Está en la página 1de 119

BӜ GIÁO DӨC VÀ ĐÀO TҤO

TRƯӠNG ĐҤI HӐC KӺ THUҰT CÔNG NGHӊ TP.HCM


KHOA CÔNG NGHӊ THÔNG TIN

˜˜˜˜˜˜˜˜˜˜˜  ˜˜˜˜˜˜˜˜˜˜˜


ĐӖ ÁN CHUYÊN NGÀNH
› 

Nghiên cӭu IPv6 và thӵc nghiӋm VPN trên IPv6

Sinh viên thӵc hiӋn:


Đӛ Đình Xuân ± MSSV:09b1020121
Phҥm Hҧi Hòa ± MSSV:105102164

THÀNH PHӔ HӖ CHÍ MINH 2010


Xây Dӵng VPN Trên IPv6

LͤI C̪M ƠN
Đ͋ th͹c hi͏n đưͫc đ͉ tài này, chúng em xin chân thành c̫m ơn quý th̯y cô, các b̩n,
gia đình đã t̩o đi͉u ki͏n cho chúng em h͕c t̵p và nghiên cͱu.
Đ̿c bi͏t chúng em c̫m ơn th̯y Nguy͍n Văn Sinh đã nhi͏t tình giúp đͩ hưͣng d̳n
chúng em th͹c hi͏n đ͛ án này.
M̿c dù chúng em đã c͙ g̷ng h͇t sͱc đ͋ nghiên cͱu đ͉ tài, nhưng do thͥi gian có h̩n
không th͋ tránh kh͗i nhͷng thi͇u sót, r̭t mong s͹ đóng góp cͯa quý th̯y cô và các b̩n,
đ͋ có nhͷng ki͇n thͱc hoàn thi͏n hơn.
Cu͙i cùng chúng em xin c̫m ơn, kính chúc quý th̯y cô và các b̩n d͛i dào sͱc kh͗e

GVHD: NguyӉn Văn Sinh -1-


Xây Dӵng VPN Trên IPv6

MӨC LӨC

Lӡi mӣ đҫu................................................................................trang 4

Chương 1: Tәng Quan vӅ IPv6


1. Giӟi thiӋu vӅ IPv6............................................................trang 7
1.1.Giӟi ThiӋu.................................................................... ...trang 7
1.2.Đһc ĐiӇm........................................................................ trang 8
1.2.1Không gian đӏa chӍ lӟn.............................................. trang 8
1.2.2 Đӏa chӍ phân cҩp, hҥ tҫng đӏnh tuyӃn hiӋu quҧ.....................trang 9
1.2.3Khuôn dҥng Header đơn giҧn hóa.............................trang 9
1.2.4Tӵ cҩu hình đӏa chӍ................................................... trang 9
1.2.5Khҧ năng sát thӵc và bҧo vӋ an ninh .......................trang 9
1.2.6Hӛ trӧ tӕt hơn vӅ QoS.............................................trang 9
1.2.7Hӛ trӧ tӕt hơn vӅ tính năng di đӝng.........................trang 9
1.2.8Khҧ năng mӣ rӝng................................................... trang 10
ü. Các cҩu trúc đӏa chӍ IPv6................................................ trang 10
2.1.Đӏa chӍ IPv6.................................................................. trang 10
2.2.Không gian đӏa chӍ........................................................ trang 12
2.3.Cҩp phát đӏa chӍ............................................................ trang 14
2.4.Đӏnh dҥng gói tin.......................................................... trang 21
2.5.Vùng Header mӣ rӝng..................................................... trang 28

Z. Sӵ chuyӇn tiӃp tӯ IPv4 sang IPv6......................................trang Z


3.1.Đһt vҩn đӅ....................................................................... trang 39
3.2.Các phương thӭc chuyӇn đәi ............................................trang 41
3.2.1chӗng giao thӭc......................................................... trang 41
3.2.2 Đưӡng hҫm ipv6 qua ipv4.....................................trang 42

GVHD: NguyӉn Văn Sinh -2-


Xây Dӵng VPN Trên IPv6

3.2.36 over 4.......................................................................trang 45


