Báo cáo thực tập tốt nghiệp: IPSEC trong IPV6

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG CDIT BÁO CÁO THỰC TẬP TỐT NGHIỆP Nội dung: IPSEC TRONG IPV6 Nơi thực tập : Viện Công nghệ Thông tin và truyền thông CDIT Người hướng dẫn : Thầy Đỗ Đức Huy : Phòng NCPT Dịch vụ Bưu chính Viễn thông Người báo cáo : Đặng Tuấn Linh Lớp : CN107A3Đề tài thực tập IPsec trong IPv6 Hà Nội, tháng 5 năm 2012. SV: Đặng Tuấn Linh _ CN107a3 2Đề tài thực tập IPsec trong IPv6 LỜI CẢM ƠN Sau thời gian 7 tuần thực tập tại viện công nghệ thông tin và truyền thông CDiT Phòng NCPT Dịch vụ Bưu chính Viễn thông. Được sự giúp đỡ và hướng dẫn tận tình của thầy Đỗ Đức Huy. Em được tìm hiểu, và nghiên cứu một số vấn đề liên quan đến địa chỉ IPv6, được mở rộng kiến thức, được thử nghiệm và xem kết quả thực tế, được tiếp xúc với môi trường làm việc chuyên nghiệp, thân thiện của phòng nghiên cứu dịch vụ… em đã hoàn thành được đề tài Ipsec trong Ipv6. Em xin chân thành cảm ơn Ban giám đốc Viện công nghệ thông tin và truyền thông, Phòng NCPT Dịch vụ Bưu chính Viễn thông, Thầy Đỗ Đức Huy đã tận tâm chỉ bảo, hướng dẫn em hoàn đề tài này. Trong quá trình thực tập, cũng như trong quá trình làm báo cáo khó tránh khỏi sai sót. Em rất mong được sự tha thứ của thầy Đỗ Đức Huy! Một lần nữa em xin chân thành cảm ơn! SV: Đặng Tuấn Linh _ CN107a3 3Đề tài thực tập IPsec trong IPv6 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM VIỆN CÔNG NGHỆ Độc lập - Tự do - Hạnh phúc THÔNG TIN VÀ TRUYỀN THÔNG CDIT KẾ HOẠCH ĐĂNG KÝ THỰC TẬP TỐT NGHIỆP Họ và tên sinh viên: Đặng Tuấn Linh Lớp: CN107A3 – Mã sv: 107202231 Địa chỉ liên hệ: Đình Cả - Nội Duệ - Tiên Du – Bắc Ninh Điện thoại: 0975454268 email: dangtuanlinhbn@gmail.com Đơn vị thực tập tốt nghiệp: Phòng NCPT Dịch vụ Bưu Chính Viễn Thông, CDiT. Người hướng dẫn trực tiếp: Đỗ Đức Huy Đề tài: IPsec trong IPv6 TT Nội dung thực tập Thời gian Mục tiêu 2 tuần 1 Tìm hiểu tổng quan về IPv6 …….. Từ ngày 2/4 đến ngày 15/4 Hiểu về cấu trúc tiêu đề 1.1 Khái quát chung địa chỉ IPv6 Từ ngày 2/4 đến ngày 6/4 IPv6 Không gian địa chỉ IPv4 và 1.2 Cấu trúc địa chỉ Ipv6 Từ ngày 7/4 đến ngày 11/4 IPv6 Chỉ ra giao thức địa chỉ sử 1.3 Các cách viết địa chỉ Ipv6 Từ ngày 12/4 đến ngày 15/4 dụng trong IPv4, IPv6 2 tuần 2 Tìm hiểu về IPsec trong IPv6 Từ ngày 16/4 đến ngày 29/4 Tìm hiểu tổng quan về Tổng quan, kiến trúc Ipsec, cấu trúc 2.1 bảo mật, hiện trạng Từ ngày 16/4 đến ngày 22/4 Ipsec, cấu trúc bảo mật, hiện trạng Tìm hiểu hoạt động của Chi tiết, thực hiện, ưu khuyết điểm IPsec trong Ipv6 2.2 của IPsec Từ ngày 23/4 đến ngày 29/4 Chỉ ra những ưu, nhược điểm Thử nghiệm IPv6 và IPsec trên IPv6 3 tuần 3 trên mạng nội bộ đơn vị Từ ngày 30/4 đến ngày 20/5 Xây dựng hệ thống mạng nội bộ 2 máy 3.1 Xây dựng mô hình thử nghiệm IPv6 Từ ngày 1/5 đến ngày 6/5 Sử dụng HDH Win Server, 2K Thiết lập địa chỉ IP cho các 3.2 Không gian địa chỉ thử nghiệm Từ ngày7./5 đến ngày 13./5 Windows Server 2008 client: win 2k8, ipv6 Trao đổi thông tin qua IPsec Thử nghiệm trao đổi thông tin qua 3.3 Từ ngày 14/5 đến ngày 20/5 Ipv6 IPsec Ipv6 và báo cáo kết quả. Xem kết quả Hà Nội, ngày 30 tháng 3 năm 2012 SV: Đặng Tuấn Linh _ CN107a3 4Đề tài thực tập IPsec trong IPv6 CÁN BỘ HƯỚNG DẪN SINH VIÊN MỤC LỤC Nội dung Trang Lời cảm ơn ...................................................................................................................1 Đặng Tuấn Linh Bản đăng ký kế hoạch thực tập tốt nghiệp................................................................2 Mục lục..........................................................................................................................3 Phần A : Giới thiệu đơn vị thực tập...........................................................................4 Phần B : Nội dung thực tập.........................................................................................6 I. Phần giới thiệu chung...........................................................................................6 II. Phần trình bày ......................................................................................................8 A. Tìm hiểu tổng quan về Ipv6....................................................................................9 I/ Khái quát chung..............................................................................................9 II / Cấu trúc địa chỉ IPv6...................................................................................9 1/ Unicast Address............................................................................10 2/ Anycast Address...........................................................................12 3/ Multicast Address.........................................................................14 4/ Các cách viết địa chỉ IPv6...........................................................16 B. Tìm hiểu về IPsec trong IPv6..................................................................................10 1. Tổng quan.......................................................................................................19 2. Kiến trúc IPSec:.............................................................................................20 3. Cấu trúc bảo mật...........................................................................................21 4. Hiện trạng......................................................................................................22 5. Technical details – chi tiết kỹ thuật ............................................................24 6. Implementations - thực hiện.........................................................................27 7. Ưu khuyết điểm của IPSec..........................................................................29 C. Thử nghiệm IPv6 và IPsec trên IPv6 qua mạng nội bộ đơn đơn vị.....................31 I/ Xây dựng mô hình thử nghiệm.....................................................................31 1. Cấu hình thử nghiệm.........................................................................31 2. Không gian mô hình...........................................................................31 3. Dải địa chỉ IP thử nghiệm.................................................................32 II/ Cấu hình TCP/IPv6.......................................................................................32 III/ Cấu hình IP Sec...........................................................................................34 III. Phần kết luận..........................................................................................................45 IV. Các thông tin nguyện vọng ...................................................................................49 Tài liệu tham