HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - Nguyễn Đức Khƣơng CHUYỂN ĐỔI IPv4-IPv6 TRONG MẠNG BĂNG RỘNG VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - NĂM 2020 e HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THÔNG - Nguyễn Đức Khƣơng CHUYỂN ĐỔI IPv4-IPv6 TRONG MẠNG BĂNG RỘNG VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN Chuyên ngành: Kỹ thuật Viễn thông Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƢỜI HƢỚNG DẪN KHOA HỌC : GS.TS NGUYỄN BÌNH HÀ NỘI - NĂM 2020 e LỜI CAM ĐOAN Em xin cam đoan đề tài: “Chuyển đổi Ipv4-Ipv6 mạng băng rộng VNPT khía cạnh bảo mật có liên quan” cơng trình nghiên cứu độc lập dƣới hƣớng dẫn GS - TS Nguyễn Bình Ngồi khơng có chép ngƣời khác Đề tài, nội dung luận văn sản phẩm mà em nỗ lực nghiên cứu trình học tập trƣờng tìm hiểu qua tài hiệu, trang web vv… Các số liệu, kết trình bày báo cáo hoàn toàn trung thực, em xin chịu hoàn toàn trách nhiệm luận văn riêng em Ngƣời cam đoan Nguyễn Đức Khƣơng i e LỜI CẢM ƠN Đầu tiên xin trân trọng gửi lời cảm ơn sâu sắc đến quý thầy cô Học viện Cơng nghệ Bƣu Viễn thơng thời gian qua dìu dắt tận tình truyền đạt cho em kiến thức, kinh nghiệm vô quý báu để em có đƣợc kết ngày hơm Xin trân trọng cảm ơn GS.TS Nguyễn Bình, ngƣời hƣớng dẫn khoa học luận văn, hƣớng dẫn tận tình giúp đỡ mặt để hoàn thành luận văn Xin trân trọng cảm ơn quý thầy cô Khoa Đào tạo sau đại học hƣớng dẫn giúp đỡ em trình thực luận văn Cuối biết ơn tới gia đình, bạn bè ngƣời thân động viên, giúp đỡ tác giả suốt trình học tập thực luận văn Hà Nội, tháng năm 2020 Học viên thực Nguyễn Đức Khƣơng ii e MỤC LỤC LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC HÌNH VẼ vi DANH MỤC BẢNG BIỂU viii DANH MỤC TỪ VIẾT TẮT ix MỞ ĐẦU .1 CHƢƠNG 1: tổng quan IPv4 IPv6 1.1 Tổng quan IPv4 1.1.1 IPv4 1.1.2 Cấu trúc địa IPv4 1.1.3 Các lớp cảu địa IPv4 1.1.4 Một số lƣu ý lớp IPv4 1.1.5 Hạn chế IPv4 1.2 Các tính IPv6 1.2.1 Dạng mào đầu gói tin 1.2.2 Không gian địa lớn hơn: .7 1.2.3 Tự động cấu hình địa chỉ: 1.2.4 An ninh thông tin: 1.2.5 Hỗ trợ qos tốt hơn: .7 1.2.6 Giao thức cho thông tin host liền kề: .8 1.3 Cấu trúc, phân bổ cách viết địa IPv6 1.3.1 Cấu trúc gói tin IPv6 mạng lan 1.3.2 Phân bổ địa IPv6 1.3.3 Cách viết địa IPv6 12 1.4 Các loại địa IPv6 14 1.4.1 Địa unicast 14 1.4.1.1 Địa global unicast 15 1.4.1.2 Địa local unicast: 17 iii e 1.4.1.3 Địa unicast theo chuẩn ipx 20 1.4.2 Địa anycast 20 1.4.3 Địa multicast 22 1.4.3.1 Cấu trúc chung 22 1.4.3.2 Địa solicited-node 24 1.4.4 Các dạng địa IPv6 khác 25 1.4.4.1 Địa không xác định: 25 1.4.4.2 Địa loopback 25 1.4.4.3 Địa tƣơng thích .26 1.4.5 Phƣơng thức gán địa IPv6 27 1.5 Kết luận Chƣơng 29 CHƢƠNG 2: CÁC GIẢI PHÁP CHUYỂN ĐỔI HẠ TẦNG TỪ IPV4 SANG IPV6 30 2.1 Mục đích chuyển đổi IPv4 – IPv6 30 2.2 Cơ chế dual stack 31 2.2.1 Cấu hình địa 32 2.2.2 Dịch vụ cung cấp tên miền (dns) .32 2.2.3 Ƣu điểm dual stack 33 2.2.4 Nhƣợc điểm dual stack 33 2.3 Đƣờng hầm IPv6 qua IPv4 33 2.3.1 Cơ chế cấu hình tự động 6to4 35 2.3.2 Cơ chế cấu hình tự động isatap(intra-site automatic tunnel addressing protocol) .37 2.4 Cơ chế dịch địa (address translation) .41 2.5 Biên dịch NAT-PT (netwokr address translation - otocol translation) 45 2.5.1 Hoạt động NAT-PT .46 2.5.2 Sử dụng DNS cho việc gán địa chỉ: 47 2.5.3 Gán địa cho kết nối đầu (IPv6 sang IPv4) 49 2.5.4 Ƣu điểm nat-pt 49 2.5.5 Nhƣợc điểm NAT-PT 49 iv e 2.5.6 Phạm vi ứng dụng 50 2.6 Kết luận Chƣơng 50 CHƢƠNG 3: CHUYỂN ĐỐI IPv4 – IPv6 TRONG MẠNG KHÁCH HÀNG VNPT HẢI DƢƠNG 51 3.1 Chuyển đổi IPv4 – IPv6 mạng băng rộng vnpt 51 3.1.1 Mơ hình cung cấp dịch vụ internet vnpt hải dƣơng 51 3.1.2 Phƣơng án cung cấp IPv6 – IPv4 dual – stack đến khách hàng 52 3.2 Cấu hình định tuyến IPv4 – IPv6 dual-stack mơi trƣờng giả lập 57 3.2.1 Cấu hình địa IPv6: .57 3.2.2 Cấu hình định tuyến ospfv3 .61 3.2.3 Cấu hình IPv4 ospfv2 63 3.2.4 Kiểm tra định tuyến IPv4 IPv6, kiểm tra IPv4 - IPv6 dual – stack 64 3.4 Bảo mật IPv6 66 3.4.1 Ip sec (ip security) .66 3.4.2 Kiến trúc ipsec: 67 3.4.3 Hiện trạng 68 3.4.4 Technical details - chi tiết kỹ thuật 71 Kết Luận 75 Tài liệu tham khảo .76 v e DANH MỤC HÌNH VẼ Hình 1: IPv4 đƣợc viết dƣới dạng nhị phân Hình 2: Cấu trúc địa IPv4 Hình 3: Lớp A địa IPv4 Hình 4: Lớp B địa IPv4 .4 Hình Lớp C đại IPv4 Hình Hạn chế IPv4 Hình Cấu trúc khung IPv6 lớp mạng LAN Hình 8: Cấu trúc khung truyền dẫn IPv6 mạng Ethernet II Hình Cấu trúc địa IPv6 dang Global Unicast .11 Hình 10: Cấu trúc dạng địa Unicast 15 Hình 11: Ba phần chia Unicast 16 Hình 12 Cấu trúc địa Link-local nhƣ sau 18 Hình 13: Hai máy trạm kết nối dùng địa Link Local 18 Hình 14: Cấu trúc địa Site-local 19 Hình 15: Các loại địa cần gán Site vào mạng IPv6 .20 Hình 16 Cấu trúc địa IPX theo IPv6 .20 Hình 17: Cấu trúc địa anycast 22 Hình 18: Cấu trúc địa Multicast .23 Hình 1: Chồng hai giao thức 32 Hình 2: Triển khai đƣờng hầm IPv6 thông qua IPv4 .34 Hình 3: Quy trình chuyển gói tin qua đƣờng hầm 35 Hình 4: Cơ chế 6to4 36 Hình 5: Khn dạng địa 6to4 36 Hình 6: Cơ chế hoạt động 6to4 .37 Hình 7: Đƣờng hầm ISATAP 39 Hình 8: Dạng địa ISATAP 39 Hình 9: ISATAP Router 40 Hình 2.10: Mơ hình hoạt động DSTM .42 vi e Hình 11: A yêu cầu DNS cho tham số B, DNS trả lời với địa IPv4 B (155.54.1.10) 43 Hình 12: Bản ghi DNS IPv4 khởi động yêu cầu DHCP 44 Hình 13: Gói tin IPv4 gửi thơng qua 4over6 phía TEP .44 Hình 14: TEP tách gói tin gửi nhƣ bình thƣờng 44 Hình 15: Lúc TEP lƣu giữ việc ánh xạ việc định tuyến ngƣợc lại dễ dàng 45 Hình 16: NAT-PT 46 Hình 17: Truyền tin IPv6 đến IPv4 .48 Hình 1: Mơ hình cung cấp dịch vụ Internet VNPT hải Dƣơng 52 Hình 2: Mơ hình cung cấp IPv6-IPv4 Dual Stack VNPT Hải Dƣơng 53 Hình 3: Cấu hình thiết bị đầu cuối để triển khai IPv6- IPv4 Dual – Stack 54 Hình 4: Các địa IP cấp cho ONU chạy IPv6- IPv4 