3.6. Hệ thống tên miền (DNS)[1],[7]
Các bản ghi AAAA
Trong IPv4, một bản ghi tài nguyên A ánh xạ tên của một host sang một địa chỉ IPv4. Tương tự như vậy, một bản ghi tài nguyên AAAA ánh xạ tên một host sang một địa chỉ IPv6. Bảng 3-5 trình bày hai ví dụ về hai bản ghi nguồn tài nguyên khác nhau sử dụng cùng tên miền đầy đủ tiêu chuẩn (FQDN).
Bảng 3-5. Các bản ghi tài nguyên DNS cho IPv4 và IPv6
Giao thức Bản ghi Ánh xạ DNS
IPv4 A www.example.org A 206.123.31.200
IPv6 AAAA www.example.org AAAA 2001:410:1:1:250:3EFF:FEE4:1
Bản ghi AAAA đã có sẵn từ phiên bản 4.9.4 của phần mềm ISC Berkeley Internet Name Domain (BIND). BIND là phần mềm DNS server được sử dụng bởi hầu hết các DNS root server operators; các tên miền mức cao nhất (gTLDs) như .com, .net, .org; và các miền mức cao mã quốc gia (ccTLDs).
Với một DNS server mà có hỗ trợ IPv6, có thể cấu hình tên các host tĩnh cho các địa chỉ IPv6 sử dụng lệnh ipv6 host trên các router của Cisco. Bảng 3-6 trình bày các ví dụ của lệnh ipv6 host.
Bảng 3-6. Lệnh ipv6 host
Lệnh Miêu tả
Router(config)#ipv6 host name [port] ipv6- address1 [ipv6-address2 ...]
Định nghĩa một ánh xạ tĩnh từ tên host sang một địa chỉ IPv6.
Example
RouterA(config)#ipv6 host RouterA 2001:410:0:1:250:3EFF:FEE4:4C00
Gán địa chỉ IPv6
2001:410:0:1:250:3EFF:FEE4:4C00 cho host có tên RouterA.
Example
RouterA(config)#ipv6 host RouterB FEC0::1:0:0:1:1
Gán địa chỉ IPv6 FEC0::1:0:0:1:1 cho host có tên RouterB.
Sự phân giải DNS sử dụng phần mềm IOS chấp nhận một địa chỉ IPv6 hoặc
một địa chỉ IPv4 như một tên server. Bằng việc sử dụng lệnh ip name-server, như
trình bày trong bảng 4-7, chúng ta có thể chỉ ra một địa chỉ IPv6 của DNS server. Vì vậy, router địi hỏi tên server này sử dụng IPv6 như là sự vận chuyển cho việc phân giải tên.
Bảng 3-7. Lệnh ip name-server
Lệnh Miêu tả
Router(config)# ip name- server ipv6-address
Cấu hình địa chỉ IP của một DNS server mà router có thể query. Địa chỉ có thể là IPv4 hoặc IPv6. Nó có thể chấp nhận tới 6 tên server khác nhau.
Example
RouterA(config)# ip name- server FEC0::1:0:0:1ff:10
Cấu hình router query tên server mà có thể được liên lạc sử dụng địa chỉ IPv6 FEC0::1:0:0:1ff:10 để phân giải tên.
Trong khi phân giải bất kỳ giá trị tên host nào, router đòi hỏi tất cả tên server được chỉ ra trong sự cố gắng chuyển tên sang một địa chỉ IPv6. Nếu bản ghi AAAA (địa chỉ IPv6) không được tìm thấy, router yêu cầu cùng tên server đó chuyển tên thành một bản ghi A (một địa chỉ IPv4). Vì vậy, nếu cùng một FQDN được ghi trong một file miền sử dụng cả các bản ghi A và AAAA, router luôn luôn chuyển địa chỉ IPv6 trước và liên lạc sử dụng IPv6.
Bản ghi tài nguyên PTR cho IPv6
Để chuyển đổi ngược địa chỉ IPv6 (ánh xạ từ một địa chỉ IPv6 sang tên host), bản ghi con trỏ (PTR) được sử dụng, như trong IPv4. Tuy nhiên, như được định nghĩa trong RFC 3152, một miền top-level đặc biệt (TLD) gọi là ipv6.arpa được định nghĩa. Trong những ngày đầu của giao thức IPv6, TLD là ipv6.int. Mặc dù TLD này vẫn được sử dụng, nó đang bị phản đối.
Bản ghi PTR được miêu tả sử dụng một chuỗi các nibble được phân tách nhau bởi các dấu chấm với một hậu tố ipv6.arpa. Chuỗi nibble được mã hóa theo thứ tự ngược: Nibble theo thứ tự thấp được mã hóa trước, tiếp đến là các nibble tiếp theo…Mỗi nibbe được miêu tả bằng một giá trị trong hệ 16.
Đây là một ví dụ của bản ghi PTR được tạo ra từ các địa chỉ IPv6 đầy đủ: Địa chỉ IPv6 = 2001:0410:0000:1234:FB00:1400:5000:45FF
PTR = f.f.5.4.0.0.0.5.0.0.4.1.0.0.b.f.4.3.2.1.0.0.0.0.0.1.4.0.1.0.0.2.ip6.arpa Đây là một ví dụ của bản ghi PTR trong file DNS zone:
f.f.5.4.0.0.0.5.0.0.4.1.0.0.b.f.4.3.2.1.0.0.0.0.0.1.4.0.1.0.0.2.ip6.arpa. IN PTR www.example.org
3.7. Các công cụ hỗ trợ IPv6 trong phần mềm IOS của Cisco[1],[7]
Lệnh Ping
Lệnh Ping trong IPv6 cho phép gửi các gói tin ICMPv6 echo request tới một node đích. Với mỗi bản tin ICMPv6 nhận được đích sẽ trả lời sử dụng bản tin ICMPv6
echo reply. Sự xuất hiện của một bản tin ICMPv6 echo reply có thể cho biết một vấn đề giữa node gửi và node nhận.
Lệnh này chấp nhận một địa chỉ đích hoặc một tên host. Tuy nhiên, địa chỉ family IPv6 phải được chỉ rõ. Ví dụ 3-5 trình bày việc sử dụng lệnh ping ipv6 với một địa chỉ đích IPv6.
Ví dụ 3-5. Lệnh ping ipv6 gửi các gói tin ICMPv6 Echo Request tới đích
Lệnh Traceroute
Lệnh traceroute trong IPv6 cho phép bám theo một tuyến để đạt đến một
node đích IPv6. Lệnh này hiển thị danh sách các router trung gian cho tới đích cuối cùng.
Lệnh này cũng có thể sử dụng một địa chỉ đích hoặc tên host. Tuy nhiên, địa chỉ family IPv6 phải được chỉ rõ. Ví dụ 3-6 trình bày lệnh traceroute với một địa chỉ đích IPv6.
Ví dụ 3-6. Lệnh traceroute ipv6 bám theo tuyến tới một đích IPv6
Lệnh Telnet
Ứng dụng telnet chủ yếu được sử dụng để kết nối tới một hệ thống mà có thể đến được từ xa trên một mạng IP. Theo mặc định, Telnet server được cho phép trên các router cisco.
Các Telnet client và server đều được hỗ trợ trên router. Vì vậy, có thể thiết lập một phiên telnet tới một router sử dụng địa chỉ IPv6 của nó. Lệnh telnet chấp nhận một
địa chỉ đích hoặc một cái tên. Tuy nhiên, khi tên host được sử dụng, địa chỉ IPv6 được thử đầu tiên, và sau đó là địa chỉ IPv4, để tạo kết nối. Ví dụ 3-7 trình bày router A sử dụng telnet để đạt đến router khác bằng địa chỉ IPv6 của nó.
Ví dụ 3-7. Telnet tới một router sử dụng địa chỉ IPv6 của nó
Secure Shell (SSH)
SSH có thể được sử dụng thay cho Telnet để truy cập nhập vào một hệ thống ở xa bằng mạng IP. Với Telnet, những người dùng ác ý có thể phát hiện ra sự đăng nhập, mật khẩu, và toàn bộ nội dung của phiên trên mạng. SSH cung cấp sự xác thực an toàn cho các phiên.
SSH có sẵn trên các phần mềm IOS của cisco cho cả IPv4 và IPv6 với phần mềm mã hóa 3DES.
SSH client
Giống như Telnet, lệnh ssh chấp nhận một địa chỉ đích IPv6 hoặc tên host.
Cấu trúc cũng giống như trong IPv4. Tuy nhiên, khi tên host được sử dụng, địa chỉ IPv6 được thử đầu tiên, và sau đó là địa chỉ IPv4, để tạo kết nối. Dưới đây là cấu trúc lệnh:
SSH server
Các lệnh cho SSH server trên phần mềm IOS đã được mở rộng để hỗ trợ IPv6. SSH server được hỗ trợ trên các mặt phẳng sử dụng phần mềm IOS với mã hóa
3DES. Lệnh ip ssh {[timeout seconds] | [authentication-retries integer]} cấu hình
các biến điều khiển SSH trên router.
Lệnh show ip ssh hiển thị phiên bản và cấu hình của SSH server. Show ssh
trình bày trạng thái của các kết nối trên SSH server. TFTP
Chúng ta có thể download và upload các file giữa router và một TFTP server
trên IPv6. Lệnh tftp chấp nhận một địa chỉ đích IPv6 hoặc một tên host. Tuy nhiên,
khi tên host được sử dụng, địa chỉ IPv6 được kiểm tra trước, và sau đó là địa chỉ IPv4, để tạo kết nối.
Ví dụ 3-8 trình bày một ví dụ về router sử dụng tftp với một địa chỉ IPv6 để copy cấu hình tới TFTP server 2001:410:0:1::10.
Ví dụ 3-8. TFTP tới một TFTP server sử dụng một địa chỉ IPv6
Cho phép HTTP server trên IPv6
Lệnh ip http server được cập nhật để chấp nhận cả địa chỉ IPv4 và IPv6 trên router. Tuy nhiên, khi HTTP server được cho phép, cho cả IPv4 và IPv6, bởi vì phần mềm IOS của Cisco với IPv6 khơng cung cấp cấu hình của một giao thức đơn.
Khi cho phép HTTP server sử dụng ip http server, để hạn chế truy nhập vào router nên định nghĩa một ACL.
3.8. Giao thức cấu hình Host động cho IPv6 (DHCPv6)[1],[7]
Giao thức cấu hình Host động (DHCP) đã được nâng cấp để hỗ trợ cho IPv6. DHCPv6 có thể cung cấp sự cấu hình theo kiểu stateful cho các host IPv6. DHCPv6 sử dụng kiến trúc địa chỉ và các tính năng mới của IPv6 là:
Nó cho phép điều khiển các node tốt hơn so với cấu hình theo kiểu stateless.
Nó có thể được sử dụng đồng thời trên các mạng nơi mà sự cấu hình theo kiểu
sateless có thể sử dụng.
Nó có thể cung cấp các địa chỉ IPv6 cho các host khi khơng có các router trên
mạng.
Nó có thể được sử dụng để đánh lại số mạng.
Nó có thể sử dụng các tiền tố đại diện /48 hoặc /64 cho các thiết bị tiền khách
hàng (CPE), như home gateway.
Quá trình cấu hình một host bởi DHCPv6 cũng tương tự như trong IPv4, nhưng có một vài điểm mới. Ví dụ, host IPv6 đầu tiên phát hiện sự có mặt của các router trên link-local. Một trong hai tình huống sau sẽ xảy ra:
Nếu một router IPv6 được tìm thấy, host kiểm tra các bản tin quảng bá của
router để xác định xem DHCPv6 (cấu hình theo kiểu stateful) có được sử dụng hay khơng:
- Nếu DHCPv6 có thể được sử dụng, host IPv6 (một node mà chỉ hỗ trợ
DHCPv6 client) gửi một bản tin DHCPv6 solicit tới địa chỉ multicast của tất cả các DHCPv6-agents (FF02::1:2) trên link-local sử dụng địa chỉ link-local của nó (FE80::/10) làm địa chỉ nguồn.
- Nếu DHCPv6 không thể sử dụng, host IPv6 sử dụng cấu hình theo kiểu
stateless để tự cấu hình địa chỉ IPv6 của mình sử dụng tiền tố được quảng bá trong bản tin quảng bá của router.
Nếu link-local khơng có router IPv6, host IPv6 gửi một bản tin DHCP solicit tới địa chỉ multicast của tất cả DHCP-agents (FF02::1:2) trên link sử dụng địa chỉ link- local của nó (FE80::/10) làm địa chỉ nguồn.
3.9. Bảo mật trong IPv6[1],[7]
Bảo mật trong giao thức IPv6 dựa trên giao thức IPSec. IPSec có sẵn trong cả IPv4 lẫn IPv6. Như miêu tả trong RFC 2460, sự triển khai đầy đủ của IPv6 bao gồm cả các tiêu đề xác thực (AH) và các tiêu đề mở rộng cho sự đóng gói bảo mật tải tin (ESP). Thực hiện IPSec trên bất kỳ node IPv6 nào cần cho phép các phiên bảo mật từ đầu cuối tới đầu cuối.
Với các router hỗ trợ IPv6, IPSec có thể được sử dụng trong các vùng khác nhau:
OSPFv3 – Giao thức OSPF phiên bản 3 sử dụng các tiêu đề AH và ESP như
một cơ chế xác thực thay vì nhiều cơ chế xác thực và các thủ tục được định nghĩa trong OSPFv2.
Mobile IPv6 – Giao thức này là một đề án của IETF được đề xuất sử dụng
IPSec để bắt buộc sự xác thực cập nhật
Tunnels – IPSec tunnel có thể được cấu hình giữa các site (các router IPv6)
thay vì có nhiều host sử dụng IPSec.
Network management – IPSec có thể được sử dụng để đảm bảo router truy
nhập để quản lý mạng.
IPSec được định nghĩa trong hai tiêu đề mở rộng IPv6 mà có thể được gắn lại với nhau trong cùng một gói tin IPv6. Phần này trình bày một cách khái quát về các tiêu đề AH và ESP.
Tiêu đề xác thực IPSec (AH)
Tiêu đề IPSec đầu tiên là tiêu đề xác thực (AH). Nó cung cấp tính tồn vẹn, sự xác thực của node nguồn. IPSec AH bảo vệ sự toàn vẹn của hầu hết các trường trong tiêu đề IPv6, ngoại trừ những gì mà thay đổi trên đường truyền, như trường Hop Limit. Tuy nhiên, IPSec AH xác thực nguồn thơng qua thuật tốn signature-based.
Sự khác biệt chính giữa bảo mật IPv4 và IPv6 là IPSec thì bắt buộc với IPv6. Điều này có nghĩa là tất cả các liên lạc IP đầu cuối tới đầu cuối có thể được bảo mật nếu có đủ cơ sở hạ tầng khóa để làm trên một phạm vi rộng lớn.
Sự đóng gói bảo mật tải tin IPSec (ESP)
Tiêu đề IPSec thứ hai là tiêu đề đóng gói bảo vệ dữ liệu (ESP). Tiêu đề này cung cấp tính bảo mật, sự xác thực của node nguồn, tính tồn vẹn của dữ liệu bên trong.
3.10. IP di động[1],[7]
Giao thức IP di động được thiết kế để cho phép các node mạng duy trì khả năng kết nối IP của chúng với các node ở xa trong khi di chuyển từ điểm này tới điểm khác. Giao thức IP di động hầu hết được thiết kế cho các thiết bị khơng dây, mặc dù nó có thể được sử dụng với bất kỳ cơng nghệ có dây nào.
IPv6 di động
Giao thức IPv6 di động có thiết kế được thay đổi đáng kể so với IPv4 di động:
Foreign agent – IPv6 di động khơng có foreign agent, bởi vì mỗi node IPv6 di
động có thể sử dụng tính chuyển động. Tuy nhiên, một home agent vẫn phải bắt buộc có trong IPv6.