khảo........................................................................................................50 SV: Đặng Tuấn Linh _ CN107a3 5Đề tài thực tập IPsec trong IPv6 Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP I. Chức năng Viện Công nghệ Thông tin và truyền thông CDIT có nhiệm vụ: nghiên cứu, phát triển, triển khai sản phẩm, chuyển giao công nghệ và đào tạo trong lĩnh vực Công nghệ Thông tin phục vụ Ngành Bưu chính Viễn thông và xã hội. II. Tổ chức Được thành lập năm 1999 trong xu thế cạnh tranh và hội nhập toàn cầu, Viện Công nghệ Thông tin và truyền thông CDIT, với vai trò là đơn vị nghiên cứu phát triển hàng đầu trong lĩnh vực công nghệ thông tin, xác định: việc lĩnh hội, đúc kết và phát huy tiềm năng, nội lực, làm chủ công nghệ là mục tiêu chiến lược nhằm thực hiện thành công định hướng gắn kết Nghiên cứu - Đào tạo - Sản xuất Kinh doanh. CDIT đã duy trì, phát triển và chiếm lĩnh thị trường trong nước với các sản phẩm đáp ứng tiêu chí: Tiên tiến - Tương thích - Toàn cầu, thay thế sản phẩm nhập khẩu, nỗ lực đóng góp cho sự phát triển của mạng lưới bưu chính viễn thông và công ngh ệ thông tin Việt Nam, vươn mình hòa nhập với cộng đồng CNTT trong khu vực và trên thế giới. Viện Công nghệ Thông tin và truyền thông CDIT được Tổng giám đốc Tổng Công ty Bưu chính Viễn thông Việt Nam ký quyết định thành lập số 636/QĐ.TCCB- LĐ ngày 22 tháng 3 năm 1999, trên cơ sở sắp xếp lại hai đơn vị thành viên của các đơn vị trực thuộc Học viện Công nghệ Bưu chính Viễn thông : 1. Trung tâm Nghiên cứu Phát triển Phần mềm thuộc Viện KHKT Bưu điện; 2. Trung tâm Đào tạo Phát triển Phần mềm thuộc Trung tâm Đào tạo BCVT1 (cũ). III. Các lĩnh vực hoạt động Viện Công nghệ Thông tin và truyền thông CDIT hoạt động trên năm lĩnh vực chính: 1. Nghiên cứu khoa học công nghệ; 2. Phát triển, triển khai công nghệ và sản phẩm; 3. Sản xuất phần mềm và thiết bị; 4. Tiếp nhận và chuyển giao công nghệ; SV: Đặng Tuấn Linh _ CN107a3 6Đề tài thực tập IPsec trong IPv6 5. Đào tạo và bồi dưỡng nhân lực. Sản phẩm tiêu biểu 1. Nhóm các sản phẩm phục vụ khai thác mạng viễn thông và điều hành SXKD - Hệ thống tính cước và chăm sóc khách hàng BCSS - Hệ thống quản lý mạng ngoại vi CABMAN/GIS - Hệ thống khai thác và bảo dưỡng mạng OMC - Hệ thống cắt mở dịch vụ tự động - Hệ thống quản lý bảo dưỡng báo hỏng tự động 119 - Hệ thống phần mềm bảo mật ứng dụng công nghệ nhận dạng vân tay - Hệ thống báo cáo số liệu VRS 2. Nhóm các sản phẩm cho mạng Viễn thông - Hệ thống tổng đài VINEX 1000 (1024 số) - Hệ thống máy chủ Thông tin đa phương tiện MUCOS - Hệ thống Nhắn tin 1570 và nhắn tin ngắn qua mạng thông tin di động SMSC - Hệ thống nhắn tin đa phương tiện MMSC - Hệ thống Thông tin giáo dục - Hệ thống Tổng đài Thế hệ sau đa dịch vụ chuyển mạch mềm 3. Nhóm các sản phẩm phục vụ bưu chính - Giải pháp tổng thể ứng dụng CNTT cho Bưu chính - Hệ thống mạng và phần mềm phục vụ chuyển tiền CT2003 4. Nhóm sản phẩm trên nền Internet - Giải pháp mạng Intranet COSA/ISP - Hệ thống thanh toán qua ngân hàng INFOGATE Thị trường chính - Công ty mẹ - Tập đoàn Bưu chính Viễn thông Việt Nam - Các công ty con, công ty liên kết của Tập đoàn Bưu chính Viễn thông Việt Nam - Tập đoàn Điện lực Việt Nam - Các ngân hàng:VCB, TechComBank - Các công ty viễn thông: VietTel, HanoiTelecom SV: Đặng Tuấn Linh _ CN107a3 7Đề tài thực tập IPsec trong IPv6 Phần B : NỘI DUNG THỰC TẬP I. Phần giới thiệu chung Địa chỉ IPv4 được thiết kế có chiều dài 32 bit và có thể cung cấp khoảng 4 tỉ địa chỉ cho hoạt động mạng toàn cầu. Địa chỉ IPv4 đã đồng hành với việc phát triển như vũ bão của hoạt động Internet trong hơn hai thập kỷ vừa qua. Song nguồn tài nguyên IPv4 sắp cạn kiệt trước tốc độ tiêu thụ quá nhanh của toàn cầu trước nhu cầu phát triển không ngừng các dịch vụ mới đòi hỏi kết nối băng thông rộng với địa chỉ IP cố định (tỉ lệ sử dụng địa chỉ/khách hàng là 1:1), cũng như đòi hỏi tham gia kết nối mạng của đa dạng thiết bị (thiết bị số dùng cho cá nhân PDA, điện thoại di động, đồ dùng điện tử, ô tô, tàu thủy, xe lửa, máy bay...). Bên cạnh nguy cơ cạn kiệt nguồn IPv4, xu hướng hội nhập mạng viễn thông và Internet với khái niệm mạng thế hệ mới “Next Generation Network” đã khiến IPv4 bộc lộ một số hạn chế trong cấu trúc thiết kế , khiến những nhà nghiên cứu, những tổ chức tiêu chuẩn hóa chịu trách nhiệm về hoạt động mạng toàn cầu nhận thấy cần có sự phát triển lên một tầm cao hơn của giao thức Internet. IPv6 (Internet protocol version 6) là phiên bản địa chỉ Internet mới, được thiết kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản: - Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet. - Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4. IPv6 được thiết kế với những tham vọng và mục tiêu như sau: - Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ. - Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn toàn công nghệ NAT - Quản trị TCP/IP dễ dàng hơn: DHCP được sử dụng trong IPv4 nhằm giảm cấu hình thủ công TCP/IP cho host. IPv6 được thiết kế với khả năng tự động cấu hình mà không cần sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công. - Cấu trúc định tuyến tốt hơn: Định tuyến IPv6 được thiết kế hoàn toàn phân cấp. - Hỗ trợ tốt hơn Multicast: Multicast là một tùy chọn của địa chỉ IPv4, tuy nhiên khả năng hỗ trợ và tính phổ dụng chưa cao. - Hỗ trợ bảo mật tốt hơn: IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết rõ nhau kết nối với nhau. Do vậy bảo mật chưa phải là một vấn đề được quan tâm. Song hiện nay, bảo mật mạng internet trở thành một vấn đề rất lớn, là mối quan SV: Đặng Tuấn Linh _ CN107a3 8Đề tài thực tập IPsec trong IPv6 tâm hàng đầu. - Hỗ trợ tốt hơn cho di động: Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về thiết bị IP di động. Trong thế hệ mạng mới, dạng thiết bị này ngày càng phát triển, đòi hỏi cấu trúc giao thức Internet có sự hỗ trợ tốt hơn. -Tên chủ đề thực tập IPsec trong IPv6 -Mục tiêu - Chỉ ra được tổng quan về địa chỉ IPv6 - Chỉ ra được tính bảo mật trong IPv6 - Tạo được mô hình thử nghiệm Ipsec trong Ipv6 -Nội dung 1. Tìm hiểu tổng quan về IPv6 Cấu trúc địa chỉ IPv6 Các cách viết địa chỉ IPv6 2. Tìm hiểu về IPsec trong IPv6 Tổng quan Kiến trúc IPSec Cấu trúc bảo mật Hiện trạng Chi tiết kỹ thuật Thực hiện Ưu khuyết điểm của IPSec 3. Thử nghiệm IPv6 và IPsec trên IPv6 trên mạng nội bộ đơn vị Xây dựng mô hình thử nghiệm IPv6 Không gian địa chỉ thử nghiệm Thử nghiệm trao đổi thông tin qua IPsec Ipv6 và báo cáo kết quả - Kết quả cần đạt: 1. Hiểu về tổng quan của Ipv6 2. Hiểu về Ipsec trong Ipv6 SV: Đặng Tuấn Linh _ CN107a3 9Đề tài thực tập IPsec trong IPv6 3. Sử dụng và bắt được bản tin trong Ipv6 SV: Đặng Tuấn Linh _ CN107a3 10Đề tài thực tập IPsec trong IPv6 II. Phần trình bày MỞ BÀI Sự phát triển của khoa