Dual – Stack 54 Hình 5: IPv6- IPv4 Dual – Stack PC khách hàng 54 Hình 6: Kiểm tra kết nối IPv6 IPv4 đến điểm test ngồi nƣớc 55 Hình 7: Host đầu xa sử dụng IPv6- IPv4 Dual – Stack 56 Hình 8: Kiểm tra routing đến host đầu xa dùng IPv6- IPv4 Dual – Stack 56 Hình 9: Mơ hình giả lập 57 Hình 10: Cấu hình Bộ định tuyến R1, R2 R3 để chia sẻ thông tin định tuyến sử dụng OSPFv3 61 Hình 11: Kiến trúc mơ hình OSI 66 Hình 12: Kiến trúc IPsec .67 Hình 13 Một đại diện chung mơ hình vận chuyển IPsec 70 Hình 14: Một đại diện chung mơ hình đƣờng hầm IPsec .71 Hình 15: Mơ hình tiêu đề AH 72 Hình 16: Mơ hình giao thức ESP cung cấp xác thực 73 vii e DANH MỤC BẢNG BIỂU Bảng 1: Bảng phân bổ loại địa IPv6 Bảng 2: Các giá trị trƣờng phạm vi 23 Bảng 3: Cấu trúc địa Multicast đƣợc phân bố lại 24 Bảng So sánh địa IPv4 IPv6 28 viii e khác miền OSPF Trong chế độ cấu hình định tuyến, lệnh id-bộ định tuyến đƣợc sử dụng để cấu hình ID định tuyến OSPF Lệnh id định tuyến OSPF phải đƣợc cấu hình tất định tuyến cấu trúc liên kết chƣa đƣợc cấu hình nhƣ địa IPv4 giao diện Do đó, định tuyến khơng thể tự động chọn ID định tuyến ID định tuyến phải theo cách cấu hình thủ cơng R1(config)# IPv6 unicast-routing R1(config)# IPv6 router ospf R1(config-rtr)# router-id 10.1.1.1 R1(config-rtr)# exit R1(config)# interface fastethernet 0/0 R1(config-if)# IPv6 ospf area R1(config-if)# exit R1(config)# interface serial 0/0/0 R1(config-if)# IPv6 ospf area R1(config-if)# exit R1(config)# interface serial 0/0/1 R1(config-if)# IPv6 ospf area R1(config-if)# end R1# Cấu hình tƣơng tự với R2 R3: R2(config)# IPv6 unicast-routing R2(config)# IPv6 router ospf R2(config-rtr)# router-id 10.2.2.2 R2(config-rtr)# exit R2(config)# interface fastethernet 0/0 R2(config-if)# IPv6 ospf area R2(config-if)# exit R2(config)# interface serial 0/0/0 R2(config-if)# IPv6 ospf area 62 e R2(config-if)# exit R2(config)# interface serial 0/0/1 R2(config-if)# IPv6 ospf area R2(config-if)# end R2# Để hoàn tất cấu hình OSPFv3, cấu hình quản bá tuyến mặc định R3 đến định tuyến khác Tên miền OSPF Lệnh khởi tạo thông tin cấu hình định tuyến đƣợc cấu hình trênR3: R3(config-rtr)# default-information originate R3(config-rtr)# end R3# 3.2.3 Cấu hình IPv4 ospfv2 Bắt đầu với Bộ định tuyến R1, cấu hình địa IPv4 giao diện Fast Ethernet hai giao diện nối tiếp Sau giao diện đƣợc cấu hình, cấu hình định tuyến OSPFv2 Các giao diện R1, cho IPv4 bật OSPFv2 ba giao diện Đây cấu hình đƣợc sử dụng với IPv4 Nhƣ thể IPv6 không tồn mạng R1(config)# interface FastEthernet0/0 R1(config-if)# ip address 10.1.0.1 255.255.0.0 R1(config-if)# exit R1(config)# interface Serial0/0/0 R1(config-if)# ip address 10.10.10.1 255.255.255.252 R1(config-if)# exit R1(config)# interface Serial0/0/1 R1(config-if)# ip address 10.10.10.9 255.255.255.252 R1(config-if)# exit R1(config)# router ospf R1(config-rtr)# network 10.1.0.0 0.0.255.255 area R1(config-rtr)# network 10.10.10.0 0.0.0.3 area R1(config-rtr)# network 10.10.10.8 0.0.0.3 area 63 e Kiểm tra cấu hình chạy R1, khơng giống nhƣ OSPFv2, OSPFv3 khơng sử dụng lệnh mạng để kích hoạt OSPF giao diện Với OSPFv3, lệnh IPv6 opsf đƣợc sử dụng để kích hoạt OSPF trực tiếp giao diện.Bộ định tuyến R1 định tuyến xếp chồng kép, đội mũ hai chiếc, cho IPv4 cho IPv6 Cấu hình tƣơng tự cho Router R2 R3: R2(config)# interface fastethernet 0/0 R2(config-if)# ip address 10.2.0.1 255.255.255.0 ! Replaces the OSPFv2 network command: R2(config-if)# ip ospf area R2(config-if)# exit R2(config)# interface serial 0/0/0 R2(config-if)# ip address 10.10.10.2 255.255.255.252 ! Replaces the OSPFv2 network command: R2(config-if)# ip ospf area R2(config-if)# exit R2(config)# interface serial 0/0/1 R2(config-if)# ip address 10.10.10.5 255.255.255.252 ! Replaces the OSPFv2 network command: R2(config-if)# ip ospf area R2(config-if)# Cấu hình định tuyến tĩnh R3 ISP, sau cấu hình quản bá tuyến default route OSPFv2 R3(config)# ip route 0.0.0.0 0.0.0.0 serial 0/1/0 R3(config)# router ospf R3(config-rtr)# default-information originate 3.2.4 Kiểm tra định tuyến IPv4 IPv6, kiểm tra IPv4 - IPv6 dual – stack Lệnh show ip route đƣợc sử dụng để hiển thị tất tuyến IPv4 đƣợc kết nối trực tiếp, tĩnh đƣợc học động, lệnh show IPv6 route đƣợc sử dụng để làm tƣơng tự cho mạng IPv6 Kiểm tra tuyến học qua OSPFv2, OSPFv3 64 e R1# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - ISIS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 10.10.10.10 to network 0.0.0.0 10.0.0.0/8 is variably subnetted, subnets, masks 10.10.10.8/30 is directly connected, Serial0/0/1 10.2.0.0/16 [110/65] via 10.10.10.2, 01:20:14, Serial0/0/0 10.3.0.0/16 [110/65] via 10.10.10.10, 01:20:14, Serial0/0/1 10.10.10.0/30 is directly connected, Serial0/0/0 10.1.0.0/16 is directly connected, FastEthernet0/0 10.10.10.4/30 [110/128] via 10.10.10.2, 01:20:14, Serial0/0/0 O*E2 0.0.0.0/0 [110/1] via 10.10.10.10, 01:15:51, Serial0/0/1 R1# R1# show IPv6 route IPv6 Routing Table - 12 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 OSPF ext 65 e ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext D - EIGRP, EX - EIGRP external OE ::/0 [110/1], tag via FE80::3, Serial0/0/1 C 2001:DB8:CAFE:1::/64 [0/0] via ::, FastEthernet0/0 3.4 Bảo mật IPv6 3.4.1 Ip sec (ip security) Giao thức IPsec đƣợc làm việc tầng Network Layer – layer mơ hình OSI Các giao thức bảo mật Internet khác nhƣ SSL, TLS SSH, đƣợc thực từ tầng transport layer trở lên (Từ tầng tới tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPsec, giao thức hoạt động từ tầng với TCP, UDP, hầu hết giao thức sử dụng tầng IPsec có tính cao cấp SSL phƣơng thức khác hoạt động tầng mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhƣng ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mô hình OSI đoạn mã ứng dụng bị thay đổi lớn Hình 11: Kiến trúc mơ hình OSI 66 e 3.4.2 Kiến trúc ipsec: IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác nhƣ mật mã, xác thực, trao đổi khoá… Xét mặt kiến trúc, IPSec đƣợc xây dựng dựa thành phần sau đây, thành phần đƣợc định nghĩa tài liệu riêng tƣơng ứng: Hình 12: Kiến trúc IPsec - Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPSec - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPSec - Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Nhƣ triển khai IPSec, ngƣời sử dụng chọn dùng ESP AH, giao thức có ƣu nhƣợc điểm riêng 67 e - Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng - Thuật toán xác thực: Định nghĩa thuật toán xác thực thông tin sử dụng AH ESP - Quản lý khố (RFC 2408): Mơ tả chế quản lý trao đổi khoá IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trƣờng thực thi IPSec IPSec công nghệ riêng biệt mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP ngun thuỷ chƣa có, mã hố xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần: -Giao thức đóng gói, gồm AH ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) 3.4.3 Hiện trạng IPsec phần bắt buộc IPv6, đƣợc lựa chọn sử dụng IPv4 Trong chuẩn đƣợc thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 Các giao thức IPsec đƣợc định nghĩa từ RFCs 1825 – 1829, đƣợc phổ biến năm 1995 Năm 1998, đƣợc nâng cấp với phiên RFC 2401 – 2412, khơng tƣơng thích với chuẩn 1825 – 1929 Trong tháng 12 năm 2005, hệ thứ chuẩn IPSec, RFC 4301 – 4309 Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 nhƣng hệ đƣợc cung cấp chuẩn IKE second Trong hệ IP security đƣợc viết tắt lại IPsec Sự khác quy định viết tắt hệ đƣợc quy chuẩn RFC 1825 – 1829 ESP phiên ESPbis IPsec đƣợc cung cấp Transport mode (end-to-end) đáp ứng bảo mật máy tính giao tiếp trực tiếp 68 e với sử dụng Tunnel mode (portal-to-portal) cho giao tiếp hai mạng với chủ yếu đƣợc sử dụng kết nối VPN IPsec đƣợc sử dụng giao tiếp VPN, sử dụng nhiều giao tiếp Tuy nhiên việc triển khai thực có khác hai mode Giao tiếp end-to-end đƣợc bảo mật mạng Internet đƣợc phát triển chậm phải chờ đợi lâu Một phần bở lý tính phổ thơng no khơng cao, hay không thiết thực, Public Key Infrastructure (PKI) đƣợc sử dụng phƣơng thức IPsec đƣợc giới thiệu cung cấp dịch vụ bảo mật: Mã hoá q trình truyền thơng tin Đảm bảo tính ngun vẹn liệu Phải đƣợc xác thực giao tiếp Chống trình replay phiên bảo Modes – Các mode Có hai mode thực IPsec là: Transport mode tunnel mode Transport Mode (chế độ vận chuyển) - Transport mode cung cấp chế bảo vệ cho liệu lớp cao (TCP, UDP ICMP) Trong Transport mode, phần IPSec header đƣợc chèn vào phần IP header phần header giao thức tầng trên, nhƣ hình mơ tả bên dƣới, AH ESP đƣợc đặt sau IP header ngun thủy Vì có tải (IP payload) đƣợc mã hóa IP header ban đầu đƣợc giữ nguyên vẹn Transport mode đƣợc dùng hai host hỗ trợ IPSec Chế độ transport có thuận lợi thêm vào vài bytes cho packets cho phép thiết bị mạng thấy đƣợc địa đích cuối gói Khả cho phép tác vụ xử lý đặc biệt mạng trung gian dựa thông tin IP header Tuy nhiên thông tin Layer bị mã hóa, làm giới hạn khả kiểm tra gói 69 e Hình 13 Một đại diện chung mơ hình vận chuyển IPsec - Khơng giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đƣợc đóng gói gói liệu IP khác IPSec header đƣợc chèn vào phần đầu nguyên phần đầu IP.Tồn gói IP ban đầu bị đóng gói AH ESP IP header đƣợc bao bọc xung quanh gói liệu Tồn gói IP đƣợc mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn nhƣ router, hoạt động nhƣ IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyển chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển hệ thống cuối Vì header có địa nguồn gateway - Với tunnel hoạt động hai security gateway, địa nguồn đích đƣợc mã hóa Tunnel mode đƣợc dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway khơng có hỗ trợ IPSec 70 e Hình 14: Một đại diện chung mơ hình đƣờng hầm IPsec 3.4.4 Technical details - chi tiết kỹ thuật Có hai giao thức đƣợc phát triển cung cấp bảo mật cho gói tin hai phiên IPv4 IPv6: IP Authentication Header giúp đảm bảo tính toàn vẹn cung cấp xác thực IP Encapsulating Security Payload cung cấp bảo mật, option bạn lựa chọn tính authentication Integrity đảm bảo tính tồn vẹn liệu Thuật tốn mã hố đƣợc sử dụng IPsec bao gồm HMAC-SHA1 cho tính tồn vẹn liệu (integrity protection), thuật tốn TripleDES-CBC AESCBC cho mã mã hoá đảm bảo độ an tồn gói tin Tồn thuật tốn đƣợc thể RFC 4305 a Authentication Header (AH) AH đƣợc sử dụng kết nối khơng có tính đảm bảo liệu Hơn lựa chọn nhằm chống lại công replay attack cách sử dụng công nghệ công sliding windows discarding older packets AH bảo vệ trình truyền liệu sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, 71 e Fragment Offset, TTL, Header Checksum AH thực trực tiếp phần gói tin IP dƣới mơ hình AH header Các modes thực Hình 15: Mơ hình tiêu đề AH Ý nghĩa phần: Next header Nhận dạng giao thức sử dụng truyền thơng tin Payload length Độ lớn gói tin AH RESERVED Sử dụng tƣơng lai (cho tới thời điểm đƣợc biểu diễn số 0) Security parameters index (SPI) Nhận thông số bảo mật, đƣợc tích hợp với địa IP, nhận dạng thƣơng lƣợng bảo mật đƣợc kết hợp với gói tin Sequence number Một số tự động tăng lên gói tin, sử dụng nhằm chống lại cơng dạng replay attacks Authentication data 72 e Bao gồm thông số Integrity check value (ICV) cần thiết gói tin xác thực b Encapsulating Security Payload (ESP) Giao thức ESP cung cấp xác thực, độ tồn vẹn, đảm bảo tính bảo mật cho gói tin ESP hỗ trợ tính cấu hình sử dụng tính cần bảo mã hoá cần cho authentication, nhƣng sử dụng mã hố mà khơng u cầu xác thực khơng đảm bảo tính bảo mật Khơng nhƣ AH, header gói tin IP, bao gồm option khác ESP thực top IP sử dụng giao thức IP mang số hiệu 50 AH mang số hiệu 51 Hình 16: Mơ hình giao thức ESP cung cấp xác thực Ý nghĩa phần: 73 e Security parameters index (SPI) Nhận thơng số đƣợc tích hợp với địa IP Sequence number Tự động tăng có tác dụng chống cơng kiểu replay attacks Payload data Cho liệu truyền Padding Sử dụng vài block mã hoá Pad length Độ lớn padding Next header Nhận giao thức đƣợc sử dụng trình truyền thơng tin Authentication data Bao gồm liệu để xác thực cho gói tin 74 e KẾT LUẬN Việc chuyển đổi địa IPv4 sang IPv6 xu hƣớng tất yếu tất nhà cung cấp dịch vụ giới nhƣ Việt Nam Tập đồn Bƣu Chính viễn thơng Việt nam nói chung, VNPT – Hải Dƣơng nói riêng cần chuẩn bị sẵn phƣơng án để chuyển đổi từ IPv4 – IPv6 nhƣng đảm bảo tính bình thƣờng hệ thống thuê bao, VNPT Hải Dƣơng cung cấp dịch vụ internet cho 140.000 thuê bao loại; để chuẩn bị chuyển đổi từ giao thức cũ IPv4 sang IPv6 vào năm 2021 phƣơng pháp dual stack cho lƣợng khách hàng đồng đƣợc với hệ thống vấn đề lớn hạ tầng mạng mà thiết bị cung cấp cho ngƣời dùng cuối (CPEs chƣa hỗ trợ IPv6 Ngay hệ thống mạng 3G, 4G VNPT Hải Dƣơng chƣa hỗ trợ giao thức này) - Sau thời gian nghiên cứu, luận văn em sâu vào phƣơng án chuyển đổi IPv4 – IPv6 phƣơng pháp dual stack mạng khách hàng VNPT Hải Dƣơng - Kết trình nghiên cứu: em thực mơ cấu hình chuyển đổi từ IPv4 sang IPv6 phƣơng pháp dual stack môi trƣờng giả lập thực nghiệm thiết bị đầu cuối khách hàng, kết thu lại kết khả quan qua test, nội dung mô tài liệu tham khảo để triển khai chuyển đổi thực tế giai đoạn chuyển đổi đầu cuối khách hàng vào năm sau - Nắm bắt đƣợc chế bảo mật IPv6 - Vì thời gian nghin cứu có hạn luận văn em khơng tránh đƣợc thiếu sót, em kính mong thầy tham gia đóng góp để em đƣợc hoàn thiện 75 e TÀI LIỆU THAM KHẢO + TiếngViệt [1] Nguyễn Thị Thu Thủy, Giới thiệu hệ địa Internet IPv6, NXB Bƣu Điện 2006 + Tiếng Anh [2] Arafat, Muhammad Yeasir, Feroz Ahmed, and M AbdusSobhan ‖On the Migration of a Large Scale Network from IPv4 to IPv6 Environment.‖ International Journal of Computer Networks & Communications (IJCNC) 6.2 (2014): 111-126 [3] IPv6 Country Statistics, http://6lab.cisco.com/stats/search.php , (last accessed at 13-10-2016) [4] Shannon McFarland, MuninderSambi, Nikhil Sharma, and Sanjay Hooda IPv6 for Enterprise Networks, Copyright © 2011 Cisco Systems, Inc + Trang web [5] Website: https://www.vnnic.vn/ cập nhật ngày 25/04/2020 76 e ... hƣớng dẫn khoa học luận văn, hƣớng dẫn tận tình giúp đỡ mặt để hoàn thành luận văn Xin trân trọng cảm ơn quý thầy cô Khoa Đào tạo sau đại học hƣớng dẫn giúp đỡ em trình thực luận văn Cuối biết ơn... VNPT VÀ KHÍA CẠNH BẢO MẬT CĨ LIÊN QUAN Chun ngành: Kỹ thuật Viễn thông Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƢỜI HƢỚNG DẪN KHOA HỌC : GS.TS NGUYỄN BÌNH HÀ NỘI... tƣơng thích .26 1.4.5 Phƣơng thức gán địa IPv6 27 1.5 Kết luận Chƣơng 29 CHƢƠNG 2: CÁC GIẢI PHÁP CHUYỂN ĐỔI HẠ TẦNG TỪ IPV4 SANG IPV6 30 2.1 Mục đích