HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN THỊ MAI HƯƠNG CÔNG NGHỆ IPv6 VÀ ÁP DỤNG TRIỂN KHAI VỚI BỘ CÔNG AN Chuyên ngành: Truyền liệu mạng máy tính Mã số: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS.Trịnh Anh Tuấn Phản biện 1: PGS.TS Đặng Văn Đức Phản biện 2: PGS.TS Hà Quốc Trung Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông MỞ ĐẦU Công nghệ thông tin động lực quan trọng phát triển, với số ngành công nghệ cao khác làm biến đổi sâu sắc đời sống kinh tế, văn hoá, xã hội giới đại Ứng dụng phát triển công nghệ thông tin nước ta nhằm góp phần đảm bảo an ninh, quốc phòng IPv6 thiết kế với khả ưu việt đáp ứng nhu cầu hệ thống mạng hỗ trợ bảo mật vượt trội Việt Nam nỗ lực thúc đẩy nguồn lực để sớm triển khai đưa IPv6 tới người dùng Hiện nay, việc triển khai IPv6 trở thành yêu cầu cấp thiết bắt buộc tất quan, tổ chức muốn trì hoạt động Internet ổn định Nội dung mục tiêu luận văn gồm phần chính: Chương 1: Tổng quan IPv6 Chương đưa nhìn tổng quan IPv6 bao gồm nguyên nhân đời địa IPv6, cấu trúc địa IPv6, hoạt động IPv6 Chương 2: Công nghệ chuyển đổi giao tiếp từ IPv4 sang IPv6 Đưa số công nghệ chuyển đổi Dual – stack, Tunneling, NAT – PT Chương 3: Đề xuất hướng triển khai với Bộ Công an Chương đưa thực trạng hệ thống mạng truyền dẫn Bộ Công an nay, từ đưa hướng triển khai IPv6 đưa vào sử dụng Đưa mô hình mô trình chuyển đổi CHƯƠNG – TỔNG QUAN VỀ IPv6 1.1 Nguyên nhân đời địa IPv6 Chương giới thiệu tổng quan hạn chế IPv4, nguyên nhân đời địa IPv6 từ tìm hiểu cách tổng quan địa IPv6 1.1.1 Hạn chế địa IPv4 1.1.2 Nguyên nhân đời địa IPv6 1.2 Cấu trúc địa IPv6 1.2.1 Tổng quan địa IPv6 1.2.1.1 Cấu trúc chung phương pháp biểu diễn địa IPv6 1.2.1.2 Phân bổ địa IPv6 1.2.2 Phân loại địa IPv6 1.2.2.1 Địa Unicast Unicast tên thay cho kiểu địa point – to – point sử dụng IPv4 Loại địa sử dụng để định danh cho giao diện mạng Một packet có địa đích dạng địa Unicast chuyển tới giao diện định danh địa Địa Unicast chia thành nhóm nhỏ sau: - Địa Global Unicast: Được sử dụng để định dang giao diện; cho phép thực kết nối mạng Internet IPv6 toàn cầu Tính chất loại địa giống địa IPv4 định danh host mạng Internet - Địa Site – local: sử dụng để định dạng giao diện; cho phép thực kết nối host mạng cục - Địa Link – local: Được sử dụng để định danh giao diện - Ngoài số dạng địa Unicast NSAP address, IPX address Hình 1.1: Ba phần địa Unicast 1.2.2.2 Địa Anycast Địa Anycast gán cho nhóm giao diện (thông thường node khác nhau), gói tin có địa chuyển đổi sang giao diện gần có địa Thay gửi gói tin đến server đó, gửi gói tin đến địa chung mà nhận tất loại server tin vào hệ thống định tuyến để đưa gói tin đến server gần Có loại địa anycast đặc biêt sử dụng để định danh cho subnet (mạng con) gọi Subnet – Router anycast Cấu trúc địa sau: Bảng 1.1 : Địa Anycast n bit Subnet prefix (128-n) bit 0000… 00000 Phần subnet prefix cấu trúc xác định liên kết cụ thể Tính chất loại địa Anycast giống với địa Unicast link – local gán cho giao diện phần định danh giao diện đặt Loại địa sử dụng cho node cần giao tiếp đồng thời với tập router mạng Ví dụ, người dùng di động có nhu cầu đồng thời lúc giao tiếp với host cố định với host mạng di động 1.2.2.3 Địa Multicast Địa Multicast phần phức tạp song đặc thù địa IPv6 Địa Multicast gán cho nhóm giao diện (thông thường node khác nhau) Một gói tin có địa Multicast chuyển tới tất giao diện có gán địa Multicast Hình 1.2: Gói tin gửi đến địa Multicast 1.2.3 Lựa chọn địa mặc định IPv6 Thuật toán cho phép lựa chọn địa sử dụng nhiều yếu tố, có: - Tình trạng địa - Bảng lưu trữ (Policy Table - Sử dụng thứ tự trả DNS 1.2.4 Phần đầu phần mở rộng IPv6 1.2.4.1 Phần đầu (header) IPv6 IPv6 header phiên cải tiến, tổ chức hợp lý so với IPv4 header Trong đó, loại số trường không cần thiết sử dụng