học kĩ thuật trên thế giới đã đạt được những thành tựu to lớn trên nhiều lĩnh vực khác nhau. Trong đó phải kể đến là sự phát triển nhanh chóng của công nghệ chế tạo điện tử và vi điện tử đã tạo ra được những thiết bị mạng, máy tính với khả năng xử lý ngày càng cao. Sự phát triển rất nhanh của mạng Internet toàn cầu. Mạng Internet đã tạo ra m ột môi trường hoạt động toàn cầu cho tất cả mọi người tham gia, gần như xóa đi biên giới giữa các quốc gia, thu ngắn lại khoảng cách địa lý Một trong những vấn đề quan trọng mà kĩ thuật mạng trên thế giới đang phải nghiên cứu giải quyết là đối mặt với sự phát triển với tốc độ quá nhanh của mạng lưới Internet toàn cầu. Sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những dịch vụ mới, kết nối nhiều mạng với nhau, như mạng di động với mạng Internet đã đặt ra nhiều vấn đề trong đó việc bảo mật tài nguyên luôn luôn được nghiên cứu và phát triển nhằm tránh rủi ro do khách quan hoặc chủ quan. Nhằm giải quyết vấn đề này, IPv6 được ra đời với mục đích thay thế hoàn toàn và khắc phục các nhược điểm của IPv4. Sự ra đời của IPv6 đánh dấu một bước ngoặt lớn về hệ thống thông tin mạng toàn cầu. Do đó em lựa chọn đề tài “ IPsec trong Ipv6”. Và để hiểu rõ hơn về tính bảo mật trong IPv6, em xin trình bày kết quả tìm kiếm, học hỏi của mình với sự hướng dẫn tận tình của thầy Đỗ Đức Huy, Viện công nghệ thông tin và truyền thông CDIT. SV: Đặng Tuấn Linh _ CN107a3 11Đề tài thực tập IPsec trong IPv6 THÂN BÀI A. TÌM HIỂU TỔNG QUAN VỀ IPv6 I/ KHÁI QUÁT CHUNG . Địa chỉ thế hệ mới của Internet - IPv6 (IP address version 6) được Nhóm chuyên trách về kỹ thuật IETF (Internet Engineering Task Force) của Hiệp hội Internet đề xuất thực hiện kế thừa trên cấu trúc và tổ chức của IPv4 . IPv4 có 32 bít địa chỉ với khả năng lý thuyết có thể cung cấp một không gian đ ịa ch ỉ là 232 = 4 294 967 296 địa chỉ. Còn IPv6 có 128 bit đ ịa chỉ dài h ơn 4 l ần so v ới IPv4 nhưng khả năng lý thuyết có thể cung cấp một không gian địa chỉ là 2™ = 340 282 366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều hơn không gian đ ịa chỉ của IPv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn số là 4.109 còn 2128 l ấy tròn s ố là 340.10 36 ( khoảng 340 tỷ tỷ tỷ tỷ địa chỉ ). Số địa chỉ này nếu rải đ ều trên bề mặt quả đất thì mỗi mét vuông có khoảng 665 570 tỷ tỷ địa chỉ (665 570 .10 18) vì diện tích bề mặt quả đất khoảng 511 263 tỷ mét vuông . Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho Internet màcòn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm chí cho từng vật dụng trong gia đình. Người ta nói rằng từng chiếc điều hoà, tủ lạnh, máy giặt hay nồi cơm điện v.v..của từng gia đình một cũng sẽ mang một điạ chỉ IPv6 để chủ nhân của chúng có thể kết nối và ra lệnh từ xa . Nhu cầu hiện tại chỉ c ần 15% không gian địa chỉ IPv6 còn 85% dự phòng cho tương lai . II / CẤU TRÚC ĐỊA CHỈ IPV6 . Địa chỉ IPv4 được chia ra 5 lớp A,B,C,D,E còn IPv6 lại được phân ra là 3 loại chính sau . 1/ Unicast Address. Địa chỉ đơn hướng. Là địa chỉ dùng để nhận dạng từng Node một ( Node - Điểm Nút là tập hợp các thiết bị chuyển mạch nằm ở trung tâm như Router chẳng hạn ), cụ thể là một gói số liệu được gửi tới một đ ịa chỉ đ ơn hướng sẽ được chuyển tới Node mang địa chỉ đơn hướng - Unicast đó. 2/ Anycast Address. Địa chỉ bất kỳ hướng nào. Là địa chỉ dùng để nhận dạng một "Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành, cụ thể là một gói số SV: Đặng Tuấn Linh _ CN107a3 12Đề tài thực tập IPsec trong IPv6 liệu được gửi tới một địa chỉ "Bất cứ hướng nào" sẽ được chuyển tới một Node gần nhất trong Tập hợp Node mang địa chỉ anycast đó . 3/ Multicast Address. Địa chỉ đa hướng. Là địa chỉ dùng để nhận dạng một "Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành, cụ thể là một gói số liệu được gửi tới một địa chỉ " đa hướng" sẽ được chuyển tới tất cả các Node trong Tập hợp Node mang địa chỉ Multicast đó . 1. Unicast Address . Trong loại địa chỉ này lại có rất nhiều kiểu, chúng ta hay xem một số kiểu chính sau đây . a / Local - use unicast address. Địa chỉ đơn hướng dùng nội bô, được sử dụng cho một Tổ chức có mạng máy tính riêng ( dùng nội bô ) chưa nối với mạng Internet toàn cầu hiện tại nhưng sẵn sàng nối được khi cần . Địa chỉ này chia thành hai kiểu Link Local - nhận dạng đ ường kết nối nội bộ và Site Local - nhận dạng trong phạm vi nội bộ có thể có nhiều nhóm Node - Subnet). */- Mẫu địa chỉ cho Link Local . 128 bit 10 Bit 54 Bit 64 Bit 1111111010 00000 . . . . . 0000 Interface ID Hình vẽ 1. Cấu trúc địa chỉ của Link Local . */- Mẫu địa chỉ cho Site Local 10 Bit 38 Bit 16 Bit 64 Bit 1111111011 00000 . .0 Subnet ID Interface ID Hình vẽ 2: Cấu trúc địa chỉ của Site Local . Các bit đầu tiên (trường hợp này là 10 bit) tương tự như các bit nhận dạng lớp địa chỉ (Class Bit) của IPv4 nhưng ở IPv6 được gọi là Prefix dùng để phân biệt các loại, các kiểu địa chỉ khác nhau trong IPv6 . Trong cả hai trường hợp nêu trên trường Interface ID để nhận dạng thiết bị như Node hay Router nhưng đều sử dụng cùng tên Miền . SV: Đặng Tuấn Linh _ CN107a3 13Đề tài thực tập IPsec trong IPv6 b / IPX Address: Internework Packet eXchange, trao đổi các gói số liệu giữa các mạng - giao thức cơ bản trong hệ điều hành Novell Netware. Địa chỉ IPX đ ược chuyển sang IPv6 theo dạng sau. Hình vẽ 3: Cấu trúc địa chỉ IPX . c/ IPv6 Address with embedded IPv4. Địa chỉ IPv6 gắn kèm IPv4 . Đây là một cấu trúc quan trọng trong bước chuyển tiếp đổi từ địa chỉ cũ sang địa chỉ mới trên Internet. Có hai kiểu sau . */- Kiểu địa chỉ "IPv4 tương thích với IPv6" . Những Node mang địa chỉ IPv6 sử dụng kiểu địa chỉ này để tải địa chỉ IPv4 ở 32 bit sau như vậy mới kết nối được với các Node mang địa chỉ IPv4 . Hình vẽ 4: Cấu trúc địa chỉ IPv4 tương thích với IPv6 */- Kiểu địa chỉ "IPv4 giả làm IPv6 ". Những Node mang địa chỉ IPv4 sử dụng kiểu địa chỉ này để tương thích với IPv6 có vậy mới kết nối được với các Node mang địa chỉ IPv6 . Hình vẽ 5: Cấu trúc địa chỉ IPv4 giả làm IPv6 Sự khác nhau của hai kiểu địa chỉ này là 16 bit của kiểu thứ nhất giá trị tất cả các bit đều = 0, còn kiểu thứ hai giá trị tất cả các bit đều = 1 (Mã Hexal là FFFF) . d/ Aggregate Global Unicast Address . Địa chỉ đơn hướng trên mạng toàn cầu. Kiểu địa chỉ này được thiết kế để cho cả ISP hiện tại và tương lai, ISP trong tương SV: Đặng Tuấn Linh _ CN107a3 14Đề tài thực tập IPsec trong IPv6 lai có quy mô lớn hơn, như là các Internet Carrier.Trường hợp này được gọi là các Trung tâm chuyển đổi (Exchanges )trên Internet, cung cấp khả năng truy nhập và dịch vụ Internet cho cả khách hàng (end user) lẫn ISP, hiện tại một số công ty lớn của Mỹ đã có quy mô này . 