: Cấu trúc địa Site-local 19 Hình 15: Các loại địa cần gán Site vào mạng IPv6 20 Hình 16 Cấu trúc địa IPX theo IPv6 20 Hình 17: Cấu trúc địa anycast 22 Hình 18: Cấu trúc địa Multicast 23 Hình 1: Chồng hai giao thức 32 Hình 2: Triển khai đường hầm IPv6 thông qua IPv4 34 Hình 3: Quy trình chuyển gói tin qua đường hầm .35 Hình 4: Cơ chế 6to4 36 Hình 5: Khn dạng địa 6to4 .36 Hình 6: Cơ chế hoạt động 6to4 37 Hình 7: Đường hầm ISATAP 39 Hình 8: Dạng địa ISATAP 39 Hình 9: ISATAP Router 40 Hình 2.10: Mơ hình hoạt động DSTM 42 Hình 11: A yêu cầu DNS cho tham số B, DNS trả lời với địa IPv4 B (155.54.1.10) .43 Hình 12: Bản ghi DNS IPv4 khởi động yêu cầu DHCP 44 vi e E1 - OSPF external type 1, E2 - OSPF external type i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - ISIS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 10.10.10.10 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, subnets, masks 10.10.10.8/30 is directly connected, Serial0/0/1 10.2.0.0/16 [110/65] via 10.10.10.2, 01:20:14, Serial0/0/0 10.3.0.0/16 [110/65] via 10.10.10.10, 01:20:14, Serial0/0/1 10.10.10.0/30 is directly connected, Serial0/0/0 10.1.0.0/16 is directly connected, FastEthernet0/0 10.10.10.4/30 [110/128] via 10.10.10.2, 01:20:14, Serial0/0/0 O*E2 0.0.0.0/0 [110/1] via 10.10.10.10, 01:15:51, Serial0/0/1 R1# R1# show IPv6 route IPv6 Routing Table - 12 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 OSPF ext 79 e ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext D - EIGRP, EX - EIGRP external OE ::/0 [110/1], tag via FE80::3, Serial0/0/1 C 2001:DB8:CAFE:1::/64 [0/0] via ::, FastEthernet0/0 3.4 Bảo mật IPv6 3.4.1 Ip sec (ip security) Giao thức IPsec làm việc tầng Network Layer – layer mô hình OSI Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng tới tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPsec, giao thức hoạt động từ tầng với TCP, UDP, hầu hết giao thức sử dụng tầng IPsec có tính cao cấp SSL phương thức khác hoạt động tầng mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mơ hình OSI đoạn mã ứng dụng bị thay đổi lớn 80 e Hình 11: Kiến trúc mơ hình OSI 3.4.2 Kiến trúc ipsec: IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác mật mã, xác thực, trao đổi khoá… Xét mặt kiến trúc, IPSec xây dựng dựa thành phần sau đây, thành phần định nghĩa tài liệu riêng tương ứng: 81 e Hình 12: Kiến trúc IPsec - Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPSec - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPSec - Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triển khai IPSec, người sử dụng chọn dùng ESP AH, giao thức có ưu nhược điểm riêng - Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng 82 e - Thuật toán xác thực: Định nghĩa thuật tốn xác thực thơng tin sử dụng AH ESP - Quản lý khoá (RFC 2408): Mô tả chế quản lý trao đổi khoá IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP nguyên thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần: -Giao thức đóng gói, gồm AH ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) 3.4.3 Hiện trạng IPsec phần bắt buộc IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 Các giao thức IPsec định nghĩa từ RFCs 1825 – 1829, phổ biến năm 1995 Năm 1998, nâng cấp với phiên RFC 2401 – 2412, khơng tương thích với chuẩn 1825 – 1929 Trong tháng 12 năm 2005, hệ thứ chuẩn IPSec, RFC 4301 – 4309 Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 