3.2.46 to 4........................................................................ trang 48
3.3.Mô giӟi đưӡng hҫm....................................................... trang 50
3.4.Dӏch đӏa chӍ - dӏch giao thӭc............................................. trang 52
3.5.Mӝt sӕ cơ chӃ khác.......................................................... trang 54
Chương ü: Tәng quan vӅ VPN................................................ trang 6ü
1. Giӟi ThiӋu vӅ VPN............................................................... trang 6ü
1.1.Giӟi thiӋu.............................................................................trang 62
1.2.Mӝt Sӕ Khái NiӋm.............................................................. trang 62
1.3.Sӵ Phát TriӇn..................................................................... trang 64
1.4.Ưu ĐiӇm/KhuyӃt ĐiӇm........................................................trang 65
ü. Các Dҥng VPN....................................................................... trang 67
2.1.Remote access VPN............................................................ trang 67
2.2.Intranet VPN........................................................................ trang 70
2.3.Extranet VPN..................................................................... trang 72
Z. B o Mt VPN........................................................................ trang 74
3.1.Xác nhұn ngưӡi dùng và quҧn lý truy cұp ...........................trang 74
3.2.Mã hóa dӳ liӋu................................................................. trang 76
3.3.Cơ sӣ hҥ tҫng khóa chung.................................................. trang 80
4. Các Giao Thӭc VPN............................................................ trang ü
4.1.Kӻ thuұt đưӡng hҫm.......................................................... trang 92
4.2.Giao thӭc đưӡng hҫm....................................................... trang 93
4.3.Ipsec................................................................................. trang 94
4.4.L2TP (Layer 2 tuneling Protocal)......................................trang 101
4.5.PPTP ( Point to point tuneling protocal).........................trang 103
Chương Z: Xây Dӵng VPN Trên IPv6.....................................trang 106

1. Ý Tưӣng mô hình bài lab................................................. trang 106

GVHD: NguyӉn Văn Sinh -3-


Xây Dӵng VPN Trên IPv6

ü. Tng bc xây dng và cu hinh...................................trang 107


2.1.Phҫn mӅm và thiӃt bӏ.......................................................... trang 107
2.2.Mô tҧ mô hình mҥng..........................................................trang 107
2.3.Tӯng bưӟc cҩu hình...........................................................trang 107
2.4.KӃt quҧ......................................................................... ......trang 110
Chương 4: KӃt Luұn và Hưӟng Phát triӇn..........................................
1. KӃt luұn................................................................................................
ü. Hưӟng phát triӇn ...............................................................................

GVHD: NguyӉn Văn Sinh -4-


MӢ ĐҪU

1. Giӟi thiӋu

Ngày này, máy tính không đơn thҫn là công cө làm viӋc cӫa mӑi ngưӡi, nó
còn là thiӃt bӏ lưu trӳ dӳ liӋu, truyӅn tҧi thông tin...góp phҫn không nhӓ vào công
viêc, hӑc tұp, nghiên cӭu và các lĩnh kinh doanh, sҧn xuҩt....phát triӇn. Do đó lӧi ích
cӫa công nghӋ thông đӕi vӟi xã hӝi là không nhӓ.

Vì vұy xã hӝi càng phát triӇn thì nhu cҫu vӅ khoa hoc công nghӋ càng cao vì lý
do đó sӵ bùng nә vӅ công nghӋ thông tin là tҩt yӃu, giá trӏ cӫa nó là rҩt lӟn góp
phҫn thúc đҭy mӑi lĩnh vӵc phát triӇn, làm cho con ngưӡi có thông tin kiӃn thӭc
nhanh hơn, mӑi ngưӡi gҫn nhau hơn. Các chuyên gia vӅ công nghӋ thông tin đã
không ngӯng nghiên cӭu nhҵm đưa ra nhӳng sҧn phҭm, dӏch vө ngày càng tӕt hơn,
trong đó phҧi kӇ đӃn mҥng máy tính, không thӇ thiӃu vӟi mӛi co n ngưӡi đһc biӋt
vӟi các công ty và doanh nghiӋp lӟn.

ü. Đһt vҩn đӅ

Như đã nói internet là nhu cҫu không thӇ thiӃu đӛi vӟi mӛi ngưӡi trong thӡi đҥi
hiӋn nay, nó không chӍ là nguӗn cung cҩp thông tin, quҧn cáo, ... nó còn kӃt nӕi các
công ty và doanh nghiӋp vӟi nhau đһc biӋt là vӟi nhӳng công ty nhiӅu chi nhánh
hay công ty đa quӕc gia thì viӋc sӱ dөng internet giúp cho dӳ liӋu đưӧc thông suӕt
các chi nhánh có thӇ làm viӋc thӕng nhҩt đӗng bӝ, có rҩt nhiӅu giҧi pháp làm đưӧc
điӅu này, nhưng trong đӅ tài này tôi chӍ nói đӃn là giҧi pháp VPN (vitual protacal
network).