3 Bit 13 Bit 32Bit 16 Bit 64 Bit FP TLA ID NLA ID SLA ID Interface ID Hình vẽ 6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu. FP: Format Prefix. Nhận dạng kiểu địa chỉ . Interface ID. Nhận dạng Node . SLA ID - Site Level Aggregate. Nhận dạng cấp vùng . NLA ID - Next Level Aggregate. Nhận dạng cấp tiếp theo. TLA ID - Top Level Aggregate. Nhận dạng cấp cao nhất. 2. Anycast Address. Kiểu địa chỉ này cũng tương tự như Unicast, nếu địa chỉ phân cho một Node thì đó là Unicast, cùng địa chỉ đó phân cho nhiều Node thì đó lại là Anycast. Vì địa chỉ Anycast để phân cho một Nhóm Node bao gồm nhiều Node hợp thành (một Subnet). Một gói số liệu gửi tới một địa chỉ Anycast sẽ được chuyển tới một Node (Router) gần nhất trong Subnet mang địa chỉ đó. Hình 7: Cấu trúc địa chỉ Anycast. Địa chỉ đa hướng của IPv6 để nhận dạng một Tập hợp Node nói cách khác một nhóm Node. Từng Node một trong nhóm đều có cùng địa chỉ như nhau. Hình 8 . 8 Bit 4 Bit 4 Bit 112 Bit 11111111 Flgs Scop Group ID Hình 8: Cấu trúc địa chỉ đa hướng 8 bít Prefix đầu tiên để nhận dạng kiểu địa chỉ đa hướng, 4 bit tiếp (Flgs) cho 4 cờ với giá trị . SV: Đặng Tuấn Linh _ CN107a3 15Đề tài thực tập IPsec trong IPv6 0 0 T ba bit đầu còn chưa dùng đến nên = 0, còn bit thứ 4 có giá tr ị T. Nếu T =0 có nghĩa địa chỉ này đã được NIC phân cố định. Nếu T = 1 có nghĩa đây chỉ là địa chỉ tạm thời. Bốn bit tiếp (Scop) có giá trị thập phân từ 0 đến 15, tính theo Hexal là từ 0 đến F Nếu giá trị của Scop = 1 . Cho Node Local . = 2 . Cho Link Local . = 5 . Cho Site Local . = 8 . Organizition Local . = E . Global scop - Điạ chỉ Internet toàn cầu . Còn lại đều đang dự phòng . Ví dụ: Các mạng LAN đang dùng theo chuẩn IEEE 802 MAC (Media Access Control) khi dùng IPv6 kiểu đa hướng sẽ sử dụng 32 bit cuối trong tổng số 112 bit dành cho nhận dạng nhóm Node (Group ID) để tạo ra địa chỉ MAC, 80 bit còn lại chưa dùng tới phải đặt = 0. Hình 9: Cấu trúc địa chỉ MAC của LAN SV: Đặng Tuấn Linh _ CN107a3 16Đề tài thực tập IPsec trong IPv6 3. Multicast Address. Địa chỉ Multicast Ipv6 được thiết kế để thực hiện cả các chức năng broadcast và multicast. Do vậy có nhiều dạng địa chỉ multicast Ipv6. Có những dạng địa chỉ multicast mà bất kỳ Node Ipv6 nào cũng phải nhận lưu lượng. Những địa chỉ multicast này phục vụ cho những quy trình hoạt động thiết yếu của Ipv6. Những dạng địa chỉ multicast IPv6 khác sử dụng trong công nghệ truyền gói tin tới nhiều đích cùng lúc, như công nghệ multicast của Ipv4 Mỗi dạng địa chỉ multicast IPv6 đều có phạm vi hoạt động nhất định. Lưu lượng của địa chỉ multicast Ipv6 sẽ được chuyển tới toàn bộ các node trong một phạm vị nào đó hay chỉ chuyển tới nhóm các node trong phạm vi là tùy thuộc vào dạng địa chỉ multicast. Hình 10: Cấu trúc địa chỉ IPv6 multicast Bảng 1: Địa chỉ multicast mọi node SV: Đặng Tuấn Linh _ CN107a3 17Đề tài thực tập IPsec trong IPv6 Hình 11: Multicast trong phạm vi một đường kết nối Địachỉ IPv6 Giátrị Group Têngọi Giátrị Scope Chú thích multicast ID Địa chỉ multicast 1 (Xác định 2 (Xác định FF01::2 mọi router phạm phạm vi trong nhóm multicast vi node một thiết bị) mọi router) Xác định mọi Địa chỉ multicast 2 (Xác định 2 (Xác định router IPv6 trong FF02::2 mọi router phạm phạm vi một nhóm multicast phạm vi một vi link đường kết nối) mọi router) đường kết nối 2 (Xác định Xác định mọi Địa chỉ multicast 5 (Xác định nhóm multicast router IPv6 trong FF05::2 mọi router phạm phạm vi một mọi router) phạm vi một vi site mạng) mạng Bảng 2: Multicast tới mọi router SV: Đặng Tuấn Linh _ CN107a3 18Đề tài thực tập IPsec trong IPv6 4. Các cách viết địa chỉ IPv6 Địa chỉ IPv6 có chiều dài 128 bit, nên vấn đề nhớ địa chỉ là hết sức khó khăn. Nếu viết theo dạng thông thường của địa chỉ IPv4 thì một địa chỉ IPv6 có 16 nhóm số hê cơ số 10. Do vậy, các nhà thiết kế đã chọn cách viết 128 bit địa chỉ thành 8 nhóm, mỗi nhóm chiếm 2 bytes, mỗi bytes biểu diễn bằng 2 số hê 16; mỗi nhóm ngăn cách nhau bởi dấu hai chấm. Ví dụ: FEDL:BA98:7 654:FEDC:BA98:7 654:3210:ABCD Ký hiêu hexa có lợi là gọn gàng và nhìn đẹp hơn. Tuy nhiên cách viết này cũng gây những phức tạp nhất định cho người quản lý hê thống mạng. Nhìn chung, mọi người thường sử dụng theo tên các host thay bằng các địa chỉ (điều này đ ược áp d ụng t ừ IPv4 khi mà địa chỉ còn đơn giản hơn rất nhiều). Một cách để làm cho đơn giản hơn là các qui tắc cho phép viết tắt. Vì khởi điểm ban đầu chúng ta sẽ không sử dụng tất cả 128bit chiều dài địa chỉ do đó sẽ có r ất nhi ều số 0 (không) ở các bits đầu. Một cải tiến đầu tiên là được phép bỏ qua những số không đ ứng tr ước mỗi thành phần hê 16, viết 0 thay vì viết đầy đủ 0000, ví dụ viết 8 thay vì 0008, viết 800 thay vì 0800. Qua cách viết này cho chúng ta những địa chỉ ngắn gọn hơn. Ví dụ: 1080:0:0:0:8:800:200C: 417A. Ngoài ra, xuất hiên một qui tắc rút gọn khác đó là quy ước về viết hai dấu hai chấm (double-colon). Trong một địa chỉ, một nhóm liên tiếp các số 0 có thể được thay thế bởi hai hai dấu chấm. Ví dụ, ta có thể thay thế 3 nhóm số 0 liên tiếp trong ví dụ trước và được một mẫu ngắn hơn. 1080::8:800:200C:417A Từ địa chỉ viết tắt này, ta có thể viết lại địa chỉ chính xác ban đầu nhờ qui tắc sau: Căn trái các số bên trái của dấu 2 chấm kép trong địa chỉ. Sau đó căn phải tất c ả các số bên phải dấu 2 chấm và điền đầy bằng các số 0. Ví dụ : FEDC:BA98::7654:3210 có địa chỉ đầy đủ là: FEDC:BA98:0:0:0:0:7654:3210 FEDC:BA98:7654:3210: : có địa chỉ đầy đủ là : FEDC:BA98:7654:3210:0:0:0:0 ::FEDC:BA98:7654:3210 có địa chỉ đầy đủ là: 0:0:0:0:FEDC:BA98:7654:32l0 Quy ước hai dấu chấm kép chỉ có thể được sử dụng một lần với một địa chỉ. Ví dụ 0:0:0:BA98:7654:0:0:0 có thể được viết tắt thành ::BA98:7654:0:0:0 hoặc 0:0:0:0:BA98:7654:: nhưng không thể viết là ::BA98:7654:: vì như thế sẽ gây nhầm lẫn khi dịch ra địa chỉ đầy đủ. SV: Đặng Tuấn Linh _ CN107a3 19Đề tài thực tập IPsec trong IPv6 Có một số địa chỉ IPv6 có được hình thành bằng cách gắn 96 bit 0 vào đ ịa chỉ IPv4. (Điều này dễ dàng nhận biết được vì không gian địa chỉ IPv4 chỉ là một tập con của tập địa chỉ IPv6). Để giảm nhỏ nguy cơ nhầm lẫn trong chuyển đổi giữa ký hiêu chấm thập phân của IPv4 và hai dấu chấm thập phân của ký hiêu IPv6, các nhà thiết kế IPv6 cũng đã đưa ra một khuôn mẫu đặc biêt cho cách viết những địa chỉ loại này như sau: Thay vì viết theo cách của địa chỉ IPv6 là: 0:0:0:0:0:0:A00:1 ta có thể vẫn để 32 bit cuối theo mẫu chấm thập phân. ::10.0.0.1 Ngoài ra, còn có thể viết địa chỉ mạng theo các tiền tố, là các bit cao của địa chỉ IPv6; Điều này có lợi trong viêc định tuyến: một địa chỉ IPv6 theo sau bởi một dấu chéo và một số hệ 10 mô tả chiều dài các bit tiền tố. Ví dụ ký hiệu: FEDC:BA98:7600::/40 mô tả một tiền tố dài 40 bit giá trị nhị phân tương ứng là: 1111111011100101110101001100001110110 SV: Đặng Tuấn Linh _ CN107a3 20

VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG CDIT

BÁO CÁO THỰC TẬP TỐT NGHIỆP

Nội dung: IPSEC TRONG IPV6

Nơi thực tập : Viện Công nghệ Thông tin và truyền thông CDIT Người hướng dẫn : Thầy Đỗ Đức Huy

: Phòng NCPT Dịch vụ Bưu chính Viễn thông Người báo cáo : Đặng Tuấn Linh

LỜI CẢM ƠN

Sau thời gian 7 tuần thực tập tại viện công nghệ thông tin và truyền thông CDiTPhòng NCPT Dịch vụ Bưu chính Viễn thông Được sự giúp đỡ và hướng dẫn tận tìnhcủa thầy Đỗ Đức Huy Em được tìm hiểu, và nghiên cứu một số vấn đề liên quan đếnđịa chỉ IPv6, được mở rộng kiến thức, được thử nghiệm và xem kết quả thực tế, đượctiếp xúc với môi trường làm việc chuyên nghiệp, thân thiện của phòng nghiên cứu dịchvụ… em đã hoàn thành được đề tài Ipsec trong Ipv6 Em xin chân thành cảm ơn Bangiám đốc Viện công nghệ thông tin và truyền thông, Phòng NCPT Dịch vụ Bưu chínhViễn thông, Thầy Đỗ Đức Huy đã tận tâm chỉ bảo, hướng dẫn em hoàn đề tài này

Trong quá trình thực tập, cũng như trong quá trình làm báo cáo khó tránh khỏi sai sót Em rất mong được sự tha thứ của thầy Đỗ Đức Huy! Một lần nữa em xin chân thành cảm ơn!

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

VIỆN CÔNG NGHỆ

THÔNG TIN VÀ TRUYỀN THÔNG CDIT Độc lập - Tự do - Hạnh phúc

KẾ HOẠCH ĐĂNG KÝ THỰC TẬP TỐT NGHIỆP

Họ và tên sinh viên: Đặng Tuấn Linh

Lớp: CN107A3 – Mã sv: 107202231

Địa chỉ liên hệ: Đình Cả - Nội Duệ - Tiên Du – Bắc Ninh

Điện thoại: 0975454268 email: dangtuanlinhbn@gmail.com

Đơn vị thực tập tốt nghiệp: Phòng NCPT Dịch vụ Bưu Chính Viễn Thông, CDiT Người hướng dẫn trực tiếp: Đỗ Đức Huy

Đề tài: IPsec trong IPv6

TT Nội dung thực tập Thời gian Mục tiêu

1 Tìm hiểu tổng quan về IPv6 2 tuầnTừ ngày 2/4 đến ngày 15/4 ……

1.1 Khái quát chung địa chỉ IPv6 Từ ngày 2/4 đến ngày 6/4 Hiểu về cấu trúc tiêu đề IPv6

1.2 Cấu trúc địa chỉ Ipv6 Từ ngày 7/4 đến ngày 11/4 Không gian địa chỉ IPv4 và

IPv6

1.3 Các cách viết địa chỉ Ipv6 Từ ngày 12/4 đến ngày 15/4 Chỉ ra giao thức địa chỉ sử dụng trong IPv4, IPv6

2 Tìm hiểu về IPsec trong IPv6 2 tuần Từ ngày 16/4 đến ngày 29/4

2.1 Tổng quan, kiến trúc Ipsec, cấu trúc bảomật, hiện trạng Từ ngày 16/4 đến ngày 22/4 Tìm hiểu tổng quan về Ipsec,

cấu trúc bảo mật, hiện trạng

2.2 Chi tiết, thực hiện, ưu khuyết điểm của IPsec Từ ngày 23/4 đến ngày 29/4

Tìm hiểu hoạt động của IPsec trong Ipv6

Chỉ ra những ưu, nhược điểm

3 Thử nghiệm IPv6 và IPsec trên IPv6 trên mạng nội bộ đơn vị 3 tuầnTừ ngày 30/4 đến ngày 20/5

3.1 Xây dựng mô hình thử nghiệm IPv6 Từ ngày 1/5 đến ngày 6/5

Xây dựng hệ thống mạng nội

bộ 2 máy

Sử dụng HDH Win Server, 2K

3.2 Không gian địa chỉ thử nghiệm Từ ngày7./5 đến ngày 13./5

Thiết lập địa chỉ IP cho các Windows Server 2008 client: win 2k8, ipv6

3.3 Thử nghiệm trao đổi thông tin qua IPsec Ipv6 và báo cáo kết quả. Từ ngày 14/5 đến ngày 20/5

Trao đổi thông tin qua IPsec Ipv6

Xem kết quả

Hà Nội, ngày 30 tháng 3 năm 2012

MỤC LỤC

Lời cảm ơn 1

Bản đăng ký kế hoạch thực tập tốt nghiệp 2

Mục lục 3

Phần A : Giới thiệu đơn vị thực tập 4

Phần B : Nội dung thực tập 6

I Phần giới thiệu chung 6

II Phần trình bày 8

A Tìm hiểu tổng quan về Ipv6 9

I/ Khái quát chung 9

II / Cấu trúc địa chỉ IPv6 9

1/ Unicast Address 10

2/ Anycast Address 12

3/ Multicast Address 14

4/ Các cách viết địa chỉ IPv6 16

B Tìm hiểu về IPsec trong IPv6 10

1 Tổng quan 19

2 Kiến trúc IPSec: 20

3 Cấu trúc bảo mật 21

4 Hiện trạng 22

5 Technical details – chi tiết kỹ thuật 24

6 Implementations - thực hiện 27

7 Ưu khuyết điểm của IPSec 29

C Thử nghiệm IPv6 và IPsec trên IPv6 qua mạng nội bộ đơn đơn vị 31

I/ Xây dựng mô hình thử nghiệm 31

1 Cấu hình thử nghiệm 31

2 Không gian mô hình 31

3 Dải địa chỉ IP thử nghiệm 32

II/ Cấu hình TCP/IPv6 32

III/ Cấu hình IP Sec 34

III Phần kết luận 45

IV Các thông tin nguyện vọng 49

Tài liệu tham khảo 50

Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP

I Chức năng

Viện Công nghệ Thông tin và truyền thông CDIT có nhiệm vụ: nghiên cứu,phát triển, triển khai sản phẩm, chuyển giao công nghệ và đào tạo trong lĩnh vực Côngnghệ Thông tin phục vụ Ngành Bưu chính Viễn thông và xã hội

II Tổ chức

Được thành lập năm 1999 trong xu thế cạnh tranh và hội nhập toàn cầu, ViệnCông nghệ Thông tin và truyền thông CDIT, với vai trò là đơn vị nghiên cứu phát triểnhàng đầu trong lĩnh vực công nghệ thông tin, xác định: việc lĩnh hội, đúc kết và pháthuy tiềm năng, nội lực, làm chủ công nghệ là mục tiêu chiến lược nhằm thực hiệnthành công định hướng gắn kết Nghiên cứu - Đào tạo - Sản xuất Kinh doanh CDIT đãduy trì, phát triển và chiếm lĩnh thị trường trong nước với các sản phẩm đáp ứng tiêu

chí: Tiên tiến - Tương thích - Toàn cầu, thay thế sản phẩm nhập khẩu, nỗ lực đóng

góp cho sự phát triển của mạng lưới bưu chính viễn thông và công nghệ thông tin ViệtNam, vươn mình hòa nhập với cộng đồng CNTT trong khu vực và trên thế giới

Viện Công nghệ Thông tin và truyền thông CDIT được Tổng giám đốc TổngCông ty Bưu chính Viễn thông Việt Nam ký quyết định thành lập số 636/QĐ.TCCB-

LĐ ngày 22 tháng 3 năm 1999, trên cơ sở sắp xếp lại hai đơn vị thành viên của cácđơn vị trực thuộc Học viện Công nghệ Bưu chính Viễn thông :

1 Trung tâm Nghiên cứu Phát triển Phần mềm thuộc Viện KHKT Bưu điện;

2 Trung tâm Đào tạo Phát triển Phần mềm thuộc Trung tâm Đào tạo BCVT1(cũ)

III Các lĩnh vực hoạt động

Viện Công nghệ Thông tin và truyền thông CDIT hoạt động trên năm lĩnh vựcchính:

