Đồ án: Tìm hiểu về giao thức DHCPv6

Tìm hiểu về giao thức DHCPv6, các loại bản tin, cấu trúc bản tin, trao đổi bản tin giữa client và server, hoạt động của giao thức , hướng dẫn mô phỏng trên server DHCPv6 chạy linux và client chạy win7. Đánh giá tài liệu: Xuất sắc

KHOA VIỄN THÔNG I

- -

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Đề tài:

TÌM HIỂU VỀ GIAO THỨC CẤU HÌNH ĐỊA CHỈ

TỰ ĐỘNG CHO IPv6

Sinh viên thực hiện : NGUYỄN HỮU QUÝ Lớp : D11VT7

Khoá : 2011 - 2016

Hệ : ĐẠI HỌC CHÍNH QUY

Hà Nội – 2015

LỜI CẢM ƠN

Em xin chân thành cảm ơn Viện Khoa Học Kỹ Thuật Bưu Điện, Học Viện Công Nghệ Bưu Chính Viễn Thông đã tạo điều kiện tốt nhất cho em có thể hoàn thành đồ án tốt nghiệp này

Em xin chân thành cảm ơn thầy giáo Nguyễn Anh Đức hiện đang công tác tại Viện Khoa Học Kỹ Thuật Bưu Điện đã tận tình hướng dẫn và chỉ bảo cho em những kiến thức quý báu trong quá trình thực hiện đồ án tốt nghiệp đai học

Em xin chân thành cảm ơn quý thầy cô trong khoa Viễn Thông 1 đã tận tình giảng dạy, trang bị cho em những kiến thức quý báu trong thời gian học tập tại Học Viện Công Nghệ Bưu Chính Viễn Thông

Em xin chân thành cảm ơn gia đình, anh chị, bạn bè đã ủng hộ, giúp đỡ và động viên em trong suốt thời gian học tập và nghiên cứu tại Học Viện Bưu Chính Viễn Thông

Em đã cố gắng hết sức mình để hoàn thành đồ án tốt nghiệp trong phạm vi và khả năng cho phép nhưng chắc chắn sẽ không thể tránh khỏi những sai sót trong quá trình thực hiện đồ án tốt nghiệp, rất mong quý thầy cô và các bạn thông cảm

Em mong rằng sẽ nhận được những ý kiến đóng góp quý báu của quý thầy cô và các bạn

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Nguyễn Hữu Quý

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC BẢNG BIỂU, HÌNH VẼ v

DANH MỤC THUẬT NGỮ VIẾT TẮT vii

LỜI MỞ ĐẦU 1

CHƯƠNG I: TỔNG QUAN VỀ GIAO THỨC DHCP 2

1.1 DHCP là gì? 3

1.2 Lịch sử ra đời và phát triển 3

1.3 Ý nghĩa của việc sử dụng DHCP 4

1.4 Một số thuật ngữ thường dùng trong DHCP 5

1.5 Hoạt động của DHCP 5

1.6 DHCP Relay Agent 8

1.7 Một số cơ chế của DHCP 9

1.8 Bảo mật trong DHCP 10

1.8.1 Bảo mật cơ bản cho DHCP Server 10

1.8.2 Một số kiểu tấn công và cách phòng tránh 10

1.9 Kết luận chương 14

CHƯƠNG 2: GIỚI THIỆU VỀ IPV6 15

2.1 Một số vấn đề của IPv4 15

2.1.1 Thiếu địa chỉ IP 15

2.1.2 Cấu trúc định tuyến không hiệu quả 16

2.1.3 Yêu cầu về an ninh thông tin ở lớp mạng 16

2.1.4 Nhu cầu về chất lượng dịch vụ QoS 16

2.2 Sự ra đời và các tính năng của IPv6 17

2.2.1 Sự ra đời của IPv6 17

2.2.2 Các tính năng của IPv6 17

2.3 Cấu trúc, phân bổ và cách viết địa chỉ IPv6 19

2.3.1 Cấu trúc gói tin IPv6 trong mạng LAN 19

2.3.2 Phân bổ địa chỉ IPv6 19

2.3.3 Cấp phát địa chỉ IPv6 21

2.3.4 Cách viết địa chỉ IPv6 23

2.4 Các loại địa chỉ IPv6 24

2.4.1 Địa chỉ unicast 24

2.4.2 Địa chỉ anycast 29

2.4.3 Địa chỉ Multicast 31

2.4.4 Các dạng địa chỉ IPv6 khác 33

2.4.5 Phương thức gán địa chỉ Ipv6 35

2.4.6 So sánh giữa Ipv4 và Ipv6 về địa chỉ 36

2.5 Tự cấu hình địa chỉ trong IPv6 36

2.6 Kết luận chương 39

CHƯƠNG 3: GIAO THỨC DHCPv6 40

3.1 Giới thiệu về giao thức DHCPv6 40

3.2 Các thành phần mạng sử dụng DHCPv6 41

3.3 Cấu trúc gói tin trong DHCPv6 42

3.3.1 Cấu trúc gói tin DHCPv6 trao đổi giữa client và server 42

3.3.2 Cấu trúc gói tin DHCPv6 trao đổi giữa Relay Agent và Server 43

3.4 Các dạng gói tin trong DHCPv6 44

3.4.1 Các dạng gói tin DHCPv6 44

3.4.2 Các gói tin tương ứng của DHCPv6 trong DHCPv4 47

3.5 Hoạt động của giao thức DHCPv6 48

3.5.1 Các thông số hoạt động của DHCPv6 48

3.5.2 Xác định Client trong DHCPv6 48

3.5.3 Hoạt động của Router trong DHCPv6 50

3.5.4 Nguyên lý hoạt động của DHCPv6 51

3.6 Kết luận chương 57

CHƯƠNG 4: MÔ PHỎNG HỆ THỐNG 58

4.1 Giới thiệu mô phỏng 58

4.2 Quá trình mô phỏng 58

4.2.1 Máy ảo server 58

4.2.2 Máy ảo client 60

4.3 Kết luận chương 64

KẾT LUẬN 65

TÀI LIỆU THAM KHẢO 66

DANH MỤC BẢNG BIỂU, HÌNH VẼ BẢNG BIỂU

Bảng 2.1: Bảng phân bổ các loại địa chỉ IPv6 20

Bảng 2.2: Các giá trị của trường phạm vi 32

Bảng 2.3: So sánh địa chỉ Ipv4 và Ipv6 36

Bảng 3.1: Các thông số mặc định của các gói tin DHCPv6……… 45

Bảng 3 2: Các gói tin tương ứng của DHCPv6 trong DHCPv4 47

Bảng 3.3: Mô tả trạng thái cờ “M” và cờ “O” 50

HÌNH VẼ Hình 1.1: Mô hình mạng sử dụng giao thức DHCP 6

Hình 1.2: Client gửi bản tin DHCP Discover 7

Hình 1.3: DHCP Server gửi bản tin DHCP Offer về Client 7

Hình 1.4: Client gửi bản tin Request đến DHCP Server 8

Hình 1.5: DHCP Server gửi bản tin DHCP Ack về Client 8

Hình 1.6: DHCP Relay Agent tham gia vào quá trình cấp địa chỉ IP 9

Hình 1.7: Tấn công vét cạn IP 10

Hình 1.8: Tấn công Man-in-th-middle bằng cách giả mạo DHCP Server 12

Hình 1.9: Kẻ tấn công xem trộm thông tin bằng Default gateway giả mạo 12

Hình 1.10: Tấn công Man-in-the-middle bằng cách giả mạo DNS Server 13

Hình 1.11: Kẻ tấn công lấy cắp thông tin bằng DNS Server giả mạo 13

Hình 2.1: Cấu trúc khung của Ipv6 tại lớp 2 trong mạng LAN……… 19

Hình 2.2: Cấu trúc khung truyền dẫn Ipv6 trong mạng Ethernet II 19

Hình 2.3: Cấu trúc địa chỉ IPv6 dang Global Unicast 22

Hình 2.4: Cấu trúc dạng địa chỉ Unicast 25

Hình 2.5: Ba phần của chia chỉ Unicast 26

Hình 2.6: Cấu trúc của địa chỉ Link-local như sau 27

Hình 2.7: Hai máy trạm kết nối dùng địa chỉ Link Local 28

Hình 2.8: Cấu trúc địa chỉ Site-local 28

Hình 2.9: Các loại địa chỉ cần gán đối với một Site vào mạng IPv6 29

Hình 2.10: Cấu trúc địa chỉ IPX theo Ipv6 29

Hình 2.11: Cấu trúc địa chỉ anycast 30

Hình 2.12: Cấu trúc của địa chỉ multicast 31

Hình 2.13: Cấu trúc địa chỉ Multicast được phân bố lại 33

Hình 2.14: Dùng Stateless để cấu hình Prefix và Interface ID 37

Hình 2.15: Tự cấu hình địa chỉ Link-Local 38

Hình 2.16: Quá trình tự cấu hình địa chỉ Stateless 38

Hình 3.1: Mô hình mạng sử dụng DHCPv6……… 41

Hình 3.2: Cấu trúc gói tin DHCPv6 trao đổi giữa client và server 42

Hình 3.3: Cấu trúc cơ bản của trường Option 42

Hình 3.4: Cấu trúc gói tin DHCPv6 trao đổi giữa Relay Agent và Server 43

Hình 3.5: Client và Server thuộc cùng dải mạng 51

Hình 3.6: Quá trình trao đổi bản tin DHCPv6 của client và server 52

Hình 3.7: Quá trình trao đổi bản tin DHCPv6 giữa client-server trong chế độ Rapid commit 53

Hình 3.8: Quá trình client gia hạn thời gian sử dụng dịch vụ DHCPv6 54

Hình 3.9: Client và Server nằm khác dải mạng 55

Hình 3.10: Quá trình trao đổi bản tin giữa client - Relay Agent - Server 55

Hình 3 11: Quá trình trao đổi client - server ở chế độ Stateless 56

Hình 4.1: Mô hình mạng LAN mô phỏng hệ thống.……… 58

Hình 4.2: Thông tin địa chỉ mô phỏng của server 59

Hình 4.3: Thông số cấu hình dịch vụ DHCPv6 trên server 60

Hình 4.4: Cài đặt card mạng sử dụng IPv6 cho client 60

Hình 4.5: Bắt gói tin trong quá trình cấp DHCPv6 bằng Wireshark 61

Hình 4.6: Gói tin Solicit 61

Hình 4.7: Gói tin Advertise 62

Hình 4.8: Gói tin Request 62

Hình 4.9: Gói tin Reply 63

Hình 4.10: Thông tin địa chỉ của client 63

Hình 4 11: Quá trình gia hạn thời gian sử dụng dịch vụ DHCPv6 64

DANH MỤC THUẬT NGỮ VIẾT TẮT

Từ viết

tắt

Tiếng Anh Tiếng Việt

AH Authentication Header Mào đầu bảo mật

APIPA Automatic Private IP Addressing Địa chỉ mạng riêng tự động ARP Address Resolution Protocol Giao thức phân giải địa chỉ BOOTP Bootstrap Protocol Giao thức tải và khởi động DAD Duplicate Address Detection Phát hiện trùng lặp địa chỉ DES Data Encryption Standard Tiêu chuẩn mã hóa khối

DHCP Dynamic Host Configuration Protocol Giao thức cấu hình máy chủ

động DHCPv6 Dynamic Host Configuration Protocol

Version 6

Giao thức cấu hình máy chủ động phiên bản 6

DNS Domain Name System Hệ thống tên miền

DUID DHCP Unique Identifier Định danh duy nhất DHCP ESP Encapsulation Security Payload Tải trọng đóng gói bảo mật IAID Identity Association Identifier Hiệp hội định danh nhận dạng IANA Internet Assigned Numbers Authority Tổ chức cấp phát số hiệu mạng ICMP Internet Control Message Protocol Giao thức điều khiển gói mạng ICMPv6 Internet Control Message Protocol

IPSEC Internet Protocol Security Bảo mật giao thức mạng

IPv6 Internet Protocol Version 6 Giao thức mạng phiên bản 6 IPX Internetwork Packet Exchange Trao đổi gói tin mạng

ISP Internet Service Provider Nhà cung cấp dịch vụ mạng

LAN Local Area Network Mạng cục bộ

MAC Media Access Control Điều khiển truy nhập đa

phương tiện

NA Neighbor Advertisement Quảng bá láng giềng

NAT Network Address Translation Biên dịch địa chỉ mạng

NLA Next Level Aggregation Tập hợp cấp độ tiếp theo

NS Neighbor Solicitation Phát hiện láng giềng

NSAP Network Service Access Point Điểm truy nhập dịch vụ mạng QoS Quanlity of Service Chất lượng của dịch vụ

RA Router Advertisement Quảng bá bộ định tuyến

RARP Reverse Address Resolution Protocol Giao thức phân giải địa chỉ

ngược RFC Request For Comment Đề nghị duyệt thảo và bình

luận RIR Regional Internet Registry Khu vực đăng kiểm mạng

RS Router Solicition Phát hiện bộ địch tuyến

SLA Service Level Aggregation Tập hợp cấp độ dịch vụ

TCP Transmission Control Protocol Giao thức điều khiển truyền

vận TLA Top Level Aggregation Tập hợp cấp độ hàng đầu UDP User Datagram Protocol Giao thức sử dụng gói dữ liệu VPN Virtual Private Network Mạng riêng ảo

WLAN Wireless Local Area Network Mạng cục bộ không dây

LỜI MỞ ĐẦU

Mạng Internet và các mạng dùng công nghệ IP đã trở nên rất quan trọng trong cuộc sống xã hội hiện đại ngày nay Với việc mạng Internet toàn cầu đang phát triển một cách nhanh chóng, sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những dịch vụ mới, kết nối nhiều mạng khác nhau, như mạng di động với mạng Internet đã đặt ra vấn

đề thiếu tài nguyên chung Việc sử dụng hệ thống địa chỉ hiện tại cho mạng Internet IPv4 đã không đáp ứng nổi sự phát triển của mạng Internet toàn cầu Do đó, nghiên cứu ứng dụng một hệ thống địa chỉ mới (IPv6) để đáp ứng được nhu cầu của con người là điều tất yếu Thật vậy, nhiều nước trên thế giới đã bắt đầu chuyển đổi địa chỉ sang địa chỉ IPv6 và Việt Nam cũng không phải ngoại lệ Các tập đoàn viễn thông lớn ở Việt Nam như VNPT, Viettel, đang trong quá trình thử nghiệm và sẽ bắt đầu cung cấp dịch

vụ IPv6 vào đầu năm 2016

Giao thức DHCP là giao thức phổ biến cho mạng Internet ngày này cho phép tự động cấp phát, quản lý địa chỉ IP, giúp các nhà cung cấp mạng tiết kiệm số lượng địa chỉ IP thật, tiết kiệm và giảm thiểu chi phí quản trị cho hệ thống mạng, Ngoài ra, giao thức DHCPv6 còn khả năng cung cấp các thông số cấu hình khác (ví dụ như DNS,…) Nhờ những tính năng ấy, DHCP trở nên phổ biến và đã đóng vai trò vô cùng quan trọng trong mạng Internet

Giao thức DHCP danh cho địa chỉ IPv6 đã có sự khác biệt về phương thức hoạt động cùng với sự phát triển riêng biệt để có thể thích ứng với những đặc tính mới của dạng địa chỉ IPv6 Vì vậy, đồ án này sẽ nghiên cứu về nguyên lý hoạt động, các tính năng và đánh giá về khả năng sử dụng dịch vụ DHCP cho IPv6

Nội dung của đồ án sẽ gồm 4 chương sau:

Chương I: Tổng quan về giao thức DHCP sẽ giới thiệu tổng quan về phương thức

hoạt động và các đặc tính của giao thức DHCP cho phiên bản IPv4

Chương II: Giới thiệu về IPv6 đưa ra các quy định về địa chỉ trong IPv6 cùng với

đó là sự phát triển của IPv6 so với IPv4

Chương III: Giao thức DHCPv6 tìm hiểu về phương thức hoạt động cùng với các

đặc tính, tình năng mới của giao thức DHCP mà phiên bản dành cho IPv4 không có

Chương IV: Mô phỏng hệ thống sẽ trình bày mô hình, mô phỏng hoạt động của

giao thức DHCPv6, đưa ra kết quả và phân tích dựa trên các phần mềm mô phỏng

CHƯƠNG I: TỔNG QUAN VỀ GIAO THỨC DHCP

Ngày nay, sự phát triển công nghệ thông tin đang diễn ra mạnh mẽ, các máy tính càng cần thiết phải kết nối với nhau để thực hiện các công việc nội bộ, cũng như liên kết các cơ quan, xí nghiệp, cộng đồng con người lại với nhau, phục vụ đời sống của con người hiệu quả cao Mà hiện nay bộ giao thức TCP/IP là một bộ các giao thức truyền thông cài đặt chồng giao thức mà Internet và hầu hết các mạng máy tính thương mại đang chạy trên đó Các máy tính trong mạng nhận ra nhau nhờ vào địa chỉ IP mà trước

đó người quản trị mạng phải gán cho từng máy tính một Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng và sử dụng các tài nguyên DHCP tập trung việc quản lý địa chỉ IP ở các máy tính trung tâm chạy chương trình DHCP Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng, DHCP cho phép gán tự động Để máy khách có thể nhận địa chỉ IP từ máy chủ DHCP,

ta khai báo cấu hình để máy khách "nhận địa chỉ tự động từ một máy chủ" Tùy chọn này xuất hiện trong vùng khai báo cấu hình TCP/IP của đa số hệ điều hành Một khi tùy chọn này được thiết lập, máy khách có thể "thuê" một địa chỉ IP từ máy chủ DHCP bất

cứ lúc nào Phải có ít nhất một máy chủ DHCP trên mạng Sau khi cài đặt DHCP, ta tạo một phạm vi DHCP (scope), là vùng chứa các địa chỉ IP trên máy chủ, và máy chủ cung cấp địa chỉ IP trong vùng này

DHCP là một thuận lợi rất lớn đối với người điều hành mạng Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công Hãy xem sự so sánh dưới đây để biết DHCP làm nhẹ bớt công việc như thế nào:

Không có DHCP: Khi cấu hình thủ công, ta phải gán địa chỉ cho mọi máy trạm trên

mạng Người dùng phải gọi đến ta để biết địa chỉ IP vì ta không muốn phụ thuộc vào họ

để cấu hình địa chỉ IP Cấu hình nhiều địa chỉ IP có khả năng dẫn đến lỗi, rất khó theo dõi và sẽ dẫn đến lỗi truyền thông trên mạng Cuối cùng ta sẽ hết địa chỉ IP đối với mạng con nào đó hoặc đối với toàn mạng nếu ta không quản lý cẩn thận các địa chỉ IP đã cấp phát Ta phải thay đổi địa chỉ IP ở máy trạm nếu nó chuyển sang mạng con khác Người dùng di động đi từ nơi này đến nơi khác, có nhu cầu thay đổi địa chỉ IP nếu họ nối với mạng con khác trên mạng

Có DHCP: Máy chủ DHCP tự động cho người dùng thuê địa chỉ IP khi họ vào

mạng Ta chỉ cần đặc tả phạm vi các địa chỉ có thể cho thuê tại máy chủ DHCP Ta sẽ không bị ai quấy rầy về nhu cầu biết địa chỉ IP

DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc Nó tự động gán lại các địa chỉ chưa được sử dụng DHCP cho thuê địa chỉ trong một khoảng thời gian, có nghĩa là những địa chỉ này sẽ còn dùng được cho các hệ thống khác Ta hiếm khi bị hết địa chỉ DHCP tự động gán địa chỉ IP thích hợp với mạng con chứa máy trạm này Cũng vậy, DHCP tự động gán địa chỉ cho người dùng di động tại mạng con họ kết nối

Trình tự thuê Địa chỉ IP DHCP là một giao thức Internet có nguồn gốc ở BOOTP (Bootstrap Protocol), được dùng để cấu hình các trạm không đĩa DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong BOOTP, trong đó có khả năng gán địa chỉ Sự tương tự này cũng cho phép các bộ định tuyến hiện nay chuyển tiếp các thông điệp BOOTP giữa các mạng con cũng có thể chuyển tiếp các thông điệp DHCP Vì thế, máy chủ DHCP có thể đánh địa chỉ IP cho nhiều mạng con

Với sự cần thiết như trên, DHCP là giao thức không thể thiếu cho mạng Internet ngày nay

1.1 DHCP là gì?

DHCP (viết tắt là Dynamic Host Configuration Protocol) là giao thức cấu hình Host động, được thiết kế nhằm làm giảm thời gian cài đặt cấu hình cho mạng TCP/IP bằng cách tự động gán địa chỉ IP cho các máy khách (client) khi tham gia vào mạng

DHCP cung cấp thông số cấu hình đến host mạng DHCP gồm 2 thành phần: một giao thức để cung cấp thông số cấu hình từ một máy chủ DHCP (DHCP server) đến một host và một cơ chế cho việc phân bổ địa chỉ mạng đến các host

DHCP được xây dựng dựa trên mô hình client-server Server là nơi phân bổ các địa chỉ mạng và cung cấp thông số cấu hình một cách tự động đến các host Trong khi đó, client để chỉ các host có yêu cầu khởi tạo thông số từ DHCP server

DHCP được tổ chức IETF (Internet Engineering Task Force) đưa ra trong RFC

có ổ đĩa cứng

Nếu một thiết bị không thể lưu giữ dữ liệu bên trong máy, thì thiết bị phải nhờ đến một thiết bị bên ngoài để nói cho nó biết “nó là ai” (địa chỉ của nó) và phải vận hành như thế nào mỗi lần mở máy Khi một thiết bị như thế được bật lên, nó phải liên lạc với một thiết bị khác để nhờ thiết bị này cung cấp thông tin cho nó biết làm sao liên lạc được với nhau bằng cách sử dụng IP Tiến trình này gọi là bootstrapping

Giao thức RARP (Reverse Address Resolution Protocol) là giao thức đầu tiên được tạo ra để giải quyết “vấn đề bootstrap” RARP ra đời năm 1984, là một biến thể trực tiếp từ giao thức ARP (Address Resolution Protocol), một giao thức phân giải địa chỉ liên kết giữa địa chỉ IP thuộc lớp Network và địa chỉ MAC thuộc lớp Liên kết dữ liệu (Datalink) RARP có khả năng cấp địa chỉ IP cho thiết bị không có ổ đĩa cứng, bằng cách dùng sự trao đổi đơn giản theo mô hình client/server

RARP có rất nhiều hạn chế: Nó hoạt động ở lớp Data-link nên nó đòi hỏi phải có sự điều chỉnh phù hợp với từng nhà sản xuất, RARP đòi hỏi phải có 1 server RARP nằm trên cùng một mạng con với thiết bị yêu cầu, RARP yêu cầu người quản trị cấu hình IP bằng tay để lưu thông tin trên server, và hạn chế lớn nhất là RARP chỉ cấp địa chỉ IP mà không cho thêm một thông tin nào khác RARP rõ ràng không đủ sức cung cấp thông tin cấu hình TCP/IP cho các máy tính Để hỗ trợ vừa cho các máy tính không đĩa cứng vừa cho việc cấu hình TCP/IP tự động, vì thế mà BOOTP (Boostrap) được tạo ra BOOTP ra đời vào tháng 9 năm 1985 và được chuẩn hóa trong RFC 951 Giao thức này được phát triển để giải quyết các hạn chế của RARP

- Nó vẫn dựa vào quan hệ client/server nhưng được triển khai ở tần cao hơn, dùng giao thức UDP cho việc vận chuyển Nó không còn phụ thuộc vào địa chỉ MAC của nhà sản xuất như RARP

- Hỗ trợ thêm gửi thông tin tới máy client ngoài địa chỉ IP Thông tin thêm này được gửi trong một thông điệp duy nhất

- Có thể sử dụng trên nhiều mạng con khác nhau Điều này cho phép quản lý địa chỉ IP tập trung ở một server

BOOTP là giao thức cấu hình TCP/IP được lựa chọn hàng đầu từ giữa thập niên

1980 cho đến cuối thập niên 1990 Phần mở rộng cho nhà sản xuất đưa vào trong RFC

1084 đã trở nên phổ biến, sau khi trải qua nhiều năm có nhiều phần mở rộng do các nhà sản xuất chỉ định., RFC 1048 được thay thế bằng RFC 1084, 1395 và 1497 Dẫn đến việc sự lẫn lộn phát sinh khi trai qua nhiều năm trong việc giải thích một vài phần trong RFC 951 và làm sao một vài tính năng của BOOTP có thể thực hiện được

Trong hoàn cảnh như vậy, RFC 1542 ra đời năm 1993 để giải quyết những vấn đề

mơ hồ, lẫn lộn của các RFC có trước và cũng đưa thêm vào một vài thay đổi nhỏ cho hoạt động của giao thức BOOTP

Trong lúc BOOTP rất thành công một cách hiển nhiên nhưng nó cũng có một vài nhược điểm của riêng nó Một trong thiết sót quan trọng là không cấp được địa chỉ IP cập nhật tự động Nhu cầu cấp địa chỉ IP động trở thành rõ rệt hơn bao giờ hết khi Internet thực sự khởi đầu cất cánh vào cuối thập niên 1990 Chính điều này đã trực tiếp dẫn tới sự phát triển của giao thức DHCP (Dynamic Host Configuration Protocol) DHCP thay thế BOOTP làm giao thức cấu hình TCP/IP, thật là sai lầm khi cho rằng BOOTP hoàn toàn ra đi Ngày nay nó vẫn còn được sử dụng trong nhiều mạng khác nhau Hơn nữa, DHCP lấy BOOTP làm nền tảng và chúng có nhiều thuộc tính chung,

kể cả định dạng các thông điệp cũng giống nhau Những phần mở rộng cho các nhà sản xuất phần cứng trong BOOTP trở thành phần Options của DHCP, chúng hoạt động cùng một cách nhưng DHCP có nhiều khả năng hơn

1.3 Ý nghĩa của việc sử dụng DHCP

 Tự động cấp phát địa chỉ IP phù hợp cho máy trạm khi vào mạng, tự dộng quản lý

các địa chỉ IP và loại bỏ được các lỗi làm mất liên lạc như tình trạng nhầm lẫn hay trùng lặp địa chỉ IP, đồng thời giảm thiểu chi phí quản trị cho hệ thống mạng

 Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng

 Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (Public IP)

 Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà ga, sân bay, trường học

1.4 Một số thuật ngữ thường dùng trong DHCP

 DHCP Client - Máy khách DHCP: là một thiết bị nối vào mạng và sử dụng giao thức DHCP để lấy các thông tin cấu hình như là địa chỉ mạng, địa chỉ máy chủ DNS

 DHCP Server - Máy chủ DHCP: là một thiết bị nối vào mạng có chức năng trả về các thông tin cần thiết cho máy trạm DHCP khi có yêu cầu

 DHCP Replay Agent: là một máy tính hoặc một Router được cấu hình để lắng nghe

và chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ subnet này sang subnet khác

 DHCP Scope: là một khoảng IP hợp lệ mà ta đã xác định trên DHCP Server, dùng

để cung cấp cho các client có yêu cầu thuê địa chỉ

 Scope Options: là các tùy chọn để cấu hình cho scope mà DHCP Server có thể bổ sung thêm vào thông tin đi cùng với địa chỉ IP cho thuê Chẳng hạn, chúng ta có thể cấu hình một scope để cung cấp làm Default gateway

 Client Reservations: là các IP đặt trước mà DHCP Server thường xuyên cung cấp đến một máy cụ thể nào đó Ví dụ như, chúng ta có thể giữ lại một IP address cho một máy và máy này cần có một địa chỉ IP cố định (như là DNS Server hoặc là Print Server chẳng hạn, lúc này các máy khác sẽ cấu hình để kết nối tới DNS server bằng địa chỉ của DNS server này)

1.5 Hoạt động của DHCP

DHCP là một giao thức có nguồn gốc từ BOOTP (Bootstrap Protocol), được dùng

để cấu hình cho các máy trạm khởi động mà không cần đĩa cứng BOOTP thi hành các công việc sau:

 Tìm kiếm địa chỉ IP cho chính nó

 Tìm IP của BOOTP server

 Nạp một file khởi động từ server vào bộ nhớ

 Bắt đầu khởi động

DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong BOOTP, trong đó có khả năng tìm kiếm và gán địa chỉ IP cho nhiều mạng con

Hình 1.1: Mô hình mạng sử dụng giao thức DHCP

DHCP là giao thức được sử dụng phổ biển trong mạng Internet Giao thức này được

sử dụng ở khắp các tần của mạng, nó có thể dược sử dụng trong mạng ISP, mạng nội của một công ty, doanh nghiệp, hay đơn giản là mạng trong gia đình Giao thức DHCP làm việc theo mô hình client/server Theo đó, quá trình tương tác giữa DHCP client và server diễn ra thông qua các gói tin:

Quá trình diễn ra như sau:

Bước 1: Đầu tiên, client (máy khách) sẽ gửi đi 1 gói tin quảng bá tên là DHCP Discover,

nhằm yêu cầu cho việc lấy các thông tin cấu hình như IP Address, Subnet Mask, Default Gateway, DNS,… Lúc này, vì client chưa có địa chỉ IP nên nó sẽ dùng một địa chỉ nguồn

là 0.0.0.0, đồng thời nó cũng không biết địa chỉ của DHCP server (máy chủ DHCP) nên client sẽ gửi đến một địa chỉ broadcast là 255.255.255.255 và sau đó gói tin DHCP

Discover sẽ được quảng bá đi toàn mạng Gói tin này chứa một địa chỉ MAC (là địa chỉ vật lý được nhà sản xuất cấp cho và là số để phân biệt các thiết bị với nhau) Ngoài ra,

nó còn chứa tên của client để server có thể biết được client nào đã gửi yêu cầu đến

Hình 1.2: Client gửi bản tin DHCP Discover

Bước 2: Sau khi nhận được gói tin DHCP Discover của client, nếu có một DHCP server

hợp lệ (nghĩa là nó có khả năng cung cấp địa chỉ IP cho client) thì nó sẽ trả lời bằng một

gói tin DHCP Offer, gói tin này có nguồn IP và MAC là địa chỉ IP và MAC của DHCP

Server, đích là địa chỉ Mac của client, kèm theo một địa chỉ IP đề nghị cho thuê trong một khoảng thời gian nhất định Lúc này, server sẽ không cấp phát địa chỉ IP vừa đề nghị cho một client nào khác

Hình 1.3: DHCP Server gửi bản tin DHCP Offer về Client

Bước 3: Client sau khi nhận được các bản tin DHCP Offer (trường hợp có nhiều hơn 1

DHCP server trên mạng) sẽ tiến hành chọn lọc một gói tin phù hợp, chấp nhận địa chỉ

mà server đề nghị và sau đó phản hồi lại DHCP Server bằng một gói tin DHCP Request

với thông tin yêu cầu DHCP cấp cho client địa chỉ đã đề nghị

Hình 1.4: Client gửi bản tin Request đến DHCP Server

Bước 4: Khi DHCP Server nhận được gói tin DHCP Request, nó sẽ gửi trả lời lại DHCP

client bằng một gói tin là DHCP Acknowledgement nhằm mục đích thông báo là đã

chấp nhận cho client sử dụng địa chỉ IP đề nghị Gói tin này bao gồm địa chỉ IP và các thông tin khác như DNS Server, WIN Server, Cuối cùng, khi client nhận được gói tin DHCP Ack thì cũng có nghĩa là kết thúc quá trình thuê và cấp phát địa chỉ IP Và địa chỉ IP này chính thức được client sử dụng

Hình 1.5: DHCP Server gửi bản tin DHCP Ack về Client

1.6 DHCP Relay Agent

DHCP Relay Agent là một máy tính hoặc một router được cấu hình để lắng nghe và chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ subnet này sang subnet khác

DHCP Relay Agent là bộ trung chuyển DHCP Discovery (hoặc DHCP Request) đến DHCP Server DHCP Relay Agent cho phép forward các truy vấn của DHCP Client đến DHCP Server và trả lại cho Clients (làm nhiệm vụ như Proxy)

Hình 1.6: DHCP Relay Agent tham gia vào quá trình cấp địa chỉ IP

Trong trường hợp DHCP Client và DHCP Server không nằm cũng subnet và được kết nối qua bộ định tuyến (router) thì cần phải có giải pháp cho phép truy vấn từ DHCP Client vượt qua router để đến DHCP Server DHCP Relay Agent (tác nhân chuyển tiếp DHCP) được dùng cho mục đích này, DHCP Relay Agent là một thực thể trung gian cho phép chuyển tiếp (relay) các DHCP Discover (hoặc DHCP Request), mà thường bị chặn ở ngay router, từ DHCP Client đến DHCP Server

1.7 Một số cơ chế của DHCP

Bây giờ ta coi như là DHCP client đã đăng ký thành công được một địa chỉ IP từ DHCP Server Theo mặc định của DHCP Server thì mỗi IP sẽ cho thuê trong một khoảng thời gian Nếu theo mặc định thì một DHCP client sau một khoảng thời gian nó sẽ tự động xin lại địa chỉ IP với DHCP Server mà nó đã xin ban đầu DHCP client lúc này sẽ gửi một bản tin DHCP Request trực tiếp đến DHCP Server

Nếu DHCP Server vẫn còn hoạt động, nó sẽ trả lời bằng một gói DHCP Ack để cho thuê lại (renew) tới DHCP client, gói này bao gồm thông số cấu hình mới cập nhật của DHCP Server Nếu DHCP Server này đã không còn hoạt động, client này sẽ tiếp tục sử dụng cấu hình hiện thời của nó

Và nếu sau khoảng thời gian là 87.5% thời gian cho thuê, nó sẽ gửi quảng bá một vản tin DHCP Discover để cập nhật địa chỉ IP của nó Vào lúc này, nó không kiếm tới DHCP Server ban đầu cho thuê nữa mà nó sẽ chấp nhận bất cứ một DHCP Server nào khác

Nếu thời gian thuê IP đã hết thì client sẽ ngay lập tức dừng lại việc sử dụng địa chỉ

IP đã đăng ký đó Lúc này, nếu muốn tiếp tục sử dụng địa chỉ IP để truyền thông trong mạng, client sẽ bắt đầu lại tiến trình thuê một địa chỉ IP như lúc đầu

Khi một client muốn ngừng sử dụng dịch vụ DHCP từ server, nó sẽ gửi đến server bản tin DHCP Release để yêu cầu ngừng sử dụng dịch vụ Server sẽ gửi lại bản tin

DHCP Ack để thông báo chấp nhận ngừng cấp địa chỉ IP cho client

Chú ý: Khi chúng ta khởi động lại (restart) DHCP client thì nó sẽ tự động sử dụng lại địa chỉ IP mà trước khi nó tắt máy

1.8 Bảo mật trong DHCP

1.8.1 Bảo mật cơ bản cho DHCP Server

 Bảo mật về mặt vật lý cho các DHCP Server

 Nên sử dụng hệ thống file NTFS để lưu trữ dữ liệu hệ thống

 Triển khai và ứng dụng các giải pháp anti-virus mạng cho hệ thống

 Thường xuyên cập nhật các bản vá lỗi cho các phần mềm và Windows

 Các dịch vụ hay các phần mềm không sử dụng thì nên xóa hoặc gỡ bỏ

 Thực hiện việc quản lý DHCP Server với user có quyền hạn tối thiểu nhất

 DHCP Server phải được đặt phía sau Firewall

a Tấn công từ chối dịch vụ bằng cách “vét cạn” tất cả các giá trị mà DHCP Server

có thể cấp cho client

Khi DHCP Server nhận được một DHCP Request, DHCP Server sẽ cung cấp cho client đó một địa chỉ IP nằm trong dãy IP mà nó được phép cấp Vì không có cơ chế chứng thực trong quá trình này, các kẻ tấn công có thể dễ dàng tấn công làm ngưng dịch

vụ này trên DHCP Server

Hình 1.7: Tấn công vét cạn IP

Kẻ tấn công có thể thực hiện được việc này bằng cách gửi một lượng lớn DHCP Request với các giá trị MAC address thay đổi liên tục đến DHCP Server Khi DHCP Server nhận được các Request với các MAC address khác nhau, DHCP sẽ cấp một giá trị IP ứng với mỗi Request đó Vì số lượng địa chỉ IP có giới hạn nên chỉ cần một lượng Request tương đối là kẻ tấn công có thể đăng ký hết số lượng IP này trên DHCP Kết quả là các Request hợp lệ của client sẽ không được DHCP Server cung cấp IP vì lúc này dịch vụ DHCP sẽ không còn phục vụ cho người đến sau Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà kẻ tấn công có thể thực hiện Điều đáng nói ở đây là kẻ tấn công chỉ cần rất ít thời gian và băng thông là có thể thực hiện được việc tấn công này

Tuy nhiên, kiểu tấn công này có thể khắc phục được bằng cách sử dụng các switch

có tính năng bảo mật của Cisco Các switch này sẽ giới hạn số lượng MAC address có thể sử dụng trên một cổng (port) Mục đích là để ngăn chặn việc trong một khoảng thời gian giới hạn, một cổng của nó có quá nhiều MAC address được phép sử dụng Nếu vượt qua quy định này, cổng đó sẽ shutdown ngay lập tức Thời gian để cổng này có thể hoạt động lại phụ thuộc vào giá trị mặc định hoặc do người quản trị mạng thiết lập Bằng cách này, thiết bị này có thể ngưng kiểu tấn công “vét cạn” đối với dịch vụ DHCP

b Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP Server giả mạo

Như chúng ta đã biết, DHCP không yêu cầu chứng thực trong quá trình cấp phát IP cho client và DHCP client không biết địa chỉ IP của DHCP Server trong quá trình xin cấp IP Lợi dụng việc này, kẻ tấn công có thể xây dựng một DHCP Server giả mạo (Rogue DHCP Server), mục đích là cung cấp địa chỉ Default Gateway giả mạo (địa chỉ

IP này là của kẻ tấn công hoặc của một máy tính nào đó được đặt dưới sự kiểm soát của

kẻ tấn công) cho DHCP client Việc này cho phép kẻ tấn công có thể xem trộm được nội dung gói tin Các bước tiến hành như sau:

Bước 1: Đầu tiên, kẻ tấn công xây dựng một DHCP giả mạo với đầy đủ các thông số

để cấp cho client

Bước 2: Khi một DHCP Client gửi gói tin DHCP Discovery ở dạng broadcast, cả hai

DHCP Server hợp lệ và giả mạo cùng gửi gói tin DHCP Offer đến client

Bước 3: Client tiếp nhận gói tin nào đến trước, nếu gói tin của DHCP Server hợp lệ

đến trước thì quá trình tấn công theo dạng này sẽ thất bại Do đó, để chắc chắn client sẽ nhận được gói tin do DHCP Server giả mạo cấp, kẻ tấn công thường tiến hành tấn công

từ chối dịch vụ theo kiểu “vét can” đối với DHCP Server thật

Client gửi đi bản tin DHCP Request đến DHCP Server giả mạo để xin cấp địa chỉ IP

Bước 4: DHCP Server giả mạo gửi DHCP Ack về client Trong gói tin gửi về đến

client, địa chỉ Default Gateway lại chỉ về địa chỉ của máy tính do kẻ tấn công kiểm soát

Bước 5: Sau đó, khi nào client gửi gói tin cho mạng bên ngoài (thường là Internet)

Gói tin này sẽ được chuyển tiếp đến cho máy tính có địa chỉ Default Gateway giả mạo

và nội dung bên trong bị xem trộm

Hình 1.8: Tấn công Man-in-th-middle bằng cách giả mạo DHCP Server

Sau khi xem trộm nội dung, gói tin sẽ được forward đến Default Gateway thật Nhưng khuyết điểm của kiểu tấn công này là kẻ tấn công chỉ có thể xem trộm gói tin theo chiều

từ client gửi đi mà thôi, chiều ngược lại từ bên ngoài gửi đến client thì kẻ tấn công hoàn toàn không biết

Hình 1.9: Kẻ tấn công xem trộm thông tin bằng Default gateway giả mạo

Để khắc phục kiểu tấn công này, các thiết bị switch của Cisco cung cấp tính năng bảo mật dành cho DHCP Tính năng này được gọi là DHCP snooping, bằng cách chỉ cho kết nối đến DHCP Server trên một hoặc một số cổng nhất định mà thôi Các cổng này được gọi là trusted port, chỉ có những cổng này mới cho phép gói tin DHCP hoạt động Cổng

này được người quản trị mạng kết nối đến DHCP Server thật trong mạng Mục đích là ngăn chặn không cho DHCP giả mạo hoạt động trên những cổng còn lại

c Tấn công theo kiểu DNS redirect bằng cách sử dụng DHCP Server giả mạo

Hình 1.10: Tấn công Man-in-the-middle bằng cách giả mạo DNS Server

Đây là kiểu tấn công rất thông dụng của phương pháp man-in-the-middle Thay vì giả mạo địa chỉ Default Gateway, DHCP Server giả mạo sẽ cung cấp địa chỉ IP của DNS Server giả Trên DNS Server này chứa thông tin phân giải tên đã nằm trong sự kiểm soát của kẻ tấn công Khi người dùng muốn phân giải tên địa chỉ trang web trên mạng Internet, DNS Server giả sẽ dẫn client đến địa chỉ IP giả mạo của nó, là website giả được

kẻ tấn công dựng lên

Hình 1.11: Kẻ tấn công lấy cắp thông tin bằng DNS Server giả mạo

Bằng cách giả mạo trang chủ giống website thật Kẻ tấn công có thể capture các thông tin nhạy cảm của người dùng như user ID, mật khẩu, Sau khi nhận được thông tin này, website giả mạo sẽ thông báo đăng nhập sai, sau đó sẽ redirect đến website thật

1.9 Kết luận chương

Với số lượng địa chỉ IPv4 có hạn, đòi hỏi khả năng cung cấp địa chỉ và giới hạn số địa chỉ được cấp, giao thức DHCP đã trở thành giao thức không thể thiếu trong mạng Internet từ quy mô nhỏ đến lớn

Chương này đã giới thiệu một cách cơ bản nhất về giao thức DHCP trong IPv4 Giao thức DHCP được phát triển dựa trên giao thức bootstrap để giúp các client lấy địa chỉ IP khi tham gia vào mạng Nguyên lý hoạt động của giao thức với các gói tin trao đổi giữa client và server khi client yêu cầu dịch vụ Cùng với cơ chế hoạt động và bảo mật của DHCP để từ đó có thể hiểu được rõ hơn về giao thức DHCP

CHƯƠNG 2: GIỚI THIỆU VỀ IPV6

Mạng Internet và các mạng dùng công nghệ IP đã trở lên rất quan trọng trong cuộc sống của xã hội hiện đại ngày nay Mạng Internet đã tạo ra một môi trường hoạt động toàn cầu cho tất cả mọi người tham gia, gần như xóa đi biên giới giữa các quốc gia, thu ngắn khoảng cách địa lý

Một trong những vấn đề quan trọng mà kỹ thuật mạng trên thế giới đang phải giải quyết là sự phát triển với tốc độ quá nhanh của mạng Internet toàn cầu Sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những dịch vụ mới, kết nối nhiều mạng khác nhau, như mạng di động với mạng Internet đã đặt ra vấn đề thiếu tài nguyên dùng chung Việc sử dụng hệ thống địa chỉ hiện tại cho mạng Internet IPv4 sẽ không đáp ứng nổi sự phát triển của mạng Internet toàn cầu trong một thời gian ngắn sắp tới Do đó nghiên cứu triển khai ứng dụng một phương thức đánh địa chỉ mới nhằm khắc phục hạn chế này là một yêu cầu tất yếu cần được làm ngay Đây là lúc IPv6 ra đời

Xuất phát điểm của Ipv6 có tên gọi là Ipng (Internet Protocol Next Generation) là một phiên bản mới của IP, được thiết kế để thay thế cho giao thức cũ Ipv4 Ipng được gán với phiên bản là 6 và lấy tên chính thức là Ipv6 Quan điểm chính khi thiết kế Ipv6

là từng bước thay thế Ipv4, không tạo ra sự biến động lớn đối với hoạt động của mạng Internet nói chung và của từng dịch vụ trên Internet nói riêng, đảm bảo tính tương thích tuyệt đối với mạng Internet dùng Ipv4 hiện tại Những chức năng đã được kiểm nghiệm thành công trong Ipv4 sẽ vẫn duy trì trong Ipv6 Những chức năng không được sử dụng trong Ipv4 sẽ bị loại bỏ, và đồng thời triển khai một số chức năng mới liên quan đến địa chỉ, bảo mật, và triển khai các dịch vụ mới

Ipv4 có 32 bit địa chỉ với khả năng lý thuyết có thể cung cấp một không gian địa chỉ

232 = 4 294 967 296 địa chỉ Còn Ipv6 có 128 bit địa chỉ với khả năng cung cấp địa chỉ

về mặt lý thuyết 2128 = 340 282 366 920 938 463 374 607 431 768 211 456 địa chỉ, nhiều hơn không gian địa chỉ của Ipv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn là 4x109 còn 2128

lấy tròn là 3,4x1038 Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho internet mà còn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển

và từng vật dụng trong gia đình v.v

2.1 Một số vấn đề của IPv4

2.1.1 Thiếu địa chỉ IP

Sự tăng quá nhanh của các host trên mạng Internet dẫn đến trạng thái thiếu địa chỉ

IP gán cho các node Do đó nhiều mạng đã phải sử dụng địa chỉ IP của mạng dùng chung cùng với kỹ thuật chuyển đổi địa chỉ mạng NAT (Network Address Translation) để có thể mở rộng không gian địa chỉ IP trên mạng Với phương thức này nhiều địa chỉ IPv4 mạng riêng được chuyển đổi thành một hoặc một vài địa chỉ IPv4 công cộng để kết nối với các node khác trên mạng, đồng thời tạo ra khả năng sẻ dụng lại các dải địa chỉ IP mạng riêng tại nhiều nơi khác nhau Tuy nhiên việc sử dụng kỹ thuật NAT làm mất đi

tính an ninh chuẩn ở lớp mạng cũng như không có khả năng ánh xạ hợp lệ của các ứng dụng ở mức trên khi kết nối các node này với các mạng khác Do đó một số ứng dụng ở lớp trên có thể không thực hiện được thông qua NAT

2.1.2 Cấu trúc định tuyến không hiệu quả

Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp, vừa không phân cấp Mỗi router phải duy trì bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4

Để giảm nhu cầu tiêu dùng địa chỉ, hoạt động mạng IPv4 sử dụng phổ biến công nghệ biên dịch NAT (Network Address Translator) Trong đó, máy chủ biên dịch địa chỉ (NAT) can thiệp vào gói tin truyền tải và thay thế trường địa chỉ để các máy tính gắn địa chỉ Private có thể kết nối vào mạng Internet

Mô hình sử dụng NAT của địa chỉ IPv4 có nhiều nhược điểm:

 Không có kết nối điểm – điểm và gây trễ: Làm khó khăn và ảnh hưởng tới nhiều dạng dịch vụ (VPN, dịch vụ thời gian thực) Thậm chí đối với nhiều dạng dịch

vụ cần xác thực port nguồn/ đích, sử dụng NAT là không thể được Trong khi

đó, các ứng dụng mới hiện nay, đặc biệt các ứng dụng client-server ngày càng đòi hỏi kết nối trực tiếp end-to-end

 Việc gói tin không được giữ nguyên tình trạng từ nguồn tới đích, có những điểm trên đường truyền tải tại đó gói tin bị can thiệp, như vậy tồn tại những lỗ hổng

về bảo mật

2.1.3 Yêu cầu về an ninh thông tin ở lớp mạng

Với Ipv4 hiện tại đã có nhiều giải pháp an ninh thông tin trên mạng nhằm đảm bảo thông tin được truyền trên mạng không bị lấy cắp Giải pháp này có thể là IPSec, DES, 3DES, … nhưng các giải pháp này đều phải thực hiện cài đặt thêm và có nhiều phương thức khác nhau đối với mỗi loại sản phẩm

2.1.4 Nhu cầu về chất lượng dịch vụ QoS

Chất lượng dịch vụ trong Ipv4 cũng được xác định trong trường TOS và phần nhận dạng tải trọng của gói tin IP ( đó là các cổng giao thức của TCP/ UDP) Tuy nhiên trường TOS này có ít tính năng và đặc biệt khi phần tải trọng của gói tin Ipv4 được mã hoá thì phần nhân dạng cổng giao thức TCP/ UDP không còn tác dụng nữa

Nhằm giải quyết vấn đề trên một nhóm trong tổ chức IETF đã đưa ra một giao thức liên mạng mới (Internet Potocol) gọi là IP version 6 hay Ipv6 Giao thức này được đưa

ra cùng với hàng loạt các khuyến nghị trong việc chuyển đổi sang đần dần từ Ipv4 sang

Ipv6 được thiết kế trên quan điểm tối thiểu hoá ảnh hưởng tới các lớp trên và lớp dưới trong quá trình triển khai

2.2 Sự ra đời và các tính năng của IPv6

2.2.1 Sự ra đời của IPv6

Quá trình phát triển, xem xét, sửa đổi, hoàn thiện hóa các thủ tục Internet phiên bản

6 được thực hiện bởi nhóm làm việc IETF IPv6 Working Group Sau nhiều năm nghiên cứu, những hoạt động cơ bản của thế hệ địa chỉ này đã được định nghĩa và công bố năm

1998 trong một chuỗi tài liệu tiêu chuẩn từ RFC 2460 tới RFC 2467 Trong đó nổi bật nhất là tiêu chuẩn hóa địa chỉ IPv6 RFC 2460 - Internet Protocol, Version 6 (IPv6) Specification, và hai thủ tục thiết yếu trong hoạt động của IPv6, hỗ trợ cho IPv6: RFC 2461- mô tả thủ tục IPv6 Neighbor Discovery Protocol, là thủ tục mới của IPv6 và RFC

2463 mô tả ICMPv6

Cũng trong năm 1998, IETF công bố hai tài liệu chi tiết hơn về địa chỉ IPv6, đó là RFC2373 – IP Version 6 Addressing Architecture (cấu trúc địa chỉ IP phiên bản 6) và RFC2374 – An IPv6 Aggregatable Global Unicast Address Format (mô tả định dạng địa chỉ unicast định tuyến toàn cầu) Trải qua thời gian dài điều chỉnh, cả hai tài liệu này được thay thế cập nhật bởi hai RFC mới Đó là RFC3513 - Internet Protocol Version 6 (IPv6) Addressing Architecture (cấu trúc đánh địa chỉ IP phiên bản 6) và RFC3587-IPv6 Global Unicast Address Format (dạng thức địa chỉ IPv6 unicast toàn cầu)

Đồng thời, rất nhiều RFC khác được công bố, định nghĩa tiêu chuẩn hóa cho những chức năng của IPv6, mô tả phiên bản mới hỗ trợ IPv6 cho các dịch vụ như DNS, DHCP…

Cũng như không gian địa chỉ IPv4, địa chỉ IPv6 được quản lý bởi hệ thống phân cấp các tổ chức quản lý địa chỉ toàn cầu Trong đó cấp quản lý cao nhất là IANA (Internet Assigned Numbers Authority), tiếp đó là các tổ chức quản lý địa chỉ khu vực (RIR – Regional Internet Registry)

2.2.2 Các tính năng của IPv6

a Dạng mào đầu gói tin

Phần header của Ipv6 được giảm xuống mức tối thiểu bằng việc chuyển tất cả các trường phụ hoặc không cần thiết xuống phần header mở rộng nằm sau phần Ipv6 header Việc tổ chức phần header hợp lý này làm tăng hiệu quả xử lý tại các router trung gian Ipv6 header và Ipv4 header là không tương thích với nhau, do đó các node phải được cài đặt cả 2 phiên bản IP mới có thể xử lý các header khác nhau này

b Không gian địa chỉ lớn

Ipv6 sử dụng 128 bit để đánh dấu địa chỉ nên số lượng địa chỉ có được là rất lớn khoảng 3,4.1038 Với không gian địa chỉ lớn như vậy cho phép phân chia địa chỉ thành nhiều mức khác nhau từ mạng trục, mạng trung gian đến địa chỉ cho mạng riêng của

từng tổ chức Hiện tại mới chỉ có một số ít các địa chỉ dùng cho các host nên số lượng địa chỉ dự phòng cho tương lai là rất nhiều do đó sẽ không cần phải sử dụng kỹ thuật NAT nữa

c Kết cấu địa chỉ và định tuyến được phân cấp có hiệu quả

Địa chỉ g;obal Ipv6 sử dụng trên mạng Internet được thiết kế để tạo ra cơ sở định tuyến phân cấp, hiệu quả và có khả năng tổng hợp lại dựa trên sự phân cấp thành nhiều mức của các nhà cung cấp dịch vụ Như vậy bảng định tuyến của router trong mạng trục

sẽ nhỏ hơn rất nhiều bảng định tuyến trên router của một ISP

d Tự động cấu hình địa chỉ

Tương tự như Ipv4 với Ipv6 cũng cung cấp khả năng cấu hình địa chỉ tự động sử dụng DHCP Đồng thời nó còn đưa ra khả năng tự động cấu hình địa chỉ khi không có DHCP server Trong một mạng các host có thể tự động cấu hình địa chỉ của nó bằng cách sử dụng Ipv6 prefix nhận được từ router (gọi là địa chỉ link – local) Hơn nữa nếu trong một mạng mà không có router thì host cũng có thể tự động cấu hình địa chỉ link – local cho nó để thông tin với các host khác Với sự phát triển nhanh chóng của mạng Internet cũng bị hạn chế bởi sự phức tạp trong việc sử dụng nên giao thức Ipv6 được xây dựng với tiêu chí đơn giản dễ sử dụng ngay cả với người không hiểu biết về công nghệ Điều này đưa đến một đặc điểm của Ipv6 chỉ yêu cầu một phần nhỏ cho việc cấu hình và bảo dưỡng mạng

e An ninh thông tin

Các cơ chế bảo mật được tăng cường, có phần tiều đề dành cho bảo mật tương ứng với hai kỹ thuật bảo mật trong Ipsec là: AH và ESP Giao thức Ipv6 hỗ trợ toàn bộ các tính năng của IPsec và cho phép sử dụng các thuật toán mã hóa, chứng thực và tính toàn vẹn dữ liệu Đây là một tiêu chuẩn cho an ninh mạng đồng thời mở rộng khả năng làm việc được với nhau của các loại sản phẩm

f Hỗ trợ QoS tốt hơn

Phần header của Ipv6 được đưa thêm một số trường mới Trường Flow Label trong Ipv6 header được dùng để nhận dạng luồng dữ liệu Từ đó router có thể có những chính sách khác nhau với các gói tin có luồng dữ liệu khác nhau Do trường Flow Label nằm trong Ipv6 header nên QoS vẫn được đảm bảo khi phần tải trọng có mã hóa bởi IPSec

g Giao thức mới cho thông tin giữa các host liền kề

Giao thức khám phá node liền kề (Neighbor Discovery) của Ipv6 bao gồm hàng loạt các mesage điều khiển dạng ICMPv6 nhằm điều khiển sự tương tác giữa các node trong cùng một mạng kết nối Giao thức này thay thế cho các bản tin phát quảng bá phân giải địa chỉ ARP, bản tin tìm kiếm router ICMP Router Discovery, ICMP redirect của Ipv4 bằng các bản tin unicast và mutlticast Neighbor Discovery

h Khả năng mở rộng tốt

Ipv6 có khả năng mở rộng tốt bằng việc sử dụng phần header mở rộng ngay sau phần Ipv6 header Không giống như Ipv4 phần lựa chọn chỉ có 40 byte đối với Ipv6 thì phần header mở rộng chỉ bị hạn chế bởi kích thước gói tin IPv6

2.3 Cấu trúc, phân bổ và cách viết địa chỉ IPv6

2.3.1 Cấu trúc gói tin IPv6 trong mạng LAN

Giao thức Ipv6 được đưa ra nhằm thay thế giao thức Ipv4 hiện nay do đó nó gần như chỉ liên quan tới các lớp trên trong mô hình OSI Đối với các lớp dưới như lớp liễn kết dữ liệu và lớp vật lý thì không bị ảnh hưởng Gói tin Ipv6 được truyền trong mạng nội bộ LAN có cấu trúc như sau:

 Phần header và trailer: phần được đóng gói của gói tin Ipv6 khi ở lớp 2

 Ipv6 header:phần mào đầu của gói tin Ipv6

 Payload (tải trong): mang thông tin của các lớp trên

Link layer

Header

Ipv6 Header

Payload

Link Layer Trailer

Hình 2.1: Cấu trúc khung của Ipv6 tại lớp 2 trong mạng LAN

Đóng gói kiểu Ethernet II: dạng khung truyền dẫn của Ipv6 có dạng như hình 2.2 với giá tị của trường EtherType là 0x86DD ( của Ipv4 là 0x800) Kích thước của gói tin Ipv6 sử dụng kiểu đóng gói Ethernet II là từ 46 tới 1500 byte Destination Address: địa chỉ MAC nguồn, Source Address: địa chỉ MAC đích

Hình 2.2: Cấu trúc khung truyền dẫn Ipv6 trong mạng Ethernet II

2.3.2 Phân bổ địa chỉ IPv6

Tương tự như Ipv4 không gian địa chỉ Ipv6 cũng được phân chia dựa theo giá trị của các bít đầu hay còn gọi là phương thức định dạng theo tiền tố FP (Format Prefix)

Hiện tại không gian địa chỉ Ipv6 được định dạng theo tiền tố như bảng sau (theo RFC2373):

Bảng 2.1: Bảng phân bổ các loại địa chỉ IPv6

Phân bổ Tiền tố Tỉ trọng trong không

gian địa chỉ

Dự trữ phân bổ cho NSAP 0000 001 1/128

Dư trữ phân bổ cho IPX 0000 010 1/128

Địa chỉ Link-local Unicast 1111 1111 10 1/1024

Địa chỉ Site-local Unicast 1111 1111 11 1/1024

những địa chỉ đang sử dụng (như thêm các nhà cung cấp địa chỉ) hay những người sử dụng mới (ví dụ những mạng cục bộ hay những người dùng đơn lẻ) Chú ý rằng nhóm địa chỉ anycast không được chỉ ra ở trong bảng vì sự phân bố của chúng đã được bao trùm bởi không gian địa chỉ loại unicast

Theo dự đoán có khoảng 15% không gian địa chỉ sẽ được sử dụng vào giai đoạn đầu, còn lại khoảng 85 % sẽ được dự trữ cho tương lai Để quản lý không gian địa chỉ hiệu quả và hợp lý, các nhà thiết kế giao thức lPv6 đã đưa ra hai cơ chể cấp phát địa chỉ như sau

2.3.3 Cấp phát địa chỉ IPv6

a Cơ chế cấp phát chung

Rút kinh nghiệm từ việc phân bố địa chỉ của lPv4, các nhà thiết kế lPv6 đã xây dựng một cơ chế có thể phân bố địa chỉ hoàn toàn mở, nghĩa là nó không phụ thuộc vào giai đoạn ban đầu, hoàn toàn có thể thay đổi tùy thuộc vào những biến động trong tương lai

về việc cấp phát và sử dụng địa chỉ cho các dịch vụ, các vùng khác nhau Mặt khác, những người thiết kế lPv6 đã dự đoán trước những khả năng có thể phải sửa đổi một vài điểm như cấu trúc các loại địa chỉ, mở rộng một số loại địa chỉ trong tương lai Điều này là hoàn toàn đúng đắn đối với một giao thức đang trong giai đoạn xây dựng và hoàn thiện

Phân loại địa chỉ lPv6 không phải chỉ để cung cấp đầy đủ các dạng khuôn mẫu và dạng tiền tố của các loại địa chỉ khác nhau Việc phân loại địa chỉ theo các dạng tiền tố một mặt cho phép các host nhận dạng ra các loại địa chỉ Ứng với mỗi loại địa chỉ cho các ứng dụng khác nhau Chẳng hạn địa chỉ có đang tiền tố FE80::/16 host sẽ nhận dạng

đó là địa chỉ link-local chỉ để kết nốt các host trong cùng một mạng , hoặc với địa chỉ

có dạng tiền tố 3FEE::/16 sẽ hiểu đó là địa chỉ của mạng 6Bone cung cấp Mặt khác, với định dạng các địa chỉ theo tiền tố cũng cho phép đơn giản trong các bảng định tuyến vì khi đó các đầu vào của các bảng router sẽ là những tiền tố đơn giản, chiều dài của nó sẽ biến đổi từ 1 tới 128 bit Chỉ có ngoại lệ duy nhất khi những địa chỉ đó liên quan tới những địa chỉ đặc biệt Các host và router thực sự phải nhận ra các địa chỉ "muticast", những địa chỉ này không thể được xử lý giống như các địa chỉ "unicast " và "anycast" Chúng cũng phải nhận ra các địa chỉ đặc biệt, tiêu biểu như địa chỉ "link local" Trong cấu trúc cũng để dành tiền tố cho các địa chỉ tương thích với NSAP (địa chỉ điểm truy nhập dịch vụ mạng: Network Service Access Point) và các địa chỉ tương thích IPX

b Cấp phát địa chỉ theo nhà cung cấp

Theo cấu trúc bằng phân bố địa chỉ ở trên, một trong số những loại địa chỉ IPv6 quan trọng nhất là đang địa chỉ Global Unicast Dạng địa chỉ này cho phép định danh một giao diện trên mạng Internet (mạng IPv6) có tính duy nhất trên toàn cầu Ý nghĩa loại địa chỉ này giống như địa chỉ IPv4 định danh một host trong mạng Internet hiện nay Không gian của dạng địa chỉ Global Unicast là rất lớn; để quản lý và phân bố hợp

lý các nhà thiết kế IPv6 đã đưa ra mô hình phân bố địa chỉ theo cấp các nhà cung cấp dịch vụ Internet

Dạng địa chỉ này gồm 3 bit tiền tố 010 theo sau bởi 5 thành phần mà mỗi thành phần này được quản lý bởi các nhà cung cấp dịch vụ theo các cấp độ khác nhau Tùy theo việc phân bố địa chỉ các thành phần này có một chiều dài biến đổi Điều này một lần nữa cho thấy tính "động" trong việc cấp phát và quản lý địa chỉ IPv6

3 bit n bit m bit o bit p bit 125-m-n-o-p

bit

010 ID đăng

ký

ID của nhà cung cấp

ID của thuê bao

ID của mạng con

ID của giao tiếp

Hình 2.3: Cấu trúc địa chỉ IPv6 dang Global Unicast

Thành phần đầu tiên là ID của các nhà cung cấp dịch vụ hàng đầu tiền TLA (Top Level Aggregation) Cũng giống như IPv4, Có ba tổ chức quản lý việc cấp phát địa chỉ IPv6 Các tổ chức này cấp phát các giá trị TLA ID đầu tiên Cụ thể các tổ chức này như sau:

 Khu vực Bắc Mỹ là ARIN (American Registry for Internet Numbers), tổ chức này quản lý và đăng ký số hiệu IP của các khu vực Bắc Mỹ, Nam Mỹ, Cảibe và một phần châu Phi

 Khu vực châu Âu là NCC (Network Coordinoction Center) của RIPE (hiệp hội mang IP châu Âu)

 Khu vực châu Á và Thái Bình Dương là tổ chức APNIC

Ngoài ra còn có một tổ chức chung có thể cấp phát địa chỉ cho các khu vực khác nhau là IANA

Các nhà cung cấp dịch vụ Internet IPv6 phải có một " ID của nhà cung cấp " từ những nhà đăng ký trên Theo kế hoạch cấp phát địa chỉ " ID của nhà cung cấp " là một

số 16 bit, 8 bit tiếp theo sẽ được cho bằng 0 trong giai đoạn đầu, 8 bit này chưa sử dụng, được để dành cho các mở rộng trong tương lai Chi tiết về việc quản lý và phân bố địa chỉ Global Unicast theo các cấp độ nhà cung cấp sẽ được trình bày trong phần địa chỉ Global Unicast

Trong cấu trúc hiện tại, những điểm đăng ký chính được bổ sung bởi một số lớn các điểm đăng ký vùng hoặc quốc gia Những điểm đăng ký này sẽ không được nhận dạng bằng một số đăng ký Thay vào đó họ sẽ nhận được phạm vi nhận dạng của các nhà cung cấp từ các cơ sở đăng ký chính

Với cấu trúc dạng địa chỉ mới này cho phép các khách hàng lớn có thể có được các định danh ngắn hơn, và điều đó sẽ cho họ khả năng thêm vào các 1ớp mạng mới trong

phân tầng mạng con của họ Thực tế các khách hàng lớn còn có thể đòi được chấp nhận như nhà cung cấp của chính họ, và lấy được ID nhà cung cấp từ các điểm đăng ký mà không phải lệ thuộc vào nhà cung cấp dịch vụ Internet ISP

2.3.4 Cách viết địa chỉ IPv6

Địa chỉ IPv6 có chiều dài 128 bit, nên vấn đề viết địa chỉ là hết sức khó khăn Nếu viết theo dạng thông thường của địa chỉ IPv4 thì một địa chỉ IPv6 có 16 nhóm số hệ cơ

sở 10 Do vậy, các nhà thiết kế đã chọn cách viết 128 bit địa chỉ thành 8 nhóm, mỗi nhóm chiếm 2 byte, mỗi byte biểu diễn bằng 2 số hệ 16 Mỗi nhóm ngăn cách nhau bởi dấu hai chấm

Ví dụ: 1080:0000:0000:0000:0008:0800:2000: 417A

Ký hiệu hexa có lợi là gọn gàng và nhìn đẹp hơn Tuy nhiên cách viết này cũng gây những phức tạp nhất định cho người quản lý hệ thống mạng Nhìn chung, mỗi người thường sử dụng theo tên các máy trạm thay bằng các địa chỉ (điều này được áp dụng từ IPv4 khi mà địa chỉ còn đơn giản hơn rất nhiều)

Một cách để làm cho đơn giản hơn là các quy tắc cho phép viết tắt Vì khởi điểm ban đầu chứng tỏ sẽ không sử dụng tất cả 128 bit chiều dài địa chỉ do đó sẽ có rất nhiều

số 0 ở các bit đầu

Một cải tiến đầu tiên là được phép bỏ qua những số 0 đứng trước mỗi thành phần hệ

16, viết 0 thay vì viết đầy đủ 0000, ví dụ viết 8 thay vì 0008, viết 800 thay vì 0800 Qua cách viết này cho chúng ta những địa chỉ ngắn gọn hơn

Ví dụ: FEDC:BA98::7654:3210

có địa chỉ đầy đủ là: FEDC:BA98:0:0:0:0:7654:3210

Ví dụ khác: : :FEDC:BA98:7654:3210

có địa chỉ đầy đủ là: 0:0:0:0:FEDC:BA98:7654:3210

Quy ước dấu hai đầu chấm chỉ có thể được sử dụng một lần với một địa chỉ

Ví dụ 0:0:0:BA98:7654:0:0:0 có thể được viết tắt thành ::BA98:7654:0:0:0 hoặc 0:0:0:0:BA98:7654:: nhưng không thể viết là ::BA98:7654:: vì như thế sẽ gây nhầm lẫn khi dịch ra địa chỉ đầy đủ

Một số địa chỉ lPv6 có được hình thành bằng cách gắn 96 bit 0 vào địa chỉ lPv4 (Điều này dễ dàng nhận biết được vì không giãn địa chỉ IPv4 chỉ là một tập con của tập địa chỉ lPv6) Để giảm nguy cơ nhầm lẫn trong chuyển đổi giữa ký hiệu chấm thập phân của lPv4 và hai dấu chấm thập phân của ký hiệu lPv6, các nhà thiết kế lPv6 cũng đã đưa

ra một khuôn mẫu đặc biệt cho cách viết những địa chỉ loại này như sau: Thay vì viết theo cách của 1 địa chỉ lPv6 là:

0:0:0:0:0:0:A00:1 ta có thể vẫn để 32 bít cuối theo mẫu chấm thập phân là ::10.0.0.1

Ngoài ra, còn có thể viết địa chỉ mạng theo các tiền tố là các bit cao của địa chỉ lPv6 Điều này có lợi trong việc định tuyến, một địa chỉ IPv6 theo sau bởi một dấu chéo và một số hệ 10 mô tả chiều dài các bit tiền tố Ví dụ ký hiệu:

FEDC:BA98:7600::/40 mô tả một tiền tố dài 40 bít giá trị nhị phân tương ứng là:

1111111011100101110101001100001110110

2.4 Các loại địa chỉ IPv6

Địa chỉ IPv6 được chia thành 3 loại:

 Địa chỉ unicast: Địa chỉ unicast xác định một giao diện duy nhất trong phạm vi tương ứng Trong mô hình định tuyến, các gói tin có địa chỉ đích là địa chỉ unicast chỉ được gửi tới một giao diện duy nhất Địa chỉ unicast được sử dụng trong giao tiếp một – một

 Địa chỉ multicast: Địa chỉ multicast định danh nhiều giao diện Gói tin có địa chỉ đích là địa chỉ multicast sẽ được gửi tới tất cả các giao diện trong nhóm được gắn địa chỉ đó Địa chỉ multicast được sử dụng trong giao tiếp một – nhiều Trong địa chỉ IPv6 không còn tồn tại khái niệm địa chỉ broadcast Mọi chức năng của địa chỉ broadcast trong IPv4 được đảm nhiệm thay thế bởi địa chỉ IPv6 multicast Ví dụ chức năng broadcast trong một subnet của địa chỉ IPv4 được đảm nhiệm bằng một loại địa chỉ ipv6 là địa chỉ multicast mọi node phạm vi link ( FF02::1)

 Địa chỉ anycast: Địa chỉ anycast cũng xác định tập hợp nhiều giao diện Tuy nhiên, trong mô hình định tuyến, gói tin có địa chỉ đích anycast chỉ được gửi tới một giao diện duy nhất trong tập hợp Giao diện đó là giao diện “gần nhất” theo khái niệm của thủ tục định tuyến

 Địa chỉ Global Unicast: được sử dụng để định dạng các giao diện, cho phép thực hiện kết nốt các host trong mạng Internet IPv6 toàn cầu Tính chất loại địa chỉ này cũng giống như địa chỉ IPv4 định danh một host trong mạng Internet hiện nay

 Địa chỉ Site-local: được sử dụng để định dạng các giao diện, cho phép thực hiện các kết nốt giữa các host trong mạng local

 Địa chỉ link-local: được sử dụng để định danh một giao diện

Ngoài ra còn có một số dạng địa chỉ unicast khác như NSAP address, IPX address

a Địa chỉ Global Unicast

Theo RFC 2374 mô tả cấu trúc các dạng địa chỉ Unicast Dạng địa chỉ này được sử dụng để hỗ trợ cho những nhà cung cấp dịch vụ hiện đang là các đầu mối kết nốt Internet (các ISP) Ngoài ra đang địa chỉ này con được sử dụng để hỗ trợ các nhà cung cấp dịch

vụ mới có nhu cầu kết nối toàn cầu Cấu trúc loại địa chỉ này được xây dựng theo kiến trúc phân cấp rõ ràng Cụ thể như sau:

3 bit 13 bit 8 bit 24 bit 16 bit 64 bit

FP TLA RES NLA ID SLA ID Interface ID

Hình 2.4: Cấu trúc dạng địa chỉ Unicast

Trong đó:

- 001: Định dạng tiền tố đối với loại địa chỉ Global Unicast

- TLA ID: Định danh cho nhà cung cấp cao nhất trong hệ thống các nhà cung cấp dịch vụ (Top Level Aggregation)

- RES: Chưa sử dụng

- NLA ID: Định danh của nhà cung cấp tiếp theo trong hệ thống các nhà cung cấp dịch vụ (Next Level Aggregation)

- SLA ID: Định danh các Site của các khách hàng cuối

- Interface ID: Định danh của giao tiếp của các host trên mạng trong site của khách hàng cuối, định danh này xác định theo chuẩn EUI-64

Như vậy, loại địa chỉ Global Unicast được thiết kế phân cấp, cấu trúc của nó được chia thành 3 phần :

- 48 bits Public Topology

- 16 bits Site Topology

- 64 bits định danh giao diện

Trong mỗi phần có thể chia làm nhiều cấp con, hình sau minh họa cấu trúc phân cấp này Theo đó, phần giá trị TLA ID có ý nghĩa định danh nhà cung cấp dịch vụ IPv6 hàng đầu trên thế giới Có tổng số 213 = 8192 tối đa các TLA Để có được một TLA ID, phải yêu cầu xin cấp qua một số tổ chức quốc tế

Hình 2.5: Ba phần của chia chỉ Unicast

Các tổ chức cấp phát TLA ID đã trình bày trong phần phân bố địa chỉ IPv6 ở trên Đối với một ISP, trong mô hình này đóng vai trò là một NLA (Next Level Aggregation) cần phải xin cấp giá trị NLA ID của mình thông qua các tổ chức TLA Hiện nay có một

số phương thức xin cấp giá trị NLA ID như sau:

 Xin cấp qua 6Bone Community: Khi đó giá trị TLA ID của tổ chức này là 3FFE::/16 6Bone là một mạng thử nghiệm IPv6 trên toàn cầu Sau khi thỏa mãn một số yêu cầu của tổ chức này 6Bone sẽ cấp phát giá trị NLA ID cho ISP xin cấp địa chỉ

 Xin cấp qua International Regional Internet Registry (RIP)

 Giả lập địa chỉ IPv6 từ địa chỉ IPv4 - gọi là 6to4 (Có thể 6to4) Với phương thức này, thuận lợi cho việc thử nghiệm kết nốt IPv6 dựa trên nền IPv4 Từ một máy trạm sử dụng địa chỉ IPv4 ta có một địa chỉ IPv6 dạng Global Unicast như sau: TLA ID có tiền tố 2002::/16, 32 bits còn lại là địa chỉ IPv4 của host đó

Đối với một tổ chức TLA, sau khi có TLA ID có thể cấp phát tiếp đến các tổ chức cấp dưới Với mọi TLA cho phép định danh tới 224 các tổ chức khác nhau Đối với cấu trúc của NLA ID được phân ra thành các phần nhỏ, sử dụng n bits trong số 24 bits NLA

để định danh tổ chức đó, 24 - n bit còn lại dùng để định danh các máy trạm trong mạng Mặt khác, trong phần địa chỉ NLA ID có thể phân thành các NLA cấp thấp hơn để cho phép cung cấp tới nhiều site sử dụng (end-user-site) khác nhau Đối với một end-

user-site sau khi yêu cầu xin địa chỉ sẽ nhận được các thông tin về TLA ID, NLA ID, sẽ gán các giá trị SLA ID để định danh các site trong tổ chức đó, và để định dạng các subnets trong mạng con Giá trị này cũng tương tự như với phân bổ các địa chỉ đối với mỗi tổ chức sau khi nhận dtroc một vùng địa chỉ trong IPv4, ngoại trừ là số lượng mạng con trong một site có thể lên tới 65,535 mạng con khác nhau)

Phần còn lại trong cấu trúc địa chỉ Global Unicast là định danh giao diện (Interface ID) Định danh này được mô tả theo chuẩn EUI-64 Tùy thuộc vào chuẩn các giao tiếp khác nhau mà có các giá trị Interface ID khác nhau

b Địa chỉ Local Unicast:

Địa chỉ đơn hướng dùng nội bộ, được sử dụng cho một tổ chức có mạng máy tính riêng (dùng nội bộ) chưa kết nối với mạng Internet nhưng sẵn sàng kết nối mạng khi cần Địa chỉ này chia làm hai loại là địa chỉ Link Local và Site Local

 Địa chỉ Link Local: Dùng trên mỗi liên kết cho việc tự cấu hình địa chỉ, nhận dạng đường kết nói nội bộ, các router sẽ không chuyển các gói dữ liệu sử dụng Link Local, chúng chỉ cho truyền tin cục bộ trên một đoạn mạng FP = 1111

1110 10 (FE80::/10) Dạng địa chỉ này mang ý nghĩa tương đương với APIPA (Automatic Private IP Addressing) trong Ipv4 được tự động gán cho các máy chạy trên nền hệ điều hành MS Window với dải địa chỉ 169.254.0.0/16 Cấu trúc của dạng địa chỉ này:

Hình 2.6: Cấu trúc của địa chỉ Link-local như sau

Giá trị Interface ID được mô tả giống với dạng địa chỉ Global Unicast Nhưng địa chỉ này chỉ được định nghĩa trong phạm vi kết nốt point-to-point (điểm - điểm) và chỉ

có thể được sử dụng bởi các trạm kết nốt với cùng một liên kết hay cũng một mạng địa phương

Qui tắc định tuyến đối với dạng địa chỉ link-local: Một router không thể chuyển bất

kỳ gói tin nào có địa chỉ nguồn hoặc địa chỉ đích là địa chỉ link-local

Giả sử có một mạng LAN nhỏ với một ít máy tính kết nối với nhau và không cần router, lúc đó sẽ dùng địa chỉ Link Local

Ví dụ: Kết nốt trực tiếp 2 máy trạm dùng link-local

Hình 2.7: Hai máy trạm kết nối dùng địa chỉ Link Local

 Địa chỉ Site Local: Được dùng để định danh các giao diện, cho phép thực hiện các kết nối giữa các máy trạm trong mạng của công ty hoặc tổ chức Các router

sẽ chuyển các gói tin sử dụng loại địa chỉ này, nhưng không vượt ra ngoài mạng Internet Nó là địa chỉ dùng cho việc thay thế Ipv4 trong mạng internet Vì vậy

lý tưởng cho các tổ chức không kết nối tới internet toàn cầu FP = 1111 1110 11 (FEC0::/10) Địa chỉ Site Local tương tự như các dải địa chỉ trong Ipv4: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16

Cấu trúc địa chỉ Site Local:

Hình 2.8: Cấu trúc địa chỉ Site-local

Phần giá trị Interface ID được mô tả giống với dạng địa chỉ Global Unicast Sử dụng link-local để thực hiện kết nốt giữa hai host trực tiếp với nhau

Sử dụng địa chỉ Site-local Unicast gắn với một giao diện để thực hiện các liên kết với các host trong một site

Quy tắc định tuyến đối với dạng địa chỉ Site-local: Một router không thể chuyển các gói tin có địa chỉ nguồn hoặc địa chỉ dích là địa chỉ Site-Local Unicast ra ngoài mạng

đó Các địa chỉ site local không thể được chọn đường trên toàn bộ mạng internet Phạm vi của chúng chỉ được đăng báo phạm vi một site Chúng chỉ có thể dùng cho các chuyển đổi giữa hai trạm của cùng một site

Như phần trên đã trình bày, một giao diện có thể gồm nhiều loại địa chỉ khác nhau Hình sau minh họa các loại địa chỉ được gán cho một host nói chung khi thực hiện kết nốt tới mạng Internet IPv6 (ví dụ mang 6Bone):