1. Chồng hai giao thức (Dual Stack)
Đây là cơ chế đơn giản nhất cho phép nút mạng đồng thời hỗ trợ cả hai giao thức IPv6 và IPv4. Có đƣợc khả năng trên do một trạm Dual Stack cài đặt cả hai giao thức, IPv4 và IPv6. Trạm Dual Stack sẽ giao tiếp bằng giao thức IPv4 với các trạm IPv4 và băng giao thức IPv6 với các trạm IPv6.
Hình 5.1. Dual Stack
Thực tế thủ tục IPv6 trong Hệ điều hành Windows chƣa phải là Dual Stack đúng nghĩa.Thủ tục chứa 2 thực thi tách biệt TCP,UDP.
Hình 5.3. Dual Stack trong thiết bị Cisco
Do hoạt động với cả hai giao thức, nút mạng kiểu này cần ít nhất một địa chỉ IPv4 và một địa chỉ IPv6. Địa chỉ IPv4 có thể đƣợc cấu hình trực tiếp hoặc thông qua cơ chế DHCP. Địa chỉ IPv6 đƣợc cấu hình trực tiếp hoặc thông qua khả năng tự cấu hình địa chỉ.
Nút mạng hỗ trợ các ứng dụng với cả hai giao thức. DNS server truy vấn tên miền có thể truy vấn đồng thời cả các truy vấn kiểu A lẫn kiểu AAAA(A6). Nếu kết quả trả về là bản ghi kiểu A, ứng dụng sẽ sử dụng giao thức IPv4. Nếu kết quả trả về là bản ghi AAAA(A6), ứng dụng sẽ sử dụng giao thức IPv6. Nếu cả hai kết quả trả về, chƣơng trình sẽ lựa chọn trả về cho ứng dụng một trong hai kiểu địa chỉ hoặc cả hai.
Ƣu điểm:
Đây là cơ chế cơ bản nhất để nút mạng có thể hoạt động đồng thời với cả hai giao thức, nó đƣợc hỗ trợ trên nhiều nền tảng khác nhau nhƣ Linux, Windows và Solaris.
Cho phép duy trì các kết nối bằng cả hai giao thức IPv4 và IPv6.
Nhƣợc điểm:
2. Đường hầm IPv6 qua IPv4 (Tunnel)
Đƣờng hầm cho phép kết nối các nút mạng IPv6 qua hạ tầng định tuyến IPv4 hiện có.Các trạm và các router IPv6 thực hiện bằng cách đóng các gói tin IPv6 bên rong gói tin IPv4.Có 4 cách thực hiện đƣờng hầm:
Đƣờng hầm từ router đến router. Đƣờng hầm từ trạm đến router. Đƣờng hầm từ trạm đến trạm Đƣờng hầm từ router đến trạm.
Hình 5.4. Đường hầm Ipv6 qua Ipv4
Có hai loại cơ chế Tunneling nhƣ sau: là Automatic và Configured Tunneling.
Cả hai cơ chế này khác nhau cơ bản là việc quyết định địa chỉ cuối của quá trình đƣờng hầm, còn lại về cơ bản hoạt động của hai cơ chế này là giống nhau:
Điểm khởi tạo đƣờng hầm (điểm đóng gói tin) tạo một tiêu đề IPv4 đóng gói và truyền gói tin đã đƣợc đóng gói.
Node kết thúc của quá trình đƣờng hầm (điểm mở gói) nhận đƣợc gói tin đóng gói, xóa bỏ phần tiêu đề IPv4, sửa đổi một số trƣờng của tiêu đề IPv6 và xử lý phần dữ liệu này nhƣ một gói tin IPv6.
Node đóng gói cần duy trì các thông tin về trạng thái của mỗi quá trình trong đƣờng hầm. Ví dụ các tham số MTU để xử lý các gói tin IPv6 bắt đầu thực hiện đƣờng hầm. Vì số lƣợng các tiến trình trong đƣờng hầm có thể tăng lên một số lƣợng khá lớn, trong khi đó các thông tin này thƣờng lặp lại và do đó có thể sử dụng kĩ thuật đệm và đƣợc loại bỏ khi cần thiết.