Sӵ bùng nә vӅ công nghӋ thông tin cũng góp phҫn làm cho nguӗn tài nguyên đӏa chӍ
IPv4 đang dҫn cҥn kiӋt, đӇ khҳc phөc khó khăn này và đáp ӭng nhu cҫu xã hӝi thì
IPv6 đã ra đӡi, sӵ ra đӡi cӫa IPv6 vӟi không gian đӏa chӍ gҫn như vô hҥn và nhӳng
tính năng vưӧt trӝi so vӟi IPv4, nhưng trên thӵc tӃ IPv6 chưa thӇ thay thӃ hoàn toàn
Xây Dӵng VPN Trên IPv6

IPv4 cҫn có nhӳng giҧi pháp đӇ đӗng bӝ IPv6 và IPv4 vӟi nhau trong giӡ gian
chuyӇn giao công nghӋ. Trong đӇ tài này Tôi sӁ nói vӅ IPv6, VPN và giҧi phát VPN
trên IPv6 trong môi trưӡng mҥng internet vүn còn IPv4.

Z. NhiӋm vө đӅ tài


Nghiên cӭu vӅ IPv6 và xây dӵng VPN trên IPv6
4. Cҩu trúc đӅ tài
Ê͛m 3 chương:
Chương 1: Tәng quan vӅ IPV6
Chương ü: Tәng quan vӅ VPN
Chương Z: Thӱ nghiӋm và ӭng dөng VPN trên IPV6
Chương 4: kӃt luұn và hưӟng phát triӇn


GVHD: NguyӉn Văn Sinh -6-


Xây Dӵng VPN Trên IPv6

Chương 1 TӘNG QUAN Vӄ IPV6

1. Giӟi thiӋu ipv6


1.1.Giӟi thiӋu
Phiên bҧn IPv6 là mӝt phiên bҧn mӟi cӫa Internet. Nó đưӧc xây dӵng trên cơ sӣ
cӫa giao thӭc IPv4 nhҵm tұn dөng các ưu điӇm và khҳc phөc hҥn chӃ cӫa IPv4.
Thay đәi cӫa IPv6 chӫ yӃu sau:

Mӣ rӝng không gia dia chi IPv6 có đӏa chӍ nguӗn và đích dài 128 bít, không
gian đӏa chӍ lӟn cӫa IPv6 đưӧc thӃt kӃ dӵ phòng đӫ lӟn cho phép phân bә đӏa chӍ và
mҥng con tӯ trөc xương sӕng Internet đӃn tӯng mҥng con trong mӝt tә chӭc. Tính
biӃn đәi đưӧc lӝ trình nhiӅu sҳc thái đưӧc cҧi thiӋn gҫn thêm mӝt phҥm vi giҧi
quyӃt tӟi nhӳng đӏa chӍ nhiӅu sҳc thái.

Sӵ đơn giҧn hoa khuôn dҥng đҫu mөc (Header): Header cӫa IPv6 đưӧc thiӃt
kӃ đӇ giҧm chi phí đӃn mӭc tӕi thiӇu. ĐiӅu này đҥt đưӧc bҵng cách chuyӇn các
trưӡng không quan trӑng và các trưӡng lӵa chӑn sang các header mӣ rӝng đưӧc đһt
phía sau cӫa IPv6 header. Khuôn dҥng header mӟi cӫa IPv6 tҥo ra sӵ xӱ lý hiӋu quҧ
hơn tҥi các ruoter.

TiӃn bӝ hӛ trӧ cho nhӳng mӣ rӝng và nhӳng tuǤ chӑn: Thay đәi trong cách
mà nhӳng tuǤ chӑn đҫu mөc IP đưӧc mã hoá kӇ cҧ hiӋu quҧ hơn đҭy tӟi ít hơn
nhӳng giӟi hҥn vӅ khó khăn trên nhӳng tuǤ chӑn mӟi trong tương lai.

Khҧ năng ghi nhãn luӗng: Mӝt khҧ năng mӟi đưӧc thêm đӇ cho phép sӵ ghi
nhãn cӫa nhӳng gói thuӝc vӅ tӟi giao thông ³chҧy´ đһc biӋt cho ngưӡi gӱi nào

GVHD: NguyӉn Văn Sinh -7-


Xây Dӵng VPN Trên IPv6

nhӳng yêu cҫu đһc biӃt điӅu khiӇn, như không mһc đӏnh chҩt lưӧng cӫa dӏch vө
hoһc h thӡi gian thӵc h dӏch vө.

Nhӳng khҧ năng chӭng thӵ và riêng tư: Nhӳng mӣ rӝng đӇ chӭng thӵc sӵ toàn
vҽn dӳ liӋu đưӧc chӍ rõ cho IPv6

1.ü.Đһc điӇm
Trong IPv6 giao thӭc Internet đưӧc cҧi tiӃn mӝt cách rӝng lӟn đӇ thích nghi
đưӧc sӵ phát triӇn không biӃt trưӟc đưӧc cӫa Internet. Đӏnh dҥng và đӝ dài cӫa
nhӳng đӏa chӍ IP cũng đưӧc thay đәi vӟi nhӳng gói đӏnh dҥng. Nhӳng giao thӭc liên
quan, như ICMP cũng đӵơc cҧi tiӃn. Nhӳng giao thӭc khác trong tҫng mҥng như
ARP, RARP, IGMP đã hoһc bӏ xoá hoһc có trong giao thӭc ICMPv6. Nhӳng giao
thӭc tìm đưӡng như RIP, OSPF cũng đưӧc cҧi tiӃn khҧ năng thích nghi vӟi nh ӳng
thay đәi này. Nhӳng chuyên gia truyӅn thông dӵ đoán là IPv6 và nhӳng giao thӭc
liên quan vӟi nó sӁ nhanh chóng thay thӃ phiên bҧn IP hiӋn thӡi.
ThӃ hӋ mӟi cӫa IP hay IPv6 có nhӳng ưu điӇm như sau:

1.ü.1.Không gian đӏa chӍ lӟn

IPv6 có đӏa chӍ nguӗn và đích dài 128 bít. Mһc dù 128 bít có thӇ tҥo hơn
38
3,4*10 tә hӧp, không gian đӏa chӍ cӫa IPv6 đưӧc thiӃt kӃ dӵ phòng đӫ lӟn cho
phép phân bә đӏa chӍ và mҥng con tӯ trөc xương sӕng internet đӃn tӯng mҥng con
trong mӝt tә chӭc. Các đӏa chӍ hiӋn đang phân bә đӇ sӱ dөng chӍ chiӃm mӝt lưӧng
nhӓ và vүn còn thӯa rҩt nhiӅu đӏa chӍ sҹn sàng cho sӱ dөng trong tương lai. Vӟi
không gian đӏa chӍ lӟn này, các kӻ thuұt bҧo tӗn đӏa chӍ như NAT sӁ không còn cҫn
thiӃt nӳa.

1.ü.ü.Đӏa chӍ phân cҩp, hҥ tҫng đӏnh tuyӃn hiӋu quҧ


Các đӏa chӍ toàn cөc cӫa Ipv6 đưӧc thiӃt kӃ đӇ tҥo ra mӝt hҥ tҫng đӏnh tuyӃn
hiӋu qӫa, phân cҩp và có thӇ tәng quát hoá dӵa trên sӵ phân cҩp thưӡng thҩy cӫa

GVHD: NguyӉn Văn Sinh -8-


Xây Dӵng VPN Trên IPv6

các nhà cung cҩp dӏch vө Internet (ISP) trên thӵc tӃ. Trên mҥng Internet dӵa trên
IPv6, các router mҥng xương sӕng (backbone) có sӕ mөc trong bҧng đӏnh tuyӃn nhӓ
hơn rҩt nhiӅu.

1.ü.Z.Khuôn dҥng Header đơn giҧn hóa


Header cӫa IPv6 đưӧc thiӃt kӃ đӇ giҧm chi phí đӃn mӭc tӕi thiӇu. ĐiӅu này đҥt
đưӧc bҵng cách chuyӇn các trưӡng không quan trӑng và các trưӡng lӵa chӑn sang
các header mӣ rӝng đưӧc đһt phía sau cӫa IPv6 header. Khuôn dҥng header mӟi cӫa
IPv6 tҥo ra sӵ xӱ lý hiӋu quҧ hơn tҥi các router .