hệ cung cấp chuẩn IKE second Trong hệ IP security viết tắt lại IPsec 83 e Sự khác quy định viết tắt hệ quy chuẩn RFC 1825 – 1829 ESP phiên ESPbis IPsec cung cấp Transport mode (end-to-end) đáp ứng bảo mật máy tính giao tiếp trực tiếp với sử dụng Tunnel mode (portal-to-portal) cho giao tiếp hai mạng với chủ yếu sử dụng kết nối VPN IPsec sử dụng giao tiếp VPN, sử dụng nhiều giao tiếp Tuy nhiên việc triển khai thực có khác hai mode Giao tiếp end-to-end bảo mật mạng Internet phát triển chậm phải chờ đợi lâu Một phần bở lý tính phổ thông no không cao, hay không thiết thực, Public Key Infrastructure (PKI) sử dụng phương thức IPsec giới thiệu cung cấp dịch vụ bảo mật: Mã hố q trình truyền thơng tin Đảm bảo tính nguyên vẹn liệu Phải xác thực giao tiếp Chống trình replay phiên bảo Modes – Các mode Có hai mode thực IPsec là: Transport mode tunnel mode Transport Mode (chế độ vận chuyển) - Transport mode cung cấp chế bảo vệ cho liệu lớp cao (TCP, UDP ICMP) Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên, hình mơ tả bên dưới, AH ESP đặt sau IP header ngun thủy Vì có tải (IP payload) mã hóa IP header ban đầu 84 e giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Chế độ transport có thuận lợi thêm vào vài bytes cho packets cho phép thiết bị mạng thấy địa đích cuối gói Khả cho phép tác vụ xử lý đặc biệt mạng trung gian dựa thông tin IP header Tuy nhiên thơng tin Layer bị mã hóa, làm giới hạn khả kiểm tra gói Hình 13 Một đại diện chung mơ hình vận chuyển IPsec - Khơng giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu ngun phần đầu IP.Tồn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Tồn gói IP mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyển chúng dọc theo tunnel Router đích 85 e giải mã gói IP ban đầu chuyển hệ thống cuối Vì header có địa nguồn gateway - Với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Tunnel mode dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway khơng có hỗ trợ IPSec Hình 14: Một đại diện chung mơ hình đường hầm IPsec 3.4.4 Technical details - chi tiết kỹ thuật Có hai giao thức phát triển cung cấp bảo mật cho gói tin hai phiên IPv4 IPv6: IP Authentication Header giúp đảm bảo tính tồn vẹn cung cấp xác thực IP Encapsulating Security Payload cung cấp bảo mật, option bạn lựa chọn tính authentication Integrity đảm bảo tính tồn vẹn liệu 86 e Thuật toán mã hoá sử dụng IPsec bao gồm HMAC-SHA1 cho tính tồn vẹn liệu (integrity protection), thuật toán TripleDES-CBC AESCBC cho mã mã hố đảm bảo độ an tồn gói tin Tồn thuật tốn thể RFC 4305 a Authentication Header (AH) AH sử dụng kết nối khơng có tính đảm bảo liệu Hơn lựa chọn nhằm chống lại công replay attack cách sử dụng công nghệ công sliding windows discarding older packets AH bảo vệ trình truyền liệu sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, Header Checksum AH thực trực tiếp phần gói tin IP mơ hình AH header Các modes thực Hình 15: Mơ hình tiêu đề AH Ý nghĩa phần: Next header 87 e Nhận dạng giao thức sử dụng truyền thông tin Payload length Độ lớn gói tin AH RESERVED Sử dụng tương lai (cho tới thời điểm biểu diễn số 0) Security parameters index (SPI) Nhận thông số bảo mật, tích hợp với địa IP, nhận dạng thương lượng bảo mật kết hợp với gói tin Sequence number Một số tự động tăng lên gói tin, sử dụng nhằm chống lại công dạng replay attacks Authentication data Bao gồm thông số