1 Nghiên cứu khoa học công nghệ;

2 Phát triển, triển khai công nghệ và sản phẩm;

3 Sản xuất phần mềm và thiết bị;

4 Tiếp nhận và chuyển giao công nghệ;

1 Nhóm các sản phẩm phục vụ khai thác mạng viễn thông và điều hành SXKD

- Hệ thống tính cước và chăm sóc khách hàng BCSS

- Hệ thống quản lý mạng ngoại vi CABMAN/GIS

- Hệ thống khai thác và bảo dưỡng mạng OMC

- Hệ thống cắt mở dịch vụ tự động

- Hệ thống quản lý bảo dưỡng báo hỏng tự động 119

- Hệ thống phần mềm bảo mật ứng dụng công nghệ nhận dạng vân tay

- Hệ thống báo cáo số liệu VRS

2 Nhóm các sản phẩm cho mạng Viễn thông

- Hệ thống tổng đài VINEX 1000 (1024 số)

- Hệ thống máy chủ Thông tin đa phương tiện MUCOS

- Hệ thống Nhắn tin 1570 và nhắn tin ngắn qua mạng thông tin di độngSMSC

- Hệ thống nhắn tin đa phương tiện MMSC

- Hệ thống Thông tin giáo dục

- Hệ thống Tổng đài Thế hệ sau đa dịch vụ chuyển mạch mềm

3 Nhóm các sản phẩm phục vụ bưu chính

- Giải pháp tổng thể ứng dụng CNTT cho Bưu chính

- Hệ thống mạng và phần mềm phục vụ chuyển tiền CT2003

4 Nhóm sản phẩm trên nền Internet

- Giải pháp mạng Intranet COSA/ISP

- Hệ thống thanh toán qua ngân hàng INFOGATE

Thị trường chính

- Công ty mẹ - Tập đoàn Bưu chính Viễn thông Việt Nam

- Các công ty con, công ty liên kết của Tập đoàn Bưu chính Viễn thông ViệtNam

- Tập đoàn Điện lực Việt Nam

- Các ngân hàng:VCB, TechComBank

- Các công ty viễn thông: VietTel, HanoiTelecom

Phần B : NỘI DUNG THỰC TẬP

I Phần giới thiệu chung

Địa chỉ IPv4 được thiết kế có chiều dài 32 bit và có thể cung cấp khoảng 4 tỉ địachỉ cho hoạt động mạng toàn cầu Địa chỉ IPv4 đã đồng hành với việc phát triển như

vũ bão của hoạt động Internet trong hơn hai thập kỷ vừa qua Song nguồn tài nguyên IPv4 sắp cạn kiệt trước tốc độ tiêu thụ quá nhanh của toàn cầu trước nhu cầu phát triểnkhông ngừng các dịch vụ mới đòi hỏi kết nối băng thông rộng với địa chỉ IP cố định (tỉ

lệ sử dụng địa chỉ/khách hàng là 1:1), cũng như đòi hỏi tham gia kết nối mạng của đa dạng thiết bị (thiết bị số dùng cho cá nhân PDA, điện thoại di động, đồ dùng điện tử, ô

tô, tàu thủy, xe lửa, máy bay ) Bên cạnh nguy cơ cạn kiệt nguồn IPv4, xu hướng hội nhập mạng viễn thông và Internet với khái niệm mạng thế hệ mới “Next Generation Network” đã khiến IPv4 bộc lộ một số hạn chế trong cấu trúc thiết kế , khiến những nhà nghiên cứu, những tổ chức tiêu chuẩn hóa chịu trách nhiệm về hoạt động mạng toàn cầu nhận thấy cần có sự phát triển lên một tầm cao hơn của giao thức Internet.IPv6 (Internet protocol version 6) là phiên bản địa chỉ Internet mới, được thiết kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản:

- Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet

- Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4

IPv6 được thiết kế với những tham vọng và mục tiêu như sau:

- Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ

- Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn toàn công nghệ NAT

- Quản trị TCP/IP dễ dàng hơn: DHCP được sử dụng trong IPv4 nhằm giảm cấu hình thủ công TCP/IP cho host IPv6 được thiết kế với khả năng tự động cấu hình mà không cần sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công

- Cấu trúc định tuyến tốt hơn: Định tuyến IPv6 được thiết kế hoàn toàn phân cấp

- Hỗ trợ tốt hơn Multicast: Multicast là một tùy chọn của địa chỉ IPv4, tuy nhiên khảnăng hỗ trợ và tính phổ dụng chưa cao

- Hỗ trợ bảo mật tốt hơn: IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết

rõ nhau kết nối với nhau Do vậy bảo mật chưa phải là một vấn đề được quan tâm Song hiện nay, bảo mật mạng internet trở thành một vấn đề rất lớn, là mối quan tâm hàng đầu

về thiết bị IP di động Trong thế hệ mạng mới, dạng thiết bị này ngày càng phát triển, đòi hỏi cấu trúc giao thức Internet có sự hỗ trợ tốt hơn.

-Tên chủ đề thực tập

IPsec trong IPv6

-Mục tiêu

- Chỉ ra được tổng quan về địa chỉ IPv6

- Chỉ ra được tính bảo mật trong IPv6

- Tạo được mô hình thử nghiệm Ipsec trong Ipv6

-Nội dung

1 Tìm hiểu tổng quan về IPv6

Cấu trúc địa chỉ IPv6

Các cách viết địa chỉ IPv6

2 Tìm hiểu về IPsec trong IPv6

Tổng quanKiến trúc IPSecCấu trúc bảo mậtHiện trạng

Chi tiết kỹ thuậtThực hiện

Ưu khuyết điểm của IPSec

3 Thử nghiệm IPv6 và IPsec trên IPv6 trên mạng nội bộ đơn vị

Xây dựng mô hình thử nghiệm IPv6 Không gian địa chỉ thử nghiệm Thử nghiệm trao đổi thông tin qua IPsec Ipv6 và báo cáo kết quả

- Kết quả cần đạt:

1 Hiểu về tổng quan của Ipv6

2 Hiểu về Ipsec trong Ipv6

3 Sử dụng và bắt được bản tin trong Ipv6

II Phần trình bày

MỞ BÀI

Sự phát triển của khoa học kĩ thuật trên thế giới đã đạt được những thành tựu tolớn trên nhiều lĩnh vực khác nhau Trong đó phải kể đến là sự phát triển nhanh chóng của công nghệ chế tạo điện tử và vi điện tử đã tạo ra được những thiết bị mạng, máy tính với khả năng xử lý ngày càng cao

Sự phát triển rất nhanh của mạng Internet toàn cầu Mạng Internet đã tạo ra mộtmôi trường hoạt động toàn cầu cho tất cả mọi người tham gia, gần như xóa đi biên giớigiữa các quốc gia, thu ngắn lại khoảng cách địa lý

Một trong những vấn đề quan trọng mà kĩ thuật mạng trên thế giới đang phải nghiên cứu giải quyết là đối mặt với sự phát triển với tốc độ quá nhanh của mạng lưới Internet toàn cầu Sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những dịch

vụ mới, kết nối nhiều mạng với nhau, như mạng di động với mạng Internet đã đặt ra nhiều vấn đề trong đó việc bảo mật tài nguyên luôn luôn được nghiên cứu và phát triểnnhằm tránh rủi ro do khách quan hoặc chủ quan Nhằm giải quyết vấn đề này, IPv6 được ra đời với mục đích thay thế hoàn toàn và khắc phục các nhược điểm của IPv4

Sự ra đời của IPv6 đánh dấu một bước ngoặt lớn về hệ thống thông tin mạng toàn cầu

Do đó em lựa chọn đề tài “ IPsec trong Ipv6”

Và để hiểu rõ hơn về tính bảo mật trong IPv6, em xin trình bày kết quả tìm kiếm, học hỏi của mình với sự hướng dẫn tận tình của thầy Đỗ Đức Huy, Viện công nghệ thông tin và truyền thông CDIT

THÂN BÀI

A TÌM HIỂU TỔNG QUAN VỀ IPv6

I/ KHÁI QUÁT CHUNG

Địa chỉ thế hệ mới của Internet - IPv6 (IP address version 6) được Nhóm chuyên trách

về kỹ thuật IETF (Internet Engineering Task Force) của Hiệp hội Internet đề xuất thựchiện kế thừa trên cấu trúc và tổ chức của IPv4

IPv4 có 32 bít địa chỉ với khả năng lý thuyết có thể cung cấp một không gian địa chỉ là

232 = 4 294 967 296 địa chỉ Còn IPv6 có 128 bit địa chỉ dài hơn 4 lần so với IPv4nhưng khả năng lý thuyết có thể cung cấp một không gian địa chỉ là 2™ = 340 282

366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều hơn không gian địa chỉcủa IPv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn số là 4.109 còn 2128 lấy tròn số là340.10 36 ( khoảng 340 tỷ tỷ tỷ tỷ địa chỉ ) Số địa chỉ này nếu rải đều trên bề mặt quảđất thì mỗi mét vuông có khoảng 665 570 tỷ tỷ địa chỉ (665 570 10 18) vì diện tích bềmặt quả đất khoảng 511 263 tỷ mét vuông

Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho Internet màcòn chotất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm chí chotừng vật dụng trong gia đình Người ta nói rằng từng chiếc điều hoà, tủ lạnh, máy giặthay nồi cơm điện v.v của từng gia đình một cũng sẽ mang một điạ chỉ IPv6 để chủnhân của chúng có thể kết nối và ra lệnh từ xa Nhu cầu hiện tại chỉ cần 15% khônggian địa chỉ IPv6 còn 85% dự phòng cho tương lai

II / CẤU TRÚC ĐỊA CHỈ IPV6

Địa chỉ IPv4 được chia ra 5 lớp A,B,C,D,E còn IPv6 lại được phân ra là 3 loạichính sau

1/ Unicast Address Địa chỉ đơn hướng Là địa chỉ dùng để nhận dạng từng

Node một ( Node - Điểm Nút là tập hợp các thiết bị chuyển mạch nằm ở trung tâm nhưRouter chẳng hạn ), cụ thể là một gói số liệu được gửi tới một địa chỉ đơn hướng sẽđược chuyển tới Node mang địa chỉ đơn hướng - Unicast đó

2/ Anycast Address Địa chỉ bất kỳ hướng nào Là địa chỉ dùng để nhận dạng

một "Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành, cụ thể là một gói số

liệu được gửi tới một địa chỉ "Bất cứ hướng nào" sẽ được chuyển tới một Node gầnnhất trong Tập hợp Node mang địa chỉ anycast đó

3/ Multicast Address Địa chỉ đa hướng Là địa chỉ dùng để nhận dạng một

"Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành, cụ thể là một gói số liệuđược gửi tới một địa chỉ " đa hướng" sẽ được chuyển tới tất cả các Node trong Tậphợp Node mang địa chỉ Multicast đó

Địa chỉ này chia thành hai kiểu Link Local - nhận dạng đường kết nối nội bộ vàSite Local - nhận dạng trong phạm vi nội bộ có thể có nhiều nhóm Node - Subnet)

*/- Mẫu địa chỉ cho Link Local

Hình vẽ 2: Cấu trúc địa chỉ của Site Local

Các bit đầu tiên (trường hợp này là 10 bit) tương tự như các bit nhận dạng lớp địa chỉ(Class Bit) của IPv4 nhưng ở IPv6 được gọi là Prefix dùng để phân biệt các loại, cáckiểu địa chỉ khác nhau trong IPv6

b / IPX Address: Internework Packet eXchange, trao đổi các gói số liệu giữacác mạng - giao thức cơ bản trong hệ điều hành Novell Netware Địa chỉ IPX đượcchuyển sang IPv6 theo dạng sau.

Hình vẽ 3: Cấu trúc địa chỉ IPX

c/ IPv6 Address with embedded IPv4 Địa chỉ IPv6 gắn kèm IPv4

Đây là một cấu trúc quan trọng trong bước chuyển tiếp đổi từ địa chỉ cũ sang địa chỉmới trên Internet Có hai kiểu sau

*/- Kiểu địa chỉ "IPv4 tương thích với IPv6" Những Node mang địa chỉ IPv6 sử dụngkiểu địa chỉ này để tải địa chỉ IPv4 ở 32 bit sau như vậy mới kết nối được với cácNode mang địa chỉ IPv4

Hình vẽ 4: Cấu trúc địa chỉ IPv4 tương thích với IPv6

*/- Kiểu địa chỉ "IPv4 giả làm IPv6 " Những Node mang địa chỉ IPv4 sử dụng kiểuđịa chỉ này để tương thích với IPv6 có vậy mới kết nối được với các Node mang địachỉ IPv6

Hình vẽ 5: Cấu trúc địa chỉ IPv4 giả làm IPv6

Sự khác nhau của hai kiểu địa chỉ này là 16 bit của kiểu thứ nhất giá trị tất cả các bitđều = 0, còn kiểu thứ hai giá trị tất cả các bit đều = 1 (Mã Hexal là FFFF)

d/ Aggregate Global Unicast Address Địa chỉ đơn hướng trên mạng toàn cầu.Kiểu địa chỉ này được thiết kế để cho cả ISP hiện tại và tương lai, ISP trong tương lai

có quy mô lớn hơn, như là các Internet Carrier.Trường hợp này được gọi là các Trungtâm chuyển đổi (Exchanges )trên Internet, cung cấp khả năng truy nhập và dịch vụInternet cho cả khách hàng (end user) lẫn ISP, hiện tại một số công ty lớn của Mỹ đã

có quy mô này

3 Bit 13 Bit 32Bit 16 Bit 64 Bit

Hình vẽ 6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu

FP: Format Prefix Nhận dạng kiểu địa chỉ Interface ID Nhận dạng Node

SLA ID - Site Level Aggregate Nhận dạng cấp vùng NLA ID - Next Level Aggregate Nhận dạng cấp tiếp theo

TLA ID - Top Level Aggregate Nhận dạng cấp cao nhất

2 Anycast Address.

Kiểu địa chỉ này cũng tương tự như Unicast, nếu địa chỉ phân cho một Node thì đó làUnicast, cùng địa chỉ đó phân cho nhiều Node thì đó lại là Anycast Vì địa chỉ Anycast

để phân cho một Nhóm Node bao gồm nhiều Node hợp thành (một Subnet) Một gói

số liệu gửi tới một địa chỉ Anycast sẽ được chuyển tới một Node (Router) gần nhấttrong Subnet mang địa chỉ đó

Hình 7: Cấu trúc địa chỉ Anycast

Địa chỉ đa hướng của IPv6 để nhận dạng một Tập hợp Node nói cách khác một nhómNode Từng Node một trong nhóm đều có cùng địa chỉ như nhau Hình 8

Hình 8: Cấu trúc địa chỉ đa hướng

8 bít Prefix đầu tiên để nhận dạng kiểu địa chỉ đa hướng, 4 bit tiếp (Flgs) cho 4 cờ vớigiá trị

0 0 T ba bit đầu còn chưa dùng đến nên = 0, còn bit thứ 4 có giá trị T Nếu T =0 cónghĩa địa chỉ này đã được NIC phân cố định.

Nếu T = 1 có nghĩa đây chỉ là địa chỉ tạm thời Bốn bit tiếp (Scop) có giá trị thập phân

từ 0 đến 15, tính theo Hexal là từ 0 đến F

Nếu giá trị của Scop = 1 Cho Node Local

= 2 Cho Link Local

= 5 Cho Site Local

Hình 9: Cấu trúc địa chỉ MAC của LAN

3 Multicast Address.

Địa chỉ Multicast Ipv6 được thiết kế để thực hiện cả các chức năng broadcast vàmulticast Do vậy có nhiều dạng địa chỉ multicast Ipv6 Có những dạng địa chỉmulticast mà bất kỳ Node Ipv6 nào cũng phải nhận lưu lượng Những địa chỉ multicastnày phục vụ cho những quy trình hoạt động thiết yếu của Ipv6 Những dạng địa chỉmulticast IPv6 khác sử dụng trong công nghệ truyền gói tin tới nhiều đích cùng lúc,như công nghệ multicast của Ipv4

Mỗi dạng địa chỉ multicast IPv6 đều có phạm vi hoạt động nhất định Lưulượng của địa chỉ multicast Ipv6 sẽ được chuyển tới toàn bộ các node trong một phạm

vị nào đó hay chỉ chuyển tới nhóm các node trong phạm vi là tùy thuộc vào dạng địachỉ multicast

Hình 10: Cấu trúc địa chỉ IPv6 multicast

Bảng 1: Địa chỉ multicast mọi node

Hình 11: Multicast trong phạm vi một đường kết nối

Bảng 2: Multicast tới mọi router

vi node

1 (Xác định phạm vi trong một thiết bị)

2 (Xác định nhóm multicast mọi router)

FF02::2

Địa chỉ multicast mọi router phạm

vi link

2 (Xác định phạm vi một đường kết nối)

2 (Xác định nhóm multicast mọi router)

Xác định mọi router IPv6 trong phạm vi một đường kết nối

FF05::2 Địa chỉ multicast mọi router phạm

vi site

5 (Xác định phạm vi một mạng)

2 (Xác định nhóm multicast mọi router)

Xác định mọi router IPv6 trong phạm vi một mạng

4 Các cách viết địa chỉ IPv6

Địa chỉ IPv6 có chiều dài 128 bit, nên vấn đề nhớ địa chỉ là hết sức khó khăn Nếu viếttheo dạng thông thường của địa chỉ IPv4 thì một địa chỉ IPv6 có 16 nhóm số hê cơ số

10 Do vậy, các nhà thiết kế đã chọn cách viết 128 bit địa chỉ thành 8 nhóm, mỗi nhómchiếm 2 bytes, mỗi bytes biểu diễn bằng 2 số hê 16; mỗi nhóm ngăn cách nhau bởi dấuhai chấm Ví dụ: FEDL:BA98:7 654:FEDC:BA98:7 654:3210:ABCD Ký hiêu hexa cólợi là gọn gàng và nhìn đẹp hơn Tuy nhiên cách viết này cũng gây những phức tạpnhất định cho người quản lý hê thống mạng Nhìn chung, mọi người thường sử dụngtheo tên các host thay bằng các địa chỉ (điều này được áp dụng từ IPv4 khi mà địa chỉcòn đơn giản hơn rất nhiều)

Một cách để làm cho đơn giản hơn là các qui tắc cho phép viết tắt Vì khởi điểm banđầu chúng ta sẽ không sử dụng tất cả 128bit chiều dài địa chỉ do đó sẽ có rất nhiều số 0(không) ở các bits đầu

Một cải tiến đầu tiên là được phép bỏ qua những số không đứng trước mỗi thành phần

hê 16, viết 0 thay vì viết đầy đủ 0000, ví dụ viết 8 thay vì 0008, viết 800 thay vì 0800.Qua cách viết này cho chúng ta những địa chỉ ngắn gọn hơn Ví dụ:

1080:0:0:0:8:800:200C: 417A.