Internet node – Bất kỳ node compliant IPv6 nào được hỗ trợ khả năng di
chuyển. Điều này khơng có trong IPv4, bởi vì hỗ trợ IPv4 di động là một sự bổ sung cho giao thức IPv4.
Registration – UDP trên cổng 434, được sử dụng trong IPv4 để trao đổi các
bản tin giữa các node di động và các agent, được thay thế bởi tiêu đề mở rộng đích trong IPv6.
Packet delivery – Đầu tiên gói tin được chuyển tới node di động bởi home
agent của nó được gửi thơng qua tunnel IPv6-in-IPv6. Nhưng các gói tin đến sau được trao đổi giữa node di động và bất kỳ node Internet nào sử dụng tiêu đề mở rộng định tuyến. Điều này hiệu quả hơn nhiều cho sự trao đổi gói tin giữa di động và các node thích hợp so với việc gửi tất cả gói tin thơng qua một home agent, như trong IPv4.
Kết luận: Giống như IPv4, IPv6 cũng sử dụng các giao thức như ICMP, UDP,
và TCP như là các giao thức lớp cao, tuy nhiên chúng đã được bổ sung để thích hợp với những thay đổi của bản thân IPv6. Ngồi ra, IPv6 cịn sử dụng một số giao thức mới như PMTUD, NDP để phục vụ cho quá trình phát hiện giá trị MTU của đường truyền và tự động cấu hình địa chỉ…
CHƢƠNG 4 : ĐỊNH TUYẾN TRONG MẠNG IPv6
Việc gửi một gói tin IPv6 ra khỏi một mạng con địi hỏi phải có một router. Các router tìm kiếm địa chỉ IPv6 đích của gói tin và tìm kiếm một tiền tố thích hợp trong các bảng định tuyến cục bộ của chúng. Phần đầu tiên của chương sẽ trình bày về bảng định tuyến. Một router cần phải có tất cả các đích thích hợp trong bảng định tuyến của mình. Nhưng bằng cách nào chúng có được điều đó? Khai báo chúng bằng tay trên tất cả các router sẽ rất bất lợi. Chính vì thế mà việc phát triển các giao thức định tuyến là hết sức cần thiết. Các giao thức định tuyến định nghĩa các thủ tục trao đổi để đồng bộ bảng định tuyến giữa các router một cách tự động. Thông tin định tuyến cần được trao đổi hoặc là trong một vùng tự trị (AS) hoặc là giữa các vùng tự trị khác nhau. Một AS được định nghĩa như một tập hợp mạng được quản trị bởi một đơn vị chuyên trách. Các giao thức định tuyến mà trao đổi thông tin trong một AS được gọi là Interior Gateway Protocols (IGP). OSPF cho IPv6, RIPng, IPv6 hỗ trợ trên integrated IS-IS, và EIGRP cho IPv6 thuộc loại này. Các giao thức mà trao đổi thông tin giữa các AS gọi là Exterior Gateway Protocols (EGP). BGP-4 và sự mở rộng của nó cho IPv6 được xem như một giao thức thuộc loại này.
4.1. Bảng định tuyến[7]
Bảng định tuyến có mặt trên tất cả các node chạy giao thức IPv6. Bảng định tuyến lưu giữ thông tin về các tiền tố của mạng IPv6 và bằng cách nào chúng có thể đến được (kết nối trực tiếp hay gián tiếp). Trước khi bảng định tuyến được kiểm tra, nó kiểm tra trong bộ nhớ cache đích xem có hợp với địa chỉ đích của gói tin IPv6 được truyền không. Nếu một entry cho địa chỉ đích khơng có trong cache, bảng định tuyến sẽ được sử dụng để xác định:
Giao diện đƣợc sử dụng để forward (giao diện next hop)
Giao diện này có thể là vật lý hoặc logic được sử dụng để forward gói tin tới đích của nó hoặc tới router kế tiếp.
Địa chỉ next hop
Đối với một liên lạc trực tiếp (trong đó đích nằm trên một link local), địa chỉ