Ipv4
Hình 5.5: Cơ chế đóng gói thực hiện đường hầm
Hình 5.6: Cơ chế mở gói khi thực hiện đường hầm
a. Đường hầm có cấu hình (Configured tunnel)
Đặc điểm của đƣờng hầm có cấu hình là địa chỉ điểm cuối đƣờng hầm không đƣợc xác định tự động mà dựa trên những thông tin cấu hình trƣớc tại điểm đầu đƣờng hầm.
Hình 5.7: Đường hầm có cấu hình.
b. Đường hầm tự động (Automatic tunnel)
Đặc điểm của đƣờng hầm tự động là địa chỉ điểm cuối đƣờng hầm đƣợc xác định một cách tự động. Đƣờng hầm đƣợc tạo ra một cách tự động và cũng tự động mất đi. Mô hình đầu tiên là dùng địa chỉ IPv6 có khuôn dạng đặc biệt: địa chỉ IPv6 tƣơng thích IPv4 để mã hóa thông tin về địa chỉ IPv4 trong địa chỉ IPv6.
Tại điểm đầu đƣờng hầm, nút mạng đóng gói sẽ tách phần địa chỉ IPv4 làm địa chỉ điểm cuối đƣờng hầm để đóng gói gói tin.
Ƣu điểm:
Đƣờng hầm tự động đơn giản, cho phép hai nút mạng IPv6 dễ dàng kết nối với nhau qua kết nối IPv4 hiện có mà không cần các cấu hình đặc biệt. (adsbygoogle = window.adsbygoogle || []).push({});
Nhƣợc điểm:
Hạn chế về không gian địa chỉ do phụ thuộc vào không gian địa chỉ IPv4. Nguy cơ bị tấn công phá hoại bởi các tin tặc.
Do địa chỉ cuối đƣờng hầm đƣợc xác định hoàn toàn tự động và gói tin đƣờng hầm sẽ đƣợc giử đến địa chỉ IPv4 đó. Nếu không có cơ chế kiểm
3ff:b00:a:1::1 Src=3ffe:b00:a:1::1 192.168.1.1 192.168.2.1 IPv4 IPv6 IPv4 IPv6 IPv6 Header Data IPv6 IPv6 Header data IPv4 IPv6 IPv6
Header header data
3ffe:b00:a::3:
Dst=3ffe:b00:a:3::2 Dst=192.168.2.1
tra đặc biệt, giả sử có một gói tin đƣợc gửi đến Router của mạng (203.162.7.0) với địa chỉ IPv6 đích ::203.162.7.255. Địa chỉ IPv4: 203.162.7.255 là địa chỉ broadcast của mạng, do đó các gói tin đƣờng hầm sẽ đƣợc gửi tới mọi trạm trong mạng.
Do đó, các đƣờng hầm tự động thƣờng đƣợc han chế sử dụng. Sau này ngƣời ta đề xuất một số phƣơng pháp cải tiến nhƣ 6over, 6to4…
3. 6to4
6to4 về bản chất là một cơ chế đƣờng hầm tự động cho phép kết nối các mạng IPv6 với nhau thông qua hạ tầng IPv4 ngăn cách. Cơ chế này đƣợc cài đặt tại các router ở biên của mạng. Router đứng giữa mạng IPv4 và IPv6 thực hiện 6to4 tunneling đƣợc gọi là “router biên”. Địa chỉ IPv6 sử dụng trong các mạng 6to4 có cấu trúc đặc biệt và đƣợc cấp phát riêng một lớp địa chỉ có tiền tố FP=001 và giá trị trƣờng TLA=0x0002 tạo thành tiền tố địa chỉ 2002::/16
Hình 5.8:Mô hình 6to4.
Địa chỉ 6to4 có prefix là 2002::/16, kết hợp với 32 bit của một địa chỉ IPv4 sẽ tạo nên một địa chỉ 6to4 có prefix /48 duy nhất toàn cầu đƣợc sử dụng cho mạng IPv6. Prefix /48 của địa chỉ IPv6 trong mạng 6to4 tƣơng ứng với một địa chỉ IPv4 toàn cầu đƣợc cấu tạo theo nguyên tắc sau :
FP 001
TLA
2002 IPv4 SLA ID Interface ID
Ví dụ trênRouter biên có địa chỉ kết nối mạng IPv4 là 192.168.99.1 thì địa chỉ IPv6 tƣơng ứng của nó sẽ là 2002:c0a8:6301::/48. Bởi vì c0a86301 chính là 32 bit phần địa chỉ 192.168.99.1 viết dƣới dạng hexa.
Cơ chế hoạt động:
Khi có một gói tin IPv6 với địa chỉ đích có dạng 2002::/16 đƣợc gửi đến một router 6to4, router 6to4 tách địa chỉ IPv4 (địa chỉ Ipv4 vừa tách đƣợc chính là địa chỉ IPv4 của 6to4 router đích), bọc gói tin IPv6 trong gói tin IPv4 với địa chỉ đích là địa chỉ IPv4 vừa tách đƣợc. Sau đó, các gói tin sẽ đƣợc chuyển tiếp trên hạ tầng IPv4. Khi router 6to4 đích nhận đƣợc gói tin, gói tin IPv6 sẽ đƣợc tách ra và chuyển đến nút mạng IPv6 đích.
Ƣu điểm:
Các nút mạng không bắt buộc phải dùng địa chỉ IPv6 kiểu tƣơng thích IPv4 nhƣ đƣờng hầm tự động.
Không cần nhiều cấu hình đặc biệt nhƣ đƣờng hầm có cấu hình.
Không bị ảnh hƣởng bởi các hệ thống tƣờng lửa của mạng, chỉ cần routercủa mạng có địa chỉ IPv4 toàn cục có thể định tuyến.
Nhƣợc điểm:
Chỉ thực hiện với một lớp địa chỉ mạng đặc biệt.
Có nguy cơ bị tấn công theo kiểu của đƣờng hầm tự động nếu phần địa chỉ IPv4 trong địa chỉ đích của gói tin 6to4 là địa chỉ broadcast hay multicast.
4. Môi giới đường hầm (Tunnel Broker)
Hiện nay, mạng IPv6 sử dụng rất nhiều đƣờng hầm trên hạ tầng IPv4. Tunnel Broker đƣợc đƣa ra để giảm nhẹ chi phí cấu hình và duy trì các đƣờng hầm này.
Cơ chế này sử dụng một tập các server chuyên dụng gọi là Tunnel Broker để cấu hinh và duy trì các đƣờng hầm. Chúng có thể xem nhƣ các ISP IPv6 ảo cho các ngƣời dùng đã kết nối vào Internet IPv4. Cơ chế này phù hợp cho các trạm (hoặc site) IPv6 nhỏ cô lập muốn kết nối dễ dàng vào mạng IPv6.
Một server tunnel broker. Một DNS server. (adsbygoogle = window.adsbygoogle || []).push({});
Một số các server đƣờng hầm.
Hình 5.10: Mô hình của Tunnel Broker
Cách thức thực hiện:
Các khách hàng của dịch vụ Tunnel broker là các nút mạng IPv6 ( Node Dual stack) đã kết nối vào Internet IPv4.Trƣớc khi thiết lập đƣờng hầm, cần có sự trao đổi thông tin giữa Tunnel broker với khách hàng nhƣ xác thực, quản lý và thông tin tài khoản.
Khách hàng kết nối tới Tunnel broker để đăng kí và kích hoạt các đƣờng hầm.
Tunnel broker chọn một server đƣờng hầm làm điểm cuối đƣờng hầm thực sự,chọn tiền tố cấp phát cho khách hàng (từ 0 đến 128) và cố định thời gian tồn tại của đƣờng hầm.
Tunnel broker cấu hình đƣờng hầm phía server và thông báo các thông tin liên quan cho khách hàng.
Sau đó, khách hàng có thể kết nối vào mạng IPv6 thông qua cơ chế đƣờng hầm nhƣ bình thƣờng.
Ƣu điểm:
5. Dịch địa chỉ- Dịch giao thức (NAT- PT)
Dịch địa chỉ và dịch giao thức đƣợc phát triển trên cơ sở cơ chế NAT trong IPv4 nhằm cho phép các nút mạng IPv4 và IPv6 kết nối với nhau. Cơ chế này hoạt động trên cơ sở chuyển đổi các khác biệt giữa các gói tin IPv4 và IPv6.
Khác biệt về địa chỉ: Dịch địa chỉ IPv4 - IPv6.
Khác biệt về phần mở đầu header: Dịch giao thức thay đổi header gói tin.
Thiết bị NAT- PT đƣợc cài đặt tại biên giới giữa mạng IPv4 với Ipv6. Router sẽ dịch (chuyển đổi) địa chỉ IPv4 <-> IPv6 để các máy tính/thiết bị sử dụng loại IP khác nhau có thể liên lạc với nhau.
Ƣu điểm:
Không đòi hỏi các cấu hình đặc biệt tai các máy trạm, quản trị tập trung tại thiết bị NAT- PT.
Có thể triển khai nhiều thiết bị NAT- PT để tăng hiệu năng hoạt động.
Chƣơng VI : CÀI ĐẶT IPv6 TRÊN WINDOWS SERVER 2008 I. Dịch vụ DNS & DHCP
a. Chuẩn bị :Bài lab bao gồm 2 máy:
Máy Server: Windows Server 2008.
Máy Client: Windows Server 2008 hoặc Windows 7
b. Cấu hình
Tại Máy Server
Bƣớc 1 : Cài đặt DNS và cấu hình DNS Server role
Bƣớc 2.1:Cấu hình TCP/IPv6
Tại máy Server ,log on Administrator, vào Start\Settings chọn Network Connections
Trong cửa sổ Network Connections, chuột phải Local Area Connection
chọn Properties
Hộp thoại Local Area Connection Properties, bỏ dấu chọn Internet Protocol Version 4 (TCP/IPv4), chọn Internet Protocol Version 6 (TCP/IPv6), chọn
Trong cửa sổ Internet Protocol Version 6 (TCP/IPv6) Properties, nhập thông số TCP/IP nhƣ sau: (adsbygoogle = window.adsbygoogle || []).push({});
IPv6 address: fc00:192:168:1::100,Subnet prefix length: 64
Preferred DNS server: fc00:192:168:1::100
Mở Windows Firewall từ Control Panel, chọn Change settings
Trong hộp thoại Windows Firewall Settings, chọn Off, chọnOK.
Trong hộp thoại System Properties, vào tab Computer Name, chọn Change
Hộp thoại DNS Suffix and NetBIOS Computer Name, nhập spkt.net vào ô Primary DNS suffix of this computer, chọn OK 3 lần
Trong hộp thoại System Properties, chọn Close
Hộp thoại yêu cầu restart máy, chọn Restart Now
Sau khi khởi động máy thành công, log on Administrator, mở command line, gõ lệnh ipconfig /all, kiểm tra thông tin nhƣ trong hình bên dƣới.
Bƣớc 2.2:Cài đặt DNS Server role
Hộp thoại Before You Begin, chọn Next
Hộp thoại thông báo chọn Install DNS Server anyway (not recommended)
Hộp thoại Confirm Installation Selections, chọn Install
Bƣớc 2.3:Cấu hình DNS Server
Tại máy Server,sau khi cài đặt DNS thành công, mở DNS Manager từ
Administrative Tools
Trong cửa sổ DNS Manager,bung PC01, chuột phải Forward Lookup Zones,chọn
New Zone
Trong hộp thoại Zone Type, chọn Primary zone, chọn Next
Hộp thoại Zone File, chọn Next
Trong hộp thoại Dynamic Update, chọn Allow both nonsecure and secure dynamic
Hộp thoại Completing the New Zone Wizard, chọn Finish
Trong cửa sổ DNS Manager, kiểm tra tạo thành công zone spkt.net, trong zone
spkt.net có IPv6 Host record PC01
Hộp thoại Welcome to the New Zone Wizard, chọn Next
Trong hộp thoại Reverse Lookup Zone Name, chọn IPv6 Reverse Lookup Zone,
chọn Next
Hộp thoại Zone File, nhập spktnet.dns vào ô Create a new file with this file name, chọn Next
Trong hộp thoại Dynamic Update, chọn Allow both nonsecure and secure dynamic updates, chọn Next
Hộp thoại Completing the New Zone Wizard, chọn Finish (adsbygoogle = window.adsbygoogle || []).push({});
Trong cửa sổ DNS Manager, kiểm tra tạo thành công Reverse Lookup Zone
Mở DNS Manager, vào zone 1.0.0.0.8.6.1.0.2.9.1.0.d.c.b.a.ip6.arpa, kiểm tra có
Pointer record nhƣ trong hình bên dƣới
Mở Command Line, gõ lệnh dnscmd /config /enableIPv6 1
Bƣớc 2 : Cài đặt DHCP Server và Cấu hình DHCP Scope
Tại máy Server, mở Server Manager từ Administrative Tools, chuột phải Roles
Hộp thoại Before You Begin, chọn Next
Hộp thoại thông báo chọn Install DHCP Server anyway (not recommended)
Hộp thoại Specify IPv4 DNS Server Settings, chọn Next
Hộp thoại Specify IPv4 WINS Server Settings, chọn WINS is not required for applications on the network, chọn Next
Hộp thoại Add or Edit DHCP Scopes, chọn Next
Trong hộp thoại Configure DHCPv6 Stateless Mode,chọn Enable DHCPv6 stateless mode for this server, chọn Next
Trong hộp thoại Specify IPv6 DNS Server Settings, nhập spkt.net vào ô Parent Domain, nhập fc00:192:168:1::100 vào ô Preferred DNS Server IPv6 Address,
chọn Next
Hộp thoại Installation Results, chọn Close
Cấu Hình DHCP Scope
Mở DHCP từ Administrative Tools.Trong cửa sổ DHCP, bung pc01.spkt.net,
Hộp thoại Welcome to the New Scope Wizard, chọn Next
Trong hộp thoại Scope Prefix nhập fc00:192:168:1:: vào ô Prefix, chọn Next
Hộp thoại Scope Lease, chọn Next
Trong cửa sổ DHCP, bung IPv6, chuột phải Scope[fc00:192:168:1::] chọn
Properties
Trong hộp thoại Scope[abcd:192:168:1::] Scope Properties, qua tab DNS, chọn
Bƣớc 3 : Tại Máy Client
Log on Administrator, vào Start\Setting chọn Network Connections
Trong cửa sổ Network Connection, chuột phải Local Area Connection, chọn
Properties
Trong hộp thoại Local Area Connection Properties, bỏ dấu chọn Internet Protocol Version 4 (TCP/IPv4), đánh dấu chọn Internet Protocol Version 6 (TCP/IPv6), chọn Properties
Trong hộp thoại Internet Protocol Version 6 (TCP/IPv6) Properties, chọn
Obtain an IPv6 address automatically và Obtain DNS server address automatically, chọn OK 2 lần (adsbygoogle = window.adsbygoogle || []).push({});
Mở Command Line, gõ lệnh sau:
netsh interface ipv6 set interface "Local Area Connection"
managedaddress=enable otherstateful=enable routerdiscovery=dhcp
Mở System từ Control Panel, chọn Change settings.Trong hộp thoại System Properties, chọn Change
Hộp thoại Computer Name/Domain Changes, chọn More
Trong hộp thoại DNS Suffix and NetbIOS Computer Name, nhập spkt.net vào ô
Primary DNS suffix of this computer, chọn OK 3 lần
Client khởi động xong, mở cửa sổ Command Line, gõ lệnh ipconfig /all .Kiểm tra máy Client nhận đƣợc thông số TCP/IP từ máy Server cung cấp
Tại máy Server, mở DNS Manager, bung PC01\Forward Lookup Zones, kiểm tra trong zone spkt.netđã có host record của máy Client
Bung PC01\Reverse Lookup Zones, kiểm tra trong zone spkt.net đã có
II. Dịch vụ VPN ( Client to Gateway) a. Chuẩn bị :Bài lab bao gồm 3 máy: a. Chuẩn bị :Bài lab bao gồm 3 máy:
Máy VPN Server (PC01): Windows Server 2008 .
Máy VPN Client(PC02): Windows Server 2008 hoặc Windows 7
Máy Client (PC03): Windows Server 2008 hoặc Windows 7
Tắt Firewall trên 3 máy
Mô hình