Integrity check value (ICV) cần thiết gói tin xác thực b Encapsulating Security Payload (ESP) Giao thức ESP cung cấp xác thực, độ tồn vẹn, đảm bảo tính bảo mật cho gói tin ESP hỗ trợ tính cấu hình sử dụng tính cần bảo mã hố cần cho authentication, sử dụng mã hoá mà khơng u cầu xác thực khơng đảm bảo tính bảo mật Khơng AH, header gói tin IP, bao gồm option khác ESP thực top IP sử dụng giao thức IP mang số hiệu 50 AH mang số hiệu 51 88 e Hình 16: Mơ hình giao thức ESP cung cấp xác thực Ý nghĩa phần: Security parameters index (SPI) Nhận thơng số tích hợp với địa IP Sequence number Tự động tăng có tác dụng chống công kiểu replay attacks Payload data Cho liệu truyền Padding Sử dụng vài block mã hoá Pad length 89 e Độ lớn padding Next header Nhận giao thức sử dụng trình truyền thông tin Authentication data Bao gồm liệu để xác thực cho gói tin 90 e KẾT LUẬN Việc chuyển đổi địa IPv4 sang IPv6 xu hướng tất yếu tất nhà cung cấp dịch vụ giới Việt Nam Tập đồn Bưu Chính viễn thơng Việt nam nói chung, VNPT – Hải Dương nói riêng cần chuẩn bị sẵn phương án để chuyển đổi từ IPv4 – IPv6 đảm bảo tính bình thường hệ thống th bao, VNPT Hải Dương cung cấp dịch vụ internet cho 140.000 thuê bao loại; để chuẩn bị chuyển đổi từ giao thức cũ IPv4 sang IPv6 vào năm 2021 phương pháp dual stack cho lượng khách hàng đồng với hệ thống vấn đề lớn hạ tầng mạng mà thiết bị cung cấp cho người dùng cuối (CPEs chưa hỗ trợ IPv6 Ngay hệ thống mạng 3G, 4G VNPT Hải Dương chưa hỗ trợ giao thức này) - Sau thời gian nghiên cứu, luận văn em sâu vào phương án chuyển đổi IPv4 – IPv6 phương pháp dual stack mạng khách hàng VNPT Hải Dương - Kết q trình nghiên cứu: em thực mơ cấu hình chuyển đổi từ IPv4 sang IPv6 phương pháp dual stack môi trường giả lập thực nghiệm thiết bị đầu cuối khách hàng, kết thu lại kết khả quan qua test, nội dung mô tài liệu tham khảo để triển khai chuyển đổi thực tế giai đoạn chuyển đổi đầu cuối khách hàng vào năm sau - Nắm bắt chế bảo mật IPv6 - Vì thời gian nghin cứu có hạn luận văn em khơng tránh thiếu sót, em kính mong thầy tham gia đóng góp để em hồn thiện 91 e 92 e TÀI LIỆU THAM KHẢO + TiếngViệt [1] Nguyễn Thị Thu Thủy, Giới thiệu hệ địa Internet IPv6, NXB Bưu Điện 2006 + Tiếng Anh [2] Arafat, Muhammad Yeasir, Feroz Ahmed, and M AbdusSobhan ”On the Migration of a Large Scale Network from IPv4 to IPv6 Environment.” International Journal of Computer Networks & Communications (IJCNC) 6.2 (2014): 111-126 [3] IPv6 Country Statistics, http://6lab.cisco.com/stats/search.php , (last accessed at 13-10-2016) [4] Shannon McFarland, MuninderSambi, Nikhil Sharma, and Sanjay Hooda IPv6 for Enterprise Networks, Copyright © 2011 Cisco Systems, Inc + Trang web [5] Website: https://www.vnnic.vn/ cập nhật ngày 25/04/2020 93 e ... - Nguyễn Đức Khương CHUYỂN ĐỔI IPv4- IPv6 TRONG MẠNG BĂNG RỘNG VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN Chun ngành: Kỹ thuật Viễn thông Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định... tài: ? ?Chuyển đổi Ipv4- Ipv6 mạng băng rộng VNPT khía cạnh bảo mật có liên quan? ?? là cơng trình nghiên cứu độc lập hướng dẫn GS - TS Nguyễn Bình Ngồi khơng có chép người khác Đề tài, nội dung luận văn. .. chế bảo mật; đề tài em nghin cứu ? ?Chuyển đổi IPv4- IPv6 mạng băng rộng VNPT khía cạnh bảo mật liên quan? ?? ; đề tài em nghi cứu sâu phương pháp chuyển đổi IPv4- IPv6 phương pháp Dual Stack; dual