thêm vào trường hỗ trợ tốt cho lưu lượng thời gian thực Hình 1.3: IPv6 header Hình 1.4 : IPv4 header so với IPv6 header Một số trường loại IPv6: - Option - Header Checksum - Internet Header Length - Identification – Flag – Fragment Offset Một số trường IPv6 header thực chức tương tự IPv4 header: - Version – bit - Traffic Class – bit - Payload Length – 16 bit - Hop Limit – bit - Next Header – bit - Source Address – Destination Address: Trường thêm IPv6 header: - Flow Lable 1.2.4.2 Phần mở rộng (extension header) IPv6 Hình 1.5 : Phần mở rộng IPv6 Bảng 1.6: Giá trị Next Header 1.3 Qui trình hoạt động IPv6 1.3.1 Phân giải địa (Address Resolution) Trong trình phân giải địa IPv6, node nghe lưu lượng địa Multicast Solicited Node phù hợp nhận xử lý gói tin Điều giảm thiểu việc tác động đến node đường link, tăng hiệu hoạt động Để thực quy trình phân giải địa chỉ, hai node IPv6 đường link trao đổi thông điệp Neighbor Solicitation Neighbor Advertisement Hình 1.7 : Qui trình phân giải địa 1.3.2 Kiểm tra trùng lặp địa (Duplicate Address Detection – DAD) Quy trình kiểm tra trùng lặp địa sử dụng hai thông điệp ICMPv6 Neighbor Solicitation Neighbor Advertisement Tuy nhiên số thông tin gói tin khác với gói tin sử dụng trình phân giải địa Khi node cần kiểm tra trùng lặp địa chỉ, gửi gói tin Neighbor Solicitation - Địa IPv6 nguồn: Là địa unspecified “::” Điều dễ hiểu, địa dự định gán cho giao diện chưa thể sử dụng chừng chưa kiểm tra trùng lặp - Gói tin Neighbor Solicitation chứa địa IPv6 kiểm tra trùng lặp Sau gửi gói tin Neighbor Solicitation, node đợi Nếu phản hồi, có nghĩa địa chưa sử dụng Nếu địa node sử dụng rồi, node gửi thông điệp Neighbor Advertisement đáp trả: - Địa nguồn: Địa IPv6 node giao diện gửi gói tin - Địa đích: Địa IPv6 multicast node phạm vi link (FF02::1) - Gói tin chứa địa bị trùng lặp Nếu node kiểm tra địa trùng lặp nhậ thông điệp RA phản hồi lại RS gửi, hủy bỏ việc sử dụng địa Hình 1.8: Kiểm tra trùng lặp địa 1.3.3 Kiểm tra tính đạt tới node lân cận (Neighbor Unreachability Detection) Thông điệp Neighbor Solicitation Neighbor Advertisement sử dụng trình phân giải địa chỉ, kiểm tra trùng lặp địa chỉ, sử dụng cho mục đích khác, trình kiểm tra tính đạt node lân cận (reachability) Nếu host muốn kiểm tra tình trạng nhận gói tin node lân cận, gửi thông điệp Neighbor Solicitation (NS) Nếu nhận Neighbor Advertisement (NA) trả lời, biết tình trạng node lân cận đạt tới (reachable) cập nhật vào bảng lân cận tương ứng Tình trạng coi tạm thời có khoảng thời gian dành cho nó, trước node cần thực kiểm tra lại trạng thái lân cận Khoảng thời gian quy định này, số tham số hoạt động khác host nhận từ thông tin quảng bá Router Advertisement router đường kết nối 1.3.4 Tìm kiếm router (Router Discovery) Quá trình tìm kiếm, trao đổi host router thực dựa hai dạng thông điệp sau: - Router Solicitation: gửi host tới router đường link Do vậy, gói tin gửi tới địa đích multicast ruoter phạm vi link (FF02::2) Host gửi thông điệp để yêu cầu router quảng bá thông tin cần cho hoạt động ví dụ host chưa gắn địa chỉ, chưa có tham số mặc định cần thiết để xử lý gói tin… - Router Advertisement: gửi router để quảng bá diện router tham số cần thiết khác cho hoạt động host Router gửi định kỳ thông điệp đường kết nối gửi thông điệp nhận Router Solicitation từ host đường kết nối 1.3.5 Cấu hình tự động địa cho node IPv6 - Tự động cấu hình có trạng thái (stateful): Đây cách thức cấu hình địa cho host dựa vào trợ giúp DHCPv6 server Cách thức cấu hình tương tự việc sử dụng DHCP IPv4 Hiện nay, rfc dành cho DHCPv6 IETF hoàn thiện đầy đủ Máy chủ DHCPv6 cung cấp cho host địa thông tin để host cấu hình, nên gọi cấu hình có trạng thái (stateful) - Tự động cấu hình không trạng thái (stateless): Đây cách thức tự động đó, host tự thực cấu