Ngoài ra, xuất hiên một qui tắc rút gọn khác đó là quy ước về viết hai dấu hai chấm(double-colon) Trong một địa chỉ, một nhóm liên tiếp các số 0 có thể được thay thếbởi hai hai dấu chấm Ví dụ, ta có thể thay thế 3 nhóm số 0 liên tiếp trong ví dụ trước

và được một mẫu ngắn hơn 1080::8:800:200C:417A

Từ địa chỉ viết tắt này, ta có thể viết lại địa chỉ chính xác ban đầu nhờ qui tắc sau: Căn trái các số bên trái của dấu 2 chấm kép trong địa chỉ Sau đó căn phải tất cả các sốbên phải dấu 2 chấm và điền đầy bằng các số 0

Ví dụ : FEDC:BA98::7654:3210 có địa chỉ đầy đủ là: FEDC:BA98:0:0:0:0:7654:3210FEDC:BA98:7654:3210: : có địa chỉ đầy đủ là : FEDC:BA98:7654:3210:0:0:0:0::FEDC:BA98:7654:3210 có địa chỉ đầy đủ là: 0:0:0:0:FEDC:BA98:7654:32l0

Quy ước hai dấu chấm kép chỉ có thể được sử dụng một lần với một địa chỉ

Ví dụ 0:0:0:BA98:7654:0:0:0 có thể được viết tắt thành ::BA98:7654:0:0:0 hoặc0:0:0:0:BA98:7654:: nhưng không thể viết là ::BA98:7654:: vì như thế sẽ gây nhầmlẫn khi dịch ra địa chỉ đầy đủ

Có một số địa chỉ IPv6 có được hình thành bằng cách gắn 96 bit 0 vào địa chỉ IPv4.(Điều này dễ dàng nhận biết được vì không gian địa chỉ IPv4 chỉ là một tập con củatập địa chỉ IPv6) Để giảm nhỏ nguy cơ nhầm lẫn trong chuyển đổi giữa ký hiêu chấmthập phân của IPv4 và hai dấu chấm thập phân của ký hiêu IPv6, các nhà thiết kế IPv6cũng đã đưa ra một khuôn mẫu đặc biêt cho cách viết những địa chỉ loại này như sau:Thay vì viết theo cách của địa chỉ IPv6 là:

FEDC:BA98:7600::/40

mô tả một tiền tố dài 40 bit giá trị nhị phân tương ứng là:

1111111011100101110101001100001110110

Phương thức gán đia chỉ IPv6

Theo đặc tả của giao thức IPv6, tất cả các loại địa chỉ IPv6 được gán cho các giaodiện, không gán cho các nodes (khác với IPv4) Một địa chỉ IPv6 loại Unicast (gọi tắt

là địa chỉ Unicast) được gán cho một giao diện đơn Vì mỗi giao diện thuộc về mộtnode đơn do vậy, mỗi địa chỉ Unicast định danh một giao diện sẽ định danh một node.Một giao diện đơn có thể được gán nhiều loại địa chỉ IPv6 (cho phép cả 3 dạng địa chỉđồng thời Unicast, anycast, multicast) Nhưng nhất thiết một giao diện phải được gánmột địa chỉ IPv6 dạng Unicast link-local Các nhóm địa chỉ của dạng địa chỉ Unicast

sẽ được trình bày ở phần sau Để thực hiện các kết nối Point - to - point giữa các giaodiện người ta thường gán các địa chỉ dạng Unicast link-local cho các giao diện thựchiện kết nối

Đồng thời, IPv6 còn cho phép một địa chỉ unicast hoặc một nhóm địa chỉ unicast sửdụng để định danh một nhóm các giao diện Với phương thức gán địa chỉ này, mộtnhóm giao diện đó được hiểu như là một giao diện trong tầng IP

Theo thiết kế của IPv6, một host có thể định danh bởi các địa chỉ sau:

Một địa chỉ link-local cho mỗi giao diện gắn với host đó

Một địa chỉ Unicast được cung cấp bởi các nhà cung cấp dịch vụ

• Tất cả các địa chỉ Multicast được gán trên Router

• Tất cả các địa chỉ Anycast được cấu hình trên Router

• Tất cả các địa chỉ Multicast của về các nhóm thuộc về router quản lý

B TÌM HIỂU VỀ IPSec TRONG IPv6

IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trìnhtruyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mãhoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trìnhtruyền thông tin IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xácthực

Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay

Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thốngmạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựachọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng củamạng Internet

2 Kiến trúc IPSec:

IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau nhưmật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa trêncác thành phần cơ bản sau đây, mỗi thành phần được định nghĩa trong một tài liệuriêng tương ứng:

- Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu của IPSec

- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và xác thực thông tin trong IPSec

- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gần giống ESP Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH,

- Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong IPSec.

- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế,giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt động khác nhau Việc xác định một tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là chức năng của miền thực thi

Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần:

-Giao thức đóng gói, gồm AH và ESP

-Giao thức trao đổi khoá IKE (Internet Key Exchange)

3 Cấu trúc bảo mật

IPsec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographicprotocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xácthực và (3) thiết lập các thông số mã hoá

Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kết hợpbảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá –keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuy nhiên trong cácgiao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trìnhgiao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào ngườiquản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá vàxác thực cho mỗi gói tin IP

Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp chomột gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security ParameterIndex (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như mộtcuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốtchiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất củamột thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin Một quátrình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiệnquá trình giải mã và kiểm tra các khoá từ SADB

thực hiện nhiều mức độ bảo mật cho một group Mỗi người gửi có thể có nhiều thoảhiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi

đi trong dữ liêu Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựachọn việc nhân bản từ group tới các cá nhân

4 Hiện trạng

IPsec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng IPv4.Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiệnnay là áp dụng và triển khai trên nền tảng IPv4

Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biếnnăm 1995 Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó khôngtương thích với chuẩn 1825 – 1929 Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩnIPSec, RFC 4301 – 4309 Cũng không khác nhiều so với chuẩn RFC 2401 – 2412nhưng thế hệ mới được cung cấp chuẩn IKE second Trong thế hệ mới này IP securitycũng được viết tắt lại là IPsec

Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC

1825 – 1829 là ESP còn phiên bản mới là ESPbis

IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữacác máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal)cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN

IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiều tronggiao tiếp Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa hai modenày

Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm vàphải chờ đợi rất lâu Một phần bở lý do tính phổ thông của no không cao, hay khôngthiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này

IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:

1 Mã hoá quá trình truyền thông tin

2 Đảm bảo tính nguyên ven của dữ liệu

Transport Mode (chế độ vận chuyển)

- Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP, UDP hoặc ICMP) Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP

sẽ được đặt sau IP header nguyên thủy Vì vậy chỉ có tải (IP payload) là được mã hóa

và IP header ban đầu là được giữ nguyên vẹn Transport mode có thể được dùng khi cảhai host hỗ trợ IPSec Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói

- Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn

bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệu mới của gói

IP mới Chế độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay cho host Router nguồn sẽ mã hóa các packets và chuyển chúng dọc theo tunnel Router đích sẽ giải mã gói IP ban

security gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSec

5 Technical details - chi tiết kỹ thuật

Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả haiphiên bản IPv4 và IPv6:

IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực

IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thểlựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu

Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tínhtoàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBCcho mã mã hoá và đảm bảo độ an toàn của gói tin Toàn bộ thuật toán này được thểhiện trong RFC 4305

a Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Hơn nữa nó

là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệtấn công sliding windows và discarding older packets AH bảo vệ quá trình truyền dữliệu khi sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset,