Nội dung báo cáo đề tài gồm 3 phần: Lý thuyết về hệ thống lọc gói trong IPV4 và IPV6, triển khai hệ thống lọc gói IPv6 trên FreeBSD, phụ lục giới Thiệu Hạ Tầng IPv6. Để biết rõ hơn về nội dung chi tiết, mời các bạn cùng tham khảo.
Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Phần I : Lý Thuyết Hệ thống lọc gói IPv4 1.1 Hệ thống lọc gói IPv4 kiểu phi trạng thái 1.1.1 Lọc dựa cổng kết nối 1.1.2 Lọc dựa cờ TCP 1.1.3 Lọc dựa địa 1.1.4 Lọc gói phân mảnh 11 1.1.5 Lọc gói ICMP 12 1.1.6 Lọc dựa Options IP 12 1.1.7 Lọc lưu lượng đường hầm 13 1.1.8 IPsec 14 1.2 Hệ thống lọc gói IPv4 kiểu có trạng thái 16 1.2.1 Lọc dựa vào giao thức TCP 17 1.2.2 Lọc gói UDP 19 1.2.3 Lọc gói ICMP 19 1.2.4 Lọc gói dựa đặc điểm lưu lượng 20 1.2.5 Lọc gói phân mảnh 21 Hệ thống lọc gói IPv6 22 2.1 Hệ thống lọc gói IPv6 kiểu phi trạng thái 23 2.1.1 Lọc gói dựa địa 24 2.1.2 Lọc gói ICMPv6 24 2.1.3 Lọc tiêu đề mở rộng IPv6 25 2.1.3.1 Tiêu đề mở rộng Hop-by-Hop 25 2.1.3.2 Tiêu đề mở rộng Destination 25 2.1.3.3 Tiêu đề mở rộng Routing 26 2.1.3.4 Tiêu đề mở rộng Fragment 26 2.1.3.5 IPsec 27 2.1.4 Kỹ thuật chuyển tiếp từ IPv4 sang IPv6 28 2.1.5 Lọc gói tin biên hệ thống mạng IPv6 28 2.2 Hệ thống lọc gói IPv6 kiểu có trạng thái 30 2.2.1 Flow Label 30 2.2.2 Flow label lọc gói có trạng thái 31 Phần II : Triển khai hệ thống lọc gói IPv6 FreeBSD 32 Giới thiệu FreeBSD 33 Cơng cụ lọc gói IPv6 FreeBSD 34 Triển khai hệ thống lọc gói IPv6 36 5.1 Đặt vấn đề 36 5.2 Yêu cầu 36 5.3 Mơ hình mạng 36 5.4 Tài nguyên sử dụng 37 5.5 Thực 37 5.5.1 Xây dựng FreeBSD router 38 5.5.2 Xây dựng Web server IPv6 38 5.5.3 Xây dựng DNS server IPv6 38 5.5.4 Cấu hình SSH cho phép điều khiển truy cập từ xa 40 5.6 Xây dựng kịch triển khai lọc gói 41 Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung 5.6.1 Kiểm thử lưu lượng ICMPv6 41 5.6.2 Kiểm thử lưu lượng DNS 43 5.6.3 Kiểm thử lưu lượng Web 44 5.6.4 Điều khiển lưu lượng SSH 45 Phần III : Kết Luận 48 Phần Phụ lục Giới Thiệu Hạ Tầng IPv6 50 Giới thiệu IPv6 50 Hạ tầng IPv6 50 7.1 Tiêu đề IPv6 50 7.2 Tiêu đề mở rộng 51 7.3 Cấu trúc địa 55 7.3.1 Định danh Interface (interface ID) 56 7.4 Các loại địa IPv6 56 7.4.1 Địa Unicast 57 7.4.2 Địa Anycast 60 7.4.3 Địa Multicast 60 7.5 Giao thức ICMPv6 61 7.6 Giao thức Neighbor discovery 62 7.6.1 Các loại thông điệp Neighbor Discovery 62 7.6.2 Định dạng Neighbor Discovery options 64 7.6.3 Neighbor Discovery thông điệp Options tương ứng 66 7.6.4 Các chức hoạt động Neighbor Discovery 67 7.6.4.1 Duplicate address detection 67 7.6.4.2 Neighbor Unreachability Detection 67 7.6.4.3 Network prefix assignment 67 7.6.4.4 Tự động cấu hình địa 68 Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Lời giới thiệu Hệ thống lọc gói cho phép lọc lưu lượng vào hệ thống mạng tổ chức, nhằm chống lại truy cập trái phép hạn chế truy cập bên ngồi Khi hệ thống mạng internet có xu hướng chuyển dần sang môi trường IPv6 để thỏa mãn nhu cầu không gian địa chỉ, ưu điểm hổ trợ điều khiển chất lượng dịch vụ bảo mật truyền thơng, hệ thống lọc gói IPv6 tiếp tục sử dụng, phát triển khả kiểm tra ngăn chặn bước đầu chiến lược bảo mật hệ thống mạng tổ chức Do tính thời nhu cầu chuyển tiếp sang mạng IPv6 cấp thiết bảo mật hệ thống mạng, Tôi chọn đề tài “nghiên cứu Hệ Thống Lọc Gói Trong IPv6” cho đồ án tốt nghiệp Đề tài triển khai hệ thống mã nguồn mở, sử dụng hệ điều hành FreeBSD chia thành phần sau: Phần 1: lý thuyết hệ thống lọc gói, giới thiệu lý thuyết lọc gói IPv4 IPv6 Phần 2: thực hành, giới thiệu mô tả ưu điểm FreeBSD Triển khai hệ thống lọc gói FreeBSD Phần 3: kết luận, đánh giá kết đạt đồ án, thiếu xót, hạn chế hưóng phát triển đề tài Phần phụ lục: phần này, giới thiệu hạ tầng mạng IPv6 nhằm làm rõ lý thuyết lọc gói IPv6 Tháng 11, năm 2006 Sinh viên Nguyễn Thanh Sơn Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Phần I : Lý Thuyết Trong phần này, tập trung làm rõ lý thuyết lọc gói, phân tích loại lưu lượng, nhận dạng đưa cách giải Từ đó, có nhìn tổng quan hệ thống lọc gói, tạo tiền đề triển khai hệ thống thực Nội dung phần gồm: Hệ thống lọc gói IPv4 1.1 Hệ thống lọc gói IPv4 kiểu phi trạng thái 1.2 Hệ thống lọc gói IPv4 kiểu có trạng thái Hệ thống lọc gói IPv6 2.1 Hệ thống lọc gói IPv6 kiểu phi trạng thái 2.2 Hệ thống lọc gói IPv6 kiểu có trạng thái Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Hệ thống lọc gói IPv4 Lọc gói hệ thống thực việc kiểm tra lọc lưu lượng host hay ví trí cần thiết hạ tầng mạng tổ chức Các thành tố hệ thống lọc gói là: • Chính sách (policy) • Luật (rules): áp dụng cụ thể sách vào hệ thống lọc gói thơng qua công tác nhận diện lưu lượng điều khiển lưu lượng tương ứng Cụ thể : o Nhận diện lưu lượng: hệ thống lọc gói dựa vào số tiêu chí để nhận diện lưu lượng như: điểm xuất phát lưu lượng, điểm đến lưu lượng , lọai lưu lượng (web, mail, telnet ), đặc điểm lưu lượng (fragment, cờ TCP (syn, cờ rst…) o Điều khiển lưu lượng: hệ thống lọc gói điều khiển lưu lượng cách cho phép gói tin qua (allow), chặn gói tin lại (drop) chuyển tiếp gói tin (forward)… Hệ thống lọc gói hoạt động thơng qua chế so khớp gói tin dựa luật định nghĩa trước Trong hệ thống lọc gói IPv4 có hai trường hợp: lọc gói IPv4 kiểu phi trạng thái lọc gói IPv4 kiểu có trạng thái Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 1.1 GVHD: Nguyễn Thị Phương Dung Hệ thống lọc gói IPv4 kiểu phi trạng thái Trong hệ thống lọc gói IPv4 phi trạng thái, luật nhận diện điều khiển lưu lượng gói tin khơng phụ thuộc vào gói tin gởi nhận trước Tại thời điểm, kiểm tra gói tin so khớp với luật định nghĩa trước dựa thông tin tiêu đề IP, tiêu đề TCP Hình 1: hệ thống lọc gói phi trạng thái IPv4 Vì thế, chế hoạt động lọc gói IPv4 phi trạng thái dựa sở nhận diện lưu lượng như: loại lưu lượng, điểm xuất phát, điểm đến hay đặc điểm lưu lượng Các phần sau làm rỏ chế 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.8 Lọc dựa cổng kết nối Lọc dựa cờ TCP Lọc dựa địa Lọc gói phân mảnh Lọc gói ICMP Lọc dựa Options IP Lọc lưu lượng đường hầm IPsec Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 1.1.1 GVHD: Nguyễn Thị Phương Dung Lọc dựa cổng kết nối Lọc gói dựa cổng kết nối (port) sử dụng sách bảo mật ban đầu Giao thức TCP UDP sử dụng cổng kết nối để xác định hai đầu cuối kết nối, cổng kết nối chia thành dãy khác với mục đích khác Cổng kết nối từ 1-1023 dành riêng cho hệ thống (system port), tiến trình có đặc quyền gán chúng chương trình Điều tạo nhằm ngăn chặn người sử dụng (user) bình thường thiết lập kết nối tới cổng kết nối Các cổng kết nối từ 1024-4999 dành cho kết nối sử dụng máy trạm (client) tới máy chủ (server) Trong thời gian hoạt động máy trạm, cổng kết nối dãy gán, trừ trường hợp máy trạm có yêu cầu cổng kết nối đặc biệt Cổng kết nối từ 5000-65535 sử dụng cho dịch vụ phổ biến internet, gán không cố định không xác định trước Sự giả mạo cổng kết nối xảy dịch vụ thiết lập dịch vụ khác sử dụng cổng kết nối hệ thống ví dụ: SSH hoạt động cổng kết nối HTTP HTTPs Những cổng kết nối HTTP mở để để lưu lượng Web qua, đó, cổng kết nối SSH bị hệ thống lọc gói chặn lại Việc mở cổng kết nối phụ thuộc vào sách tổ chức Một số cổng kết nối mở DNS (53), Web (80) Một số cổng kết nối khác tùy thuộc vào nhu cầu sử dụng tổ chức, để có sách sử dụng phù hợp bảo mật Ví dụ: tổ chức cho phép điều khiển truy cập từ xa thông qua cổng kết nối 22, sử dụng SSH Các luật sau thể điều này: add allow tcp from any to any 22 Bảng 1, mô tả cổng kết nối số dịch vụ giao thức sử dụng Bảng 1: dịch vụ cổng kết nối tương ứng Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Một số dịch vụ sử dụng hai giao thức TCP UDP, cần có sách sử dụng phù hợp cho loại giao thức Ví dụ, dịch vụ DNS sử dụng TCP UDP Quá trình “zone transfer” DNS với DNS master cần sử dụng TCP, luật sau thể điều này: add allow tcp fromany to DNS-server 53 add deny udp from any to DNS-server 53 Hệ thống lọc gói phải quan tâm tới số dịch vụ có tính chất đặc biệt sử dụng cổng kết nối, cụ thể • Lọc gói FTP Dịch vụ FTP cần quan tâm đặc biệt lọc gói, cách thức hoạt động chúng FTP sử dụng hai kết nối TCP tách rời để truyền file: cổng 21 sử dụng cho lệnh FTP cổng 20 sử dụng để truyền liệu FTP có phương pháp để thiết lập truyền liệu, phụ thuộc vào kết nối máy trạm (client) hay máy chủ (server) Kết nối từ máy chủ tới máy trạm (server-to-client) gọi chế active mode FTP, máy trạm lắng nghe cổng kết nối báo cho máy chủ biết điều qua cổng 21 Sau máy chủ mở kết nối tới cổng kết nối thông qua cổng 20 để thực truỳên liệu Hình 2: FTP active mode Kết nối từ máy trạm tới máy chủ (client-to-server) gọi passive mode FTP Máy trạm gởi câu lệnh thông báo cổng kết nối tới máy chủ thông qua cổng kết nối 21 thời điểm bắt đầu kết nối Máy chủ sử dụng cổng 20 để truỳên liệu tới cổng kết nối thơng báo Hình 3: FTP passive mode Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Trong hệ thống lọc gói IPv4 kiểu phi trạng thái, khơng thể xứ lý lưu lượng chuyển cổng kết nối FTP Trong trường hợp FTP sử dụng chế “passive mode”, kết nối từ máy trạm tới máy chủ mở cổng kết nối, lúc cấu hình hệ thống lọc gói cho phép lưu lượng FTP qua cách khống chế cổng kết nối từ máy trạm có địa cố định luật sau cho phép gói tin Passive FTP vào /*Passive FTP from me to other places*/ add allow tcp from myip to anyip ftp out via eth0 add allow tcp from myip 49152-65534 to anyip 49152-65534 out via eth0 /*Passive FTP to me*/ add allow tcp from anyip to myip ftp in via eth0 add allow tcp from anyip 49152-65534 to myip 49152-65534 in via eth0 1.1.2 Lọc dựa cờ TCP Giao thức TCP sử dụng “three-way handshake” để thiết lập kết nối host, three-way handshake gồm có ba loại gói tin: SYN (yêu cầu mở kết nối), SYN/ACK ACK (thơng báo gói SYN nhận kết thúc thiết lập kết nối) Hình 4: Three-way handshake Hệ thống lọc gói phi trạng thái xử lý gói tin riêng lẽ khơng phụ thuộc vào gói trước đó, đó, khơng xử lý được kết nối có trạng thái TCP Để xử lý kết nối có trạng thái TCP, phải dùng hệ thống lọc gói IPv4 kiểu có trạng thái 1.1.3 Lọc dựa địa Địa thông tin dùng để xác định lưu lượng hệ thống lọc gói Địa thường sử dụng cho dịch vụ có địa cố định, DNS, Mail Hệ thống lọc gói dựa vào địa nguồn địa đích để xác định lưu lượng so khớp với luật định nghĩa trước Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Trường hợp, cổng kết nối xác định trước, lọc gói dựa địa phương pháp hữu hiệu để ngăn chặn truy cập trái phép tới địa đặc biệt xác định trước, cụ thể DNS-server Mail-server Trong hình 5, cho phép TCP từ gateway DNS truy vấn tới inside DNS qua port 53 Còn tất lưu lượng khác đến inside DNS bị chặn lại Hình 5: Lọc gói DNS Các luật thể trình này: allow tcp from gateway-DNS to inside-DNS 53 deny tcp from any to inside-DNS 53 1.1.3.1 Lọc gói vào biên hệ thống mạng Tại biên hệ thống mạng (edge of network), gói tin từ bên ngồi vào hệ thống mạng bên trong, có địa xuất phát địa riêng (private), địa loopback, địa khơng định gói tin có địa giả mạo Hệ thống lọc gói cần phải cấu hình để nhận loại lưu lượng chặn chúng lại Lọc gói biên hệ thống mạng cần nhận dạng lưu lượng khơng hợp lệ sau: • • • • • • • Địa nguồn đích địa chỉ riêng (private) Địa nguồn địa broadcast Địa loopback interface loopback Địa nguồn địa multicast Địa đích địa multicast khơng phù hợp Địa không định Địa nguồn dài so với subnet mà gói tin dự trù trước Tại biên hệ thống mạng, gói tin phải hợp lệ Những gói tin thuộc subnet nội cần chặn lại Các luật sau chặn gói gói tin có địa private biên hệ thống mạng: /*Private Addresses should not enter or leave the network*/ add deny all from 10.0.0.0/8 to anyip out via eth0 add deny all from 192.168.0.0/16 to anyip out via eth0 add deny all from 172.16.0.0/12 to anyip out via eth0 add deny all from 10.0.0.0/8 to mynet in via eth0 Sinh viên: Nguyễn Thanh Sơn 10 Đề tài: Hệ Thống Lọc Gói Trong IPv6 7.4.1.2 GVHD: Nguyễn Thị Phương Dung Địa Link-local Địa link-local sử dụng cho kết nối host link Mỗi interface gán địa (unicast) link-local, sử dụng trình “Autoconfiguration” Hình 38: Cấu trúc địa link-local 7.4.1.3 Địa Site-local Địa Site-local sử dụng site, giống subnet Chúng dành để sử dụng site gói tin sử dụng địa site-local khơng cho phép khỏi site Địa Unicast site-local tương dương với địa Private IPv4 Hình 39: Cấu trúc địa site-local 7.4.1.4 Địa đặc biệt • Địa không rõ: “::” sử dụng để thể khơng có mặt địa IPv6 • Hoặc địa loopback: “::1” sử dụng để xác định “loopback interface” 7.4.1.5 Địa tương thích Địa tương thích tạo để giúp đỡ chuyển tiếp từ IPv4 sang IPv6, chung sống loại địa • Địa IPv4 tương thích Hình 40: Địa IPv4 tương thích Sinh viên: Nguyễn Thanh Sơn 58 Đề tài: Hệ Thống Lọc Gói Trong IPv6 • GVHD: Nguyễn Thị Phương Dung Địa IPv4 ánh xạ Hình 41: Địa IPv4 ánh xạ • Địa 6over4 Hình 42: Địa 6over4 • Địa 6to4 2002:(IPv4-Hex)::/48 • ISATAP address Hình 43: Địa ISATAP 7.4.1.6 Địa NSAP Hình 44: Cấu trúc địa NSAP Sinh viên: Nguyễn Thanh Sơn 59 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Bảng 8: Địa IPv6 unicast global định 7.4.2 Địa Anycast Địa anycast sử dụng cho kết nối “one-to-one-of-many” chúng nhận dạng nhiều interface số nodes khác nhau, thừơng links Một gói tin gởi tới địa anycast phân phát tới số interface xác định địa gần xác định giao thức định tuýên Chúng khơng có dãy IPv6 tách rời giống địa Unicast Multicast Hình 45: Cấu trúc địa Anycast 7.4.3 Địa Multicast Địa dùng để nhận dạng nhiều interface IPv6 Một gói tin gởi tới địa multicast xử lí tất thành viên nhóm multicast Hình 46: cấu trúc địa Multicast Bảng 9: Giá tri flags cấu trúc địa multicast Sinh viên: Nguyễn Thanh Sơn 60 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Bảng 10: Giá trị trường scope địa multicast 7.5 Giao thức ICMPv6 Trong IPv6, giao thức ICMP có thay đổi để hoạt động phù hợp, chẳng hạn, IGMP ARP xác nhập vào ICMPv6, phần giao thức Neighbor Discovery Những codes ICMP tiếp tục sử dụng: Echo request, echo reply, packet too big, time exceeded …những thông điệp chia thành loại: “error message” “informative message” Bảng 11: Địa ICMP code tương ứng Sinh viên: Nguyễn Thanh Sơn 61 Đề tài: Hệ Thống Lọc Gói Trong IPv6 7.6 GVHD: Nguyễn Thị Phương Dung Giao thức Neighbor discovery Trong IPv4, phân giải địa Ethernet địa IP sử dụng giao thức ARP broadcast địa Ethernet-layer IGMP sử dụng để quản lí multicasting Trong IPv6, hàm IGMP kết hợp ICMPv6 địa broadcast thay địa multicast Giao thức Neighbor Discovery sử dụng để phân giải địa Ethernet địa IPv6, cách gởi gói tin như: Neighbor Solicitation Advertisements, Router Advertisements Solicitations, Redirect ND sử dụng để cấu hình địa link-local global interface cách nhận quản bá tham số network (chẳng hạn prefixes) đồng thời trì thơng tin host router Hình 47: Cấu trúc Neighbor discovery 7.6.1 Các loại thông điệp Neighbor Discovery Neighbor Discovery có tất loại thơng điệp, thực số chức năng: • Address resolution • Duplicate address detection • Neighbor unreachability detection • Prefix discovery • Router discovery • Parameter discovery • Address autoconfiguration • Next-hop determination 7.6.1.1 Neighbor solicitation Hình 48: Định dạng Neighbor Solicitation Sinh viên: Nguyễn Thanh Sơn 62 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung 7.6.1.2 Neighbor advertisement Hình 49: Định dạng Neighbor Advertisement 7.6.1.3 Router Solicitation Hình 50: Định dạng Router Solicitation 7.6.1.4 Router Advertisement Hình 51: Định dạng Router Advertisement Sinh viên: Nguyễn Thanh Sơn 63 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung 7.6.1.5 Redirect Hình 52: Định dạng Redirect 7.6.2 Định dạng Neighbor Discovery options Trường options xác định tham số cho chức Neighbor Discovery Hình 53: Định dạng Neighbor Discovery Options • Type 1: Source Link-Layer Address Hình 54: Type Options • Type 2: Target Link-Layer Address Sinh viên: Nguyễn Thanh Sơn 64 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Hình 55: Type Options • Type 3: Prefix Information Hình 56: Type Options • Type 4: Redirected Header Hình 57: Type Options • Type 5: MTU Hình 58: Type Options • Type 7: Advertisement Interval Sinh viên: Nguyễn Thanh Sơn 65 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Hình 59: Type Options • Type 8: Home Agent Information Hình 60: Type Options • Type 9: Route Information Hình 61: Type Options 7.6.3 Neighbor Discovery thông điệp Options tương ứng Sinh viên: Nguyễn Thanh Sơn 66 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Bảng 12: Thông điệp Neighbor Discovery option tương ứng 7.6.4 Các chức hoạt động Neighbor Discovery 7.6.4.1 Duplicate address detection Neighbor Discovery sử dụng để xác minh tính interface subnet Khi host tạo địa link-local cho nó, khơng xem địa sử dụng q trình DAD hoàn tất DAD thực cách gởi ICMP NS có địa source “::” địa đích Multicast solicited-node (FF02::1) Nếu khơng nhận gói NA reply địa linklocal thức sử dụng 7.6.4.2 Neighbor Unreachability Detection Một đặc tính giao thức Neighbor Discovery Neighbor unreachability detection Tất nodes IPv6 lưu giữ bảng tình trạng Neighbors, giống neighbor cache (thay ARP table) Khi host router biến mất, Neighbor Unreachability Detection sử dụng để kiểm tra xem neighbour tồn hay khơng thơng qua địa mà lưu trữ neighbor cache Để thực điều này, thông điêp NS gởi tới địa lưu trữ cache 7.6.4.3 Network prefix assignment Phần cuối Neighbor Discovery định Network prefix Điều đạt cách sử dụng thông điệp Neighbor Discovery Router Solicitation Router Advertisement Khi interface cấu hình thành cơng, có đươc địa link-local nhất, gởi link-local multicast gói Router Solicitation bên ngồi Sinh viên: Nguyễn Thanh Sơn 67 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung (FF02::2) Router tren link trả lời thông điệp cách gởi unicast gói Router Advertisement chứa thơng tin prefix interface Một host nhận thông tin prefix, cấu hình địa global unicast cho nó, cách thêm prefix vào trước interface ID Nếu có nhiều router link có nhiều tham số khác nhau, host chọn tham số phù hợp mà sử dụng để chuỷên tiếp gói tin 7.6.4.4 Tự động cấu hình địa Địa IPv6 gán người quản trị tự động host Đây tính hữu ích IPv6 tự động cấu hình địa chỉ; trường hợp tự động cấu hình “stateless stateful” Stateful xảy có DHCP server gán địa lần kết nối máy tính tới hệ thống mạng có DHCP server Các bước q trình Autoconfiguration: Thơng qua trình EUI-64 (dựa địa MAC) prefix linklocal, hosts có địa “tentative link-local” (địa link-local tạm) Gởi multicast gói tin Neighbor Solicitation để kiểm tra “duplication” (địa trùng) Hình 62: Q trình kiểm tra duplication Nếu nhận gói Neighbor Advertisement, địa “tentative” sử dụng, trình autoconfigure dừng lại (chuyển sang cấu hình tay cho node) Nếu khơng nhận gói Neighor Advertisement địa “tentative” địa trở thành địa “valid” (hợp lệ) Địa link-local gán cho “interface” Sinh viên: Nguyễn Thanh Sơn 68 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Host tiếp tục gởi multicast Router solicitation tới Router để nhận thông tạo địa site-local Hình 63: Quá trình gởi multicast router solicitation Nếu khơng có gói Router Advertisement nhận, hosts thực tình “stateful address configuration” Nếu hosts nhận gói Router Advertisement giá trị “hop limit, reachable time, MTU” thiết lập Host tiếp tục kiểm tra “prefix information option” gói Router Advertisement: a cờ on-link gán = 1, Prefix thêm vào danh sách Prefix list b Nếu cờ autonomous gán =1, prefix ID interface thích hợp sử dụng để gán địa “tentative” trình duplication sử dụng để kiểm tra địa tentative i Nếu địa tentative sử dụng, địa không gán cho interface ii Nếu địa tentative nhất, địa khởi tạo thiết lập giá trị “valid lifetime”, “preferred lifetime” Tiếp theo, host kiểm tra cờ “managed address configuration” Router Advertisement có gán =1 không Nếu gán =1, stateful address autoconfiguration sử dụng Sinh viên: Nguyễn Thanh Sơn 69 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung 10 Nếu có cờ “stateful autoconfiguration” thiết lập gán =1, trình “stateful address autoconfiguration” sử dụng để thêm vào tham số Nếu không, trình address autoconfiguration dừng lại Hình 64: Lưu đồ trình Autoconfiguration Sinh viên: Nguyễn Thanh Sơn 70 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Hình 65: Lưu đồ trình Autoconfiguration (tt) Sinh viên: Nguyễn Thanh Sơn 71 Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Tài liệu tham khảo: Joseph Davies, “Understand IPv6”, Microsoft Press, 2003 Silvia Hagen, “IPv6 Essentials”, O'Reilly, May 2006 Orla McGann, B.Eng, “IPv6 packet filter”, Hamilton Institute National University of Ireland Maynooth, 2005 David Malone, Niall Murphy “IPv6 Network Administration” O'Reilly, March 2005 Vijay Bollapragada, Mohamed Khalid, Scott Wainner, “IPSec VPN Design”, Cisco Press, April 07, 2005 Naganand Doraswamy, Dan Harkins, “IPsec: The New Security Standard for the Interne, Intranets, and Virtual Private Networks, second edition”, Prentice Hall PTR, March, 13,2003 FreeBSD handbook Brian Tiemann “FreeBSD®6 Unleashed”, Sams, June 15, 2006 Paul Albitz, Cricket Liu “DNS and BIND, 5th Edition”, O'Reilly, May 2006 10 Apache HTTP Server Version 2.2 Documentation 11 http://www.faqs.org/rfcs/rfc2462.html 12 http://docs.FreeBSD.org/doc/ 13 www.bsdguides.org 14 www.telscom.ch/index.php/downloads/Configure_IPv6_features Sinh viên: Nguyễn Thanh Sơn 72 ... gồm: Hệ thống lọc gói IPv4 1.1 Hệ thống lọc gói IPv4 kiểu phi trạng thái 1.2 Hệ thống lọc gói IPv4 kiểu có trạng thái Hệ thống lọc gói IPv6 2.1 Hệ thống lọc gói IPv6 kiểu phi trạng thái 2.2 Hệ thống. .. thống lọc gói IPv6 kiểu có trạng thái Sinh viên: Nguyễn Thanh Sơn Đề tài: Hệ Thống Lọc Gói Trong IPv6 GVHD: Nguyễn Thị Phương Dung Hệ thống lọc gói IPv4 Lọc gói hệ thống thực việc kiểm tra lọc. .. 2.2 Hệ thống lọc gói IPv6 kiểu có trạng thái Sinh viên: Nguyễn Thanh Sơn 22 Đề tài: Hệ Thống Lọc Gói Trong IPv6 2.1 GVHD: Nguyễn Thị Phương Dung Hệ thống lọc gói IPv6 kiểu phi trạng thái Hệ thống