hình địa cho giao diện không cần hỗ trợ máy chủ DHCP Host thực cấu hình địa từ chưa có thông tin hỗ trợ cấu hình (stateless) qua trao đổi với router IPv6 đường kết nối 11 thích với IPv4 IPv6 Theo chế này, IPv6 tồn với IPv4 dùng sở hạ tầng IPv4 Sự lựa chọn để sử dụng stack (lựa chọn giao thức tầng Internet) dựa vào thông tin cung cấp dịch vụ named qua DNS server Hình 2.1: Cơ chế Dual IP layer Cơ chế đảm bảo node IPv6 hoàn toàn tương thích với node IPv4 khác Những node vừa hỗ trợ IPv6 vừa hỗ trợ IPv4 gọi IPv4/IPv6 2.1.2 Phương pháp thực Qua phần phân tích ta thấy thông số để thực chế Dual – Stack mô tả bảng Bảng 2.1: Các tham số chế dual – stack Thông số Giá trị Phạm vi áp dụng Site Địa IPv4 cần gán địa host; nhiều địa Router Địa IPv6 yêu cầu địa IPv6 host; nhiều địa Router Yêu cầu Host Cài đặt IPv4/ IPv6 Yêu cầu Router Cài đặt IPv4/IPv6; Các giao thức định tuyến phải hỗ trợ IPv6 2.1.3 Yêu cầu gán địa Vì host sử dụng hai giao thức tầng ip IPv4 IPv6, cần gán loại địa IPv4 IPv6 host Không thiết cần phải có liên quan đến hai địa nên host IPv4/IPv6 gán địa IPv4 IPv6 không liên quan đến Đối với node có chế chuyển đổi kết hợp với kỹ thuật tunneling tự động cần phải gán địa 12 IPv6 tạo địa IPv4 gán host Đối với node IPv4/IPv6, có địa IPv4 theo giao thức cấu hình địa IPv4 hợp lệ Ví dụ sử dụng qua giao thức cấp địa động DHCP, BOOTP,RARP gán trực tiếp địa IPv4 tĩnh Đối với địa loopback: Theo cấu hình địa IPv4, địa loopback có dang 127.0.0.1, địa chuyển dang dạng địa IPv6 tương thích với IPv4 có dang ::127.0.0.1; coi dạng địa loopback IPv6 Những packet có địa loopback tồn node mà không chuyển mạng 2.1.4 Khai báo DNS Trong hệ thống có cài đặt node hỗ trợ chế dual – stack điều kiện tối thiểu cần thiết dịch vụ DNS hệ thống phải hỗ trợ IPv6 Hiện có số phần mềm BIND 8.2 hỗ trợ IPv6) Đối với node IPv4/IPv6 cần phải khai báo loại ghi DNS server Hay nói cách khác cần phải cấu hình DNS loại địa mà host gán Đối với địa IPv6, cấu trúc ghi DNS có dang AAAA Đối với địa IPv4, cấu trúc ghi DNS có dạng A 2.2 Tunneling 2.2.1 Đặc điểm chung Công nghệ đường hầm phương pháp sử dụng sở hạ tầng sẵn có mạng IPv4 để thực kết nối ipv6 cách sử dụng thiết bị mạng có khả hoạt động dual-stack hai điểm đầu cuối định Các thiết bị “bọc” gói tin IPv6 gói tin có header IPv4 truyền tải mạng IPv4 điểm đầu gỡ bỏ IPv4 header, nhận lại gói tin IPv6 ban đầu điểm đích cuối đường truyền IPv4 Dựa theo cách thức thiết lập điểm đầu cuối đường hầm (tunnel), công nghệ tunnel phân thành hai loại: tunnel tay tunnel tự động Nguyên tắc hoạt động việc tạo đường hầm: Nguyên tắc việc tạo đường hầm công nghệ tunnel sau: 13 - Xác định thiết bị kết nối điểm đầu cuối đường hầm Hai thiết bị phải có khả hoạt động dual-stack - Xác định địa IPv4 địa IPv6 nguồn đích giao diện tunnel (hai đầu kết thúc tunnel) - Trên hai thiết bị kết nối đầu cuối tunnel, thiết lập giao diện tunnel (giao diện ảo, giao diện vật lí) dành cho gói tin IPv6 bọc gói tin IPv4 qua - Gắn địa IPv6 cho giao diện tunnel - Tạo tuyến (route) để gói tin IPv6 qua giao diện tunnel Tại đó, chúng bọc gói tin IPv4 có giá trị trường Protocol 41 chuyển dựa sở hạ tầng mạng IPV4 nhờ định tuyến IPv4 Hình 2.2: Công nghệ đường hầm – Tunnel 2.2.2 Cấu hình tay đường hầm Tunnel Tunnel tay hình thức tạo đường hầm kết nối IPV6 sở hạ tầng mạng IPV4, đòi hỏi phải có cấu hình tay điểm kết thúc tunnel Trong tunnel cấu hình tay, điểm kết cuối đường hầm không suy từ địa nằm địa nguồn địa đích gói tin Thông thường, hình thức tạo đường hầm tay thường cấu hình để tạo đường hầm router tới router (hai border router) nhằm kết nối hai mạng IPV6 sử dụng sở hạ tầng mạng IPv4 Nó cấu hình router host để kết nối từ xa host IPv6 vào mạng IPv6 14 Hình 2.3: Tunnel cấu hình tay (manual configure tunnel) 2.2.3 Tunnel Broker Tunnel Broker hình thức tunnel, tổ chức đứng làm trung gian, cung cấp kết nối tới Internet IPV6 cho thành viên đăng ký sử dụng dịch vụ Tunnel Broker tổ chức cung cấp Tổ chức cung cấp dịch vụ Tunnel Broker có vùng địa IPV6 độc lập, toàn cầu, xin cấp từ tổ chức quản lý địa IP quốc tế, mạng IPV6 tổ chức có kết nối tới Internet IPV6 mạng IPv6 khác Thành viên đăng ký cấp quyền sử dụng dịch vụ Tunnel Broker nhận thông tin từ tổ chức quản lý Tunnel Broker để thiết lập đường hầm tunnel từ host từ router gateway mạng IPV6 tổ chức tới mạng tổ chức trì Tunnel Broker, từ kết nối tới Internet IPV6 hay mạng IPV6 khác mà tổ chức trì Tunnel Broker có kết nối tới Hình 2.4: Kết nối IPv6 với Tunnel Broker 2.2.4 Công nghệ tunnel 6to4 Có nhiều cách để có địa IPv6 kết nối IPV6 Một cách để sử dụng IPv6 bạn có kết nối IPv4 sử dụng tunnel 6to4 6to4 cho phép bạn truy cập Internet IPV6 mà không cần nhiều thủ tục hay cấu hình phức tạp, cách sử dụng địa IPv6 đặc biệt có tiền tố prefix 2002::/16 IANA cấp dành riêng cho công nghệ 6to4, kết hợp với địa IPV4 toàn cầu HĐH Window XP, Window 2003 server, hỗ trợ tự động cấu hình sẵn giao diện ảo 6to4 tunnel máy tính kích hoạt giao thức IPv6 protocol có kết nối Internet có 15 địa IPv4 toàn cầu gắn cho card mạng Người sử dụng không cần thiết phải thực thao tác để có đường hầm tunnel kết nối với Internet IPV6 Nhờ đặc điểm này, người sử dụng truy cập Internet với kết nối IPv4 qua dial up, kết nối với IPv6 Internet mà không cần thêm thao tác cấu hình Hình 2.5: Tunnel 6to4 2.2.4.1 Địa IPv6 sử dụng tunnel 6to4 2.2.4.2 Các thành phần tunnel 6to4, cung cấp kết nối IPv6 toàn cầu 2.3 Giải pháp Network Address Translation-Protocol Translation (NAT – PT) Công nghệ chuyển đổi thực chất dạng biến thể công nghệ dịch địa mạng (NAT), thực biên dịch địa dạng thức phần đầu, cho phép thiết bị hỗ trợ IPv6 giao tiếp với thiết bị hỗ trợ IPv4 Công nghệ phổ biến sử dụng dịch địa mạng – dịch giao thức (NAT – PT: Network Address Translation – Protocol Translation) Thiết bị cung cấp dịch vụ NAT – PT biên dịch lại phần đầu địa cho phép IPv6 giao tiếp với mạng IPv4 Hình 2.6: Công nghệ biên dịch NAT - PT Phân loại công nghệ NAT – PT - Traditional (truyền thống) NAT – PT - Bi – Directional NAT – PT (NAT – PT song hướng 16 Nguyên lý làm việc NAT – PT Các gói tin từ mạng IPv4 sang mạng IPv6 qua định tuyến NAT – PT chuyển đổi gói tin IPv6 với địa nguồn địa IPv6 nằm NAT Prefix Trong trường hợp NAT tĩnh địa NAT Prefix tương ứng với địa IPv4 ban đầu (ánh xạ 1:1) Trong trường hợp NAT động địa IPv6 NAT Prefix dùng cho môt nhiều địa IPv4 Các gói tin trao đổi qua lại site IPv4 IPv6 cần có thay đổi cấu trúc Khi gói tin rời khỏi mạng IPv4 sang mạng IPv6 (hay ngược lại IPv6 sang IPv4) thông qua định tuyễn NAT – PT, phần đầu IPv4 tách thay phần đầu IPv6 Tất thông tin phần liệu (data) gói tin thông thường phải bảo toàn ngoại trừ gói ICMP thông tin trao đổi với DNS 2.4.Kết luận chương Đối với mạng nhỏ sử dụng IPv4, chuyển đổi sang IPv6 điều cần thiết, nhiên phải thực bước thay đồng loạt, đảm bảo đột biến việc tiếp cận công nghệ Các phương pháp chuyển đổi kể cho phép chuyển đổi từ cục đến tổng thể hệ thống mạng sử dụng IPv4 sang IPv6 Các giải pháp xây dựng sở nút mạng IPv4/IPv6 ngày tăng IPv6 tồn với IPv4, chuyển đổi nút mạng IPv4 sang IPv6 tiến dần tới mạng trục 17 CHƯƠNG – ĐỀ XUẤT HƯỚNG TRIỂN KHAI VỚI BỘ CÔNG AN 3.1 Thực trạng hệ thống mạng truyền dẫn Bộ Công an Qua thực trạng ta nhận thấy tình hình triển khai IPv6 giới chưa có nhiều đột phá Tại hầu hết quốc gia tồn thực tế nhà cung cấp dịch vụ không muốn đầu tư thêm để cung cấp dịch vụ IPv6, người sử dụng nhu cầu sử dụng dịch vụ IPv6 dẫn đến việc triển khai IPv6 dậm chân chỗ Tuy nhiên, quốc gia quan tâm đến việc triển khai IPv6 Qua đó, khẳng định cách thức, lộ trình chuyển đổi IPv4 sang IPv6 Việt Nam phù hợp với lộ trình chuyển đổi giới Đặc biệt việc Việt Nam có trạm trung chuyển Internet quốc gia (VNIX) thuận lợi cho việc xây dựng mạng lõi để hình thành mạng thử nghiệm IPv6 quốc gia Trong trình triển khai IPv6 Việt Nam vừa qua, kết quan trọng đạt nhận thức IPv6 cải thiện đáng kể Tại số đơn vị, doanh nghiệp nhận thức chuyển biến thành hành động cụ thể, hướng đến mục tiêu chung đưa trình chuyển đổi từ IPv4 sang IPv6 Việt Nam nhanh chóng an toàn Trước tình hình đó, Bộ Công An phát triển dần kế hoạch chuyển đổi sang IPv6 Thực trạng hệ thống mạng truyền dẫn Bộ Công an Hiện nay, ứng dụng công nghệ thông tin ngành Công an việc trao đổi liệu qua mạng yêu cầu cải cách hành đặt nhu cầu cấp thiết việc tổ chức kết nối mạng máy tính từ công an tỉnh/ thành phố đến công an quận/ huyện Thực tế, nhu cầu trao đổi thông tin Công an Huyện với Công an Tỉnh thường xuyên liên tục với yêu cầu ngày cao Thông tin gửi nhận phải thực cách nhanh chóng, xác tuyệt đối đảm bảo bí mật, không tiết lộ bên 18 Qua khảo sát thực tế, hạ tầng truyền dẫn Bộ Công an gồm hai loại mạng: mạng truyền dẫ tuyến trục (giữa trung tâm vùng Hà Nội, Đà Nẵng Thành phố Hồ Chí Minh) mạng truyền dẫn nhánh từ trung tâm vùng tỉnh/thành phố, đó: tuyến trục Hà Nội – TP Hồ Chí Minh, Hà Nội – Đà Nẵng, Đà Nẵng – TP Hồ Chí Minh có 07 luồng E1 để kết nối mạng thoại mạng liệu Các luồng kết nối mạng thoại mạng liệu hoàn toàn độc lập với Trên tuyến nhánh từ Hà Nội, Đà Nẵng hay TP Hồ Chí Minh đến Sở công an tỉnh, thành phố có 01 luồng E1 kết nối chung cho mạng thoại mạng liệu dựa phương pháp phân chia kênh cứng (mạng thoại sử dụng 20 kênh 64 Kbps, mạng liệu sử dụng 10 kênh 64 Kbps) Ngoại trừ tuyến Hà Nôi – Hải Phòng có 02 luồng E1, luồng sử dụng cho kết nối thoại, luồng sử dụng cho kết nối mạng liệu Đối với hệ thống mạng máy tính Bộ công an hình thành sở kết nối mạng diện rộng (WAN) cho mạng LAN Công an tỉnh, thành phố mạng LAN đơn vị Bộ Công an Sơ đồ hệ thống mạng liệu mô tả sau: Trung tâm điều khiển mạng vùng gồm trung tâm đặt Hà Nội, Đà Nẵng TP Hồ Chí Minh Thiết bị kết nối mạng trục thiết bị định tuyến Cisco (Router 7507) kết nối theo tuyến truyền dẫn E1 Hệ thống router có hỗ trợ Voice IP, cho phép kết nối tổng đài tranzit chuyển tải gọi thoại IP thoại truyền thông với tin hiệu báo hiệu PCM/R2 Hệ thống chưa có khả cấp phát băng thông động quản lý kiểm soát lưu thông mạng khống chế băng thông linh hoạt cho dịch vụ Các thiết bị trung tâm mạng bao gồm: - Thiết bị switch trung tâm tổ chức kết nối mạng LAN LAN mở rộng cục chỗ 19 - Thiết bị kết nối mạng công nghệ truyền số liệu tốc độ cao HDSL (2Mb/E1) dựa mạng cáp thoại nội hạt - Thiết bị chuyển mạch switch layer kết nối mạng máy tính công nghệ Ethernet FastEthernet Giganet tốc độ 10/100/1000Mb kết nối máy chủ, mạng LAN đơn vị tới mạng Bộ Công an khu vực quan Bộ trung tâm vùng có hỗ trợ mạng riêng ảo VPN Mạng LAN Công an địa phương kết nối mạng Bộ Công an theo trung tâm vùng phân cấp sử dụng luồng E1 10 kênh 64K Hiện mạng LAN Công an tỉnh, thành phố mạng mạng LAN Bộ Công an phát triển triển khai nhiều dịch vụ DNS, Web, FTP, Telnet, Multimedia Trên tuyến kết nối mạng thường xuyên có nhu cầu trao đổi thông tin cao Với hệ thống mạng truyền dẫn Bộ Công an không đáp ứng nhu cầu trao đổi thông tin Công an tỉnh với Công an huyện Việc sử dụng mạng công cộng để thiết lập kênh liên lạc có hạn chế định việc đảm bảo an toàn thông tin phải đối diện với nguy an toàn thông tin Trước tình hình IPv6 triển khai Việt Nam với nhiều tính vượt trội mang đến không gian địa lớn, dễ quản lý với cấu trúc định tuyến phân cấp, bảo mật đồng thời việc triển khai IPv6 đòi hỏi huy động nguồn lực tổng hợp Bộ, Ngành có Bộ Công an Bộ Công an cần đưa kế hoạch triển khai mạng IPv6 đưa vào hoạt động Với yêu cầu đặt nhằm theo kịp với tốc độ phát triển công nghệ giới IPv6 Bộ thông tin và truyền thông nỗ lực triển khai Bộ Công an cần phải xây dựng kế hoạch cho riêng để 20 chủ động nắm bắt theo kịp xu chung tránh tình trạng tụt hậu Cần phải ý thức rõ tầm quan trọng việc sử dụng IPv6 coi việc triển khai yếu tố then chốt tình hình đặc biệt việc sử dụng địa IPv6 có tính ưu việt bảo mật - yêu cầu đặt hàng đầu mạng liệu Bộ Từ đưa kế hoạch IPv6 đưa vào sử dụng thức tiến hành triển khai 3.2 Hướng triển khai IPv6 IPv4 IPv6 giao thức Internet thiết kế nhằm đáp ứng yêu cầu phát triển dịch vụ mở rộng không gian địa mạng Internet, đồng thời khắc phục hạn chế IPv4 Hướng triển khai IPv6 sau: Khởi tạo kết nối IPv6 Khi IPv4 cạn kiệt kết nối IPv6 tới nhà cung cấp dịch vụ thực khó khăn Lúc tùy thuộc vào nhu cầu để yêu cầu không gian địa IPv6 thực kết nối trực tiếp Nếu không kết nối tới Tunnel Broker kết nối IPv6 theo cách sử dụng Tunnel Broker cho giải pháp cuối Ví dụ tunnelbroker.net điều hành Hurricane Electric cung cấp đường hầm IPv6 cho phép quảng bá trực tiếp không gian địa IPv6 thông qua BGP miễn phí Kết nối cho phép thử nghiệm mà không bị trễ Lựa chọn mạng IPv6 hay Dual Stack Có hai lựa chọn triển khai IPv6 mạng IPv6 Dual Stack Mạng IPv6 mạng thực theo giao thức IPv6 Dual – stack thực giao thức IPv4 IPv6 cho tất máy chủ, thiết bị router tất phân đoạn mạng Giao thức xếp chồng phổ biến năm 90 hầu hết doanh nghiệp chạy IPX/SPX TCP/IP lúc Trong hoàn cảnh sử dụng dual – stack tốt thay hoàn toàn mạng IPv4 tồn mạng IPv6 mà phải chuyển giao 21 Mạng IPv6 Nếu Bộ Công an lựa chọn sử dụng mạng IPv6 phải đối mặt đối mặt với vấn đề từ phía nhà cung cấp dịch vụ từ phía hệ thống mạng đầu cuối Về phía mạng đầu cuối cần phải đầu tư phần cứng máy chủ, điều có chi phí lớn Mặc dù IPv6 hỗ trợ dịch vụ HTTP(S), DNS, SMTP, IMAP, POP3 chuẩn giao thức đầu cuối khác, dịch vụ lõi NFS, MySQL lại với giao thức khác bị giới hạn không hỗ trợ Ngoài với mạng IPv6 khó khăn tự động cấu hình mà không thiết lập cài đặt máy chủ DNS Dual – stack Cơ chế xếp chồng cho phép tạo khối kết nối IPv6 nhỏ Các hệ điều hành hỗ trợ chế đa dạng bao gồm: - Linux - BSD - MAC OSX - Most other Unix Type Oss - Windows XP - Windows - Windows 2003 Server - Windows 2008 Server Lựa chọn phần cứng tương thích với IPv6 Khi Việt Nam chuyển sang sử dụng địa IPv6 với Bộ, Ngành phải thực kế hoạch để cho hệ thống mạng tương thích với yêu cầu Và việc lựa chọn phần cứng phù hợp yêu cầu đặt Có nhiều nhà sản xuất phần cứng để lựa chọn như: - Cisco Router: Các thiết bị thường cung cấp tính quảng bá Router, cấu hình tự động, hỗ trợ VLAN, đa giao thức BGP, OSPFv3, ISIS, danh sách truy cập IPv6, Danh sách tiền tố IPv6, PPP, Multilink PPP…và nhiều thiết lập giao thức khác 22 - ImageStream Router: Các router dựa Linux sử dụng phần mềm mã nguồn mở để tạo hệ điều hành ImageStream hỗ trợ tunnel kết nối qua Ethernet - Linksys: Hiện không hỗ trợ IPv6 định tuyến Linksys Từ điểm dựa vào tình hình thực tế để đưa định lựa chọn thiết bị phần cứng cho phù hợp Tuy nhiên thực thiết bị Cisco ưu tiên lựa chọn hàng đầu Các phương pháp chuyển đổi giao thức mạng Tuy nhiên hai giao thức IPv4 IPv6 không thật tương thích với Mặt khác, toàn mạng Bộ sử dụng địa IPv4 Do vậy, tương lai gần chuyển đổi mạng từ IPv4 sang IPv6 Để triển khai mạng IPv6 hiệu thiết thực cần đưa giải pháp triển khai mạng IPv6 mạng IPv4 Dựa phương pháp chuyển đổi giao thức mạng, mạng thử nghiệm giao thức IPv6 xây dựng dựa việc kết hợp phương pháp nói sau: - Các máy trạm hệ thống sử dụng IPv6 Dual – layer (cơ chế thứ hai cho phép máy có khả truy nhập vào mạng IPv4 tại) - Các mạng với thuê bao muốn kết nối vào mạng sử dụng kết nối IPv6, chuyển đổi địa mạng sử dụng IPv4 mà không muốn thay đổi địa chỉ, sử dụng dual – layer - Đối với mạng trục phải đảm bảo việc truyền số liệu IPv6 ổn định mạng trục IPv4 nên phương pháp chủ yếu để triển khai mạng trục IPv6 mạng IPv4 sau: Thông qua phương pháp tunnel Dual – stack Ngoài giai đoạn đầu để triển khai IPv6 môi trường IPv4 cần có chế chuyển đổi 23 giao thức IPv4 – IPv6 nhằm mục đích hỗ trợ chuyển đổi thông tin ứng dụng IPv4 IPv6 Có thể sử dụng chế chuyển đổi giao thức NAT – PT Đồng thời máy chủ mạng LAN có thêm nhiệm vụ hỗ trợ kết nối vào hai hệ thống mạng IPv4 IPv6 3.3 Cấu hình mô cấu hình chuyển tiếp từ IPv4 sang IPv6 Mô hình cấu hình chung Công an Tỉnh/Thành phố Hình 3.2: Mô hình cấu hình chung Mô hình thực cấu hình giả lập thiết bị phần mềm DNS3, sử dung IOS cisco router 3600 Các Router mạng IPv6 V6V4-R2 V6V4-R3 kết nối với cổng Serial 0/0 Serial 0/1 Giữa mạng IPv6 liên hệ với qua công nghệ đường hầm với địa ip 3001::/64, công nghệ sử dụng sở hạ tầng mạng IPv4 để tryền tải gói tin IPv6, phục vụ kết nối IPv6 Trên Router 24 V6V4-R2 V6V4-R3 sử dụng Dual – stack địa IPv4 IPv6 cho phép IPv4 IPv6 hoạt động thiết bị mạng Kết đạt - Qua mô hình cho thấy mạng IPv6 IPv4 giao tiếp với qua Router biên sử dụng công nghệ Tunnel nói 3.2, Router biên chạy đồng thời hai giao thức kết hợp địa IPv4 IPv6 Router - Nhờ có Router biên mà việc trao đổi hai mạng diễn dễ dàng từ áp dụng vào thực tế IPv6 dần triển khai áp dụng phương thức màng trao đổi thông tin dễ dàng hệ thống mạng công an Huyện công an Tỉnh/Thành phố sử dụng địa IPv4 IPv6 mà không làm gián đoạn hoạt động trao đổi thông tin IPv6 đưa nhằm khắc phục hạn chế vốn có địa IPv4 hạn chế không gian địa chỉ, cấu trúc định tuyến bảo mật, đồng thời đem lại đặc tính thỏa mãn nhu cầu dịch vụ hệ mạng khả tự động cấu hình mà không cần hỗ trợ máy chủ DHCP, cấu trúc định tuyến tốt hỗ trợ tốt cho multicast, hỗ trợ bảo mật cho di động tốt Mô hình mô đưa nhằm đưa giải pháp triển khai cho tỉnh IPv6 đưa vào hoạt động thực tế 25 KẾT LUẬN Triển khai địa IPv6 xu mạnh mẽ có sức lan tỏa rộng Mỗi quốc gia phải dựa đặc thù phát triển riêng để nhận định rào cản thách thức Do Việt Nam thị trường phát triển động nên thiết bị cập nhật nhanh, theo kịp xu phát triển thời đại Việc Bộ Thông tin Truyền thông đưa thị số 03/2008/CT-BTTTT ngày 06/5/2008 việc thúc đẩy sử dụng địa Internet hệ IPv6 Việt Nam góp phần nâng cao đáng kể nhận thức cộng đồng doanh nghiệp Internet tầm quan trọng việc triển khai IPv6 Tuy nhiên, cần tích cực việc triển khai IPv6 với Bộ, Ngành Luận văn tổng quan khái niệm chung IPv6, đồng thời đưa số công nghệ chuyển đổi giao tiếp từ IPv4 sang IPv6 bối cảnh thay hoàn toàn sang IPv6 Đồng thời áp dụng với đơn vị Bộ Công an để đưa mô hình mô trình chuyển đổi IPv6 đưa vào triển khai Định hướng phát triển đề tài triển khai xây dựng tốt sở hạ tầng mạng IPv6 từ quy mô tỉnh/thành phố toàn thể hệ thống mạng Bộ Công an Từ xây dựng phát triển dịch vụ mạng Internet hệ theo kịp với hệ thống mạng quốc gia [...]... cấp, bảo mật đồng thời việc triển khai IPv6 cũng đòi hỏi huy động nguồn lực tổng hợp của các Bộ, Ngành trong đó có Bộ Công an Bộ Công an cũng cần đưa ra các kế hoạch triển khai mạng khi IPv6 được đưa vào hoạt động Với các yêu cầu đặt ra nhằm theo kịp với tốc độ phát triển công nghệ thế giới và IPv6 đang được Bộ thông tin và và truyền thông nỗ lực triển khai thì Bộ Công an được cần phải xây dựng một... quan được những khái niệm chung nhất về IPv6, đồng thời đưa ra được một số các công nghệ chuyển đổi giao tiếp từ IPv4 sang IPv6 trong bối cảnh không thể thay thế hoàn toàn sang IPv6 Đồng thời áp dụng với một đơn vị trong Bộ Công an để đưa ra mô hình mô phỏng quá trình chuyển đổi khi IPv6 được đưa vào triển khai Định hướng phát triển của đề tài có thể triển khai và xây dựng tốt cơ sở hạ tầng mạng IPv6. .. chuyển đổi sang IPv6 Thực trạng hệ thống mạng truyền dẫn của Bộ Công an Hiện nay, ứng dụng công nghệ thông tin đối với ngành Công an trong việc trao đổi dữ liệu qua mạng và yêu cầu về cải cách hành chính đã đặt ra nhu cầu cấp thiết về việc tổ chức kết nối mạng máy tính từ công an tỉnh/ thành phố đến công an các quận/ huyện Thực tế, nhu cầu trao đổi thông tin giữa Công an các Huyện với Công an Tỉnh thường... không áp ứng được nhu cầu trao đổi thông tin giữa Công an tỉnh với Công an các huyện Việc sử dụng mạng công cộng để thiết lập các kênh liên lạc sẽ có những hạn chế nhất định trong việc đảm bảo an toàn thông tin và phải đối diện với nguy cơ mất an toàn thông tin Trước tình hình IPv6 đã và đang được triển khai tại Việt Nam với nhiều tính năng vượt trội như mang đến không gian địa chỉ lớn, dễ quản lý với. .. cisco router 3600 Các Router mạng IPv6 V6V4-R2 và V6V4-R3 kết nối với cổng Serial 0/0 và Serial 0/1 Giữa 2 mạng IPv6 liên hệ với nhau qua công nghệ đường hầm với địa chỉ ip 3001::/64, công nghệ sử dụng cơ sở hạ tầng mạng IPv4 để tryền tải gói tin IPv6, phục vụ kết nối IPv6 Trên 2 Router 24 V6V4-R2 và V6V4-R3 sử dụng Dual – stack 2 địa chỉ IPv4 và IPv6 cho phép IPv4 và IPv6 cùng hoạt động trên một thiết... mạng Bộ Công an theo các trung tâm vùng đã phân cấp và sử dụng 1 luồng E1 hoặc 10 kênh 64K Hiện tại mạng LAN của Công an các tỉnh, thành phố và mạng các mạng LAN của Bộ Công an đã khá phát triển và đã triển khai được nhiều dịch vụ như DNS, Web, FTP, Telnet, Multimedia Trên các tuyến kết nối mạng thường xuyên có nhu cầu trao đổi thông tin khá cao Với hệ thống mạng truyền dẫn hiện nay của Bộ Công an sẽ... Các giải pháp trên được xây dựng trên cơ sở các nút mạng IPv4 /IPv6 ngày càng tăng và IPv6 cùng tồn tại với IPv4, chuyển đổi dần dần các nút mạng IPv4 sang IPv6 và tiến dần tới mạng trục 17 CHƯƠNG 3 – ĐỀ XUẤT HƯỚNG TRIỂN KHAI VỚI BỘ CÔNG AN 3.1 Thực trạng hệ thống mạng truyền dẫn của Bộ Công an Qua thực trạng ta nhận thấy tình hình triển khai IPv6 trên thế giới chưa có nhiều đột phá Tại hầu hết các quốc... Cần phải ý thức rõ tầm quan trọng của việc sử dụng IPv6 coi việc triển khai là yếu tố then chốt trong tình hình mới đặc biệt việc sử dụng địa chỉ IPv6 có tính năng ưu việt về bảo mật - một yêu cầu được đặt ra hàng đầu đối với mạng dữ liệu của Bộ Từ đó đưa ra kế hoạch và khi IPv6 được đưa vào sử dụng chính thức sẽ tiến hành triển khai 3.2 Hướng triển khai IPv6 trên nền IPv4 IPv6 là một giao thức Internet... phương pháp chuyển đổi giao thức trên mạng Tuy nhiên hai giao thức IPv4 và IPv6 không thật sự tương thích với nhau Mặt khác, trên toàn mạng của Bộ đều đang sử dụng địa chỉ IPv4 Do vậy, trong một tương lai gần không thể chuyển đổi mạng từ IPv4 sang IPv6 được Để triển khai mạng IPv6 hiệu quả và thiết thực cần đưa ra các giải pháp triển khai mạng IPv6 trên nền mạng IPv4 Dựa trên các phương pháp chuyển... đạt được - Qua mô hình cho thấy 2 mạng IPv6 và IPv4 giao tiếp với nhau qua Router biên sử dụng công nghệ Tunnel như đã nói ở 3.2, trên Router biên chạy đồng thời cả hai giao thức kết hợp cả địa chỉ IPv4 và IPv6 trên cùng một Router - Nhờ có các Router biên mà việc trao đổi giữa hai mạng diễn ra dễ dàng từ đó áp dụng vào thực tế IPv6 đang dần được triển khai áp dụng các phương thức trên màng có thể trao ... DHCPv6 IETF hoàn thi n đầy đủ Máy chủ DHCPv6 cung cấp cho host địa thông tin để host cấu hình, nên gọi cấu hình có trạng thái (stateful) - Tự động cấu hình không trạng thái (stateless): Đây cách... định thi t bị kết nối điểm đầu cuối đường hầm Hai thi t bị phải có khả hoạt động dual-stack - Xác định địa IPv4 địa IPv6 nguồn đích giao diện tunnel (hai đầu kết thúc tunnel) - Trên hai thi t... cho phép thi t bị hỗ trợ IPv6 giao tiếp với thi t bị hỗ trợ IPv4 Công nghệ phổ biến sử dụng dịch địa mạng – dịch giao thức (NAT – PT: Network Address Translation – Protocol Translation) Thi t bị