1.ü.4. Tӵ cҩu hình đӏa chӍ


ĐӇ đơn giҧn cho viӋc cҩu hình các trҥm, IPv6 hӛ trӧ cҧ viӋc tӵ cҩu hình đӏa chӍ
stateful như khҧ năng cҩu hình server DHCP và tӵ cҩu hình đӏa chӍ stateless (không
có server DHCP). Vӟi tӵ cҩu hình đӏa chӍ dҥng stateless, các trҥm trong liên kӃt tӵ
đӝng cҩu hình chúng vӟi đӏa chӍ IPv6 cӫa liên kӃt (đӏa chӍ cөc bӝ liên kӃt) và vӟi
đӏa chӍ rút ra tӯ tiӅn tә đưӧc quҧng bá bӣi router cөc bӝ. Thұm trí nӃu không có
router, các trҥm trên cùng mӝt liên kӃt có thӇ tӵ cҩu hình chúng vӟi các đӏa chӍ cөc
bӝ liên kӃt và giao tiӃp vӟi nhau mà không phҧi thiӃt lұp cҩu hình thӫ công

1.ü.5.Khҧ năng xác thӵc và bҧo mұt an ninh


Tích hӧp sҹn trong thiӃt kӃ IPv6 giúp triӇn khai dӉ dàng đҧm bҧo sӵ tương tác
lүn nhau giӳa các nút mҥng.

1.ü.6. Hӛ trӧ tӕt hơn vӅ dich vө QoS


Lưu thông trên mҥng đưӧc phân thành các luӗng cho phép sӱ lý mӭc ưu tiên
khác nhau tҥi các router.

1.ü.7.Hӛ trӧ tӕt hơn vӅ tính năng di đӝng


Khҧ năng di đӝng MobileIP tұn dөng đưӧc c ác ưu điӇm cӫa IPv6 so vӟi IPv4

GVHD: NguyӉn Văn Sinh -9-


Xây Dӵng VPN Trên IPv6

1.ü.8. Khҧ năng mӣ rӝng


ThiӃt kӃ cӫa IPv6 có dӵ phòng cho sӵ phát triӇn trong tương lai đӗng thӡi dӉ
dàng mӣ rӝng khi có nhu cҫu.

ü. Cҩu trúc đӏa chӍ ipv6


ü.1.Đӏa chӍ ipv6
Mӝt đӏa chӍ gӗm có 16 byte, đó là 128 bít đӝ dài. KiӇu ký hiӋu dҩu 2 chҩm
trong hӋ đӃm 16 ( Hexadecimal Colon Notation):
ĐӇ làm cho nhӳng đӏa chӍ trӣ nên có thӇ đӑc đưӧc nhiӅu hơn, IPv6 trình bҫy rõ
trong kiӇu ký hiӋu dҩu 2 chҩm trong hӋ đӃm 16. Trong kiӇu ký hiӋu này, 128 bít
đưӧc chia thàng 8 phҫn, mӛi phҫn rӝng 2 byte. 2 byte trong kiӇu ký hiӋ hӋ đӃm 16
yêu cҫu 4 chӳ sӕ trong hӋ đӃm 16 này. Vì thӃ cho nên đӏa chӍ gӗm có 32chӳ sӕ
trong hӋ đӃm 16 vӟi mӛi 4 chӳ sӕ mӝt lҥi có mӝt d ҩu : chҩm(Hình1)

128 bít= 16 bytes= 32chӳ sӕ trong hӋ đӃm 16

111111101111101100««««««««««..111111111111

FDEC : : 7654 3210 ADBF 2922 FFFF

Hình 1: Đ͓a ch͑ IP phiên b̫n 6 ( IPv6 Address)

*Su rút gӑn:


Mһc dù là đӏa chӍ IP ngay cҧ khi ӣ trong đӏnh dҥnh hӋ sӕ đӃm 16, vүn rҩt dài,
nhiӅu chӳ sӕ 0 trong mӝt đӏa chӍ.
Thí dө: 1080:0000:0000:0000:0008:0800:200C:417A

GVHD: NguyӉn Văn Sinh - 10 -


Xây Dӵng VPN Trên IPv6

Do đó cơ chӃ nén đӏa chӍ đưӧc dùng đӇ biӇu diӉn dӉ dàng hơn các loҥi đӏa chӍ
dҥng này. Ta không cҫn viӃt các sӕ 0 ӣ đҫu các nhóm, nhưng nhӳng sӕ 0 bên trong
thì không thӇ xoá.

Chưa rút gӑn

1080:0000:0000:0000:0008:0800:200C:417A
Đã rút gӑn

1080: 0: 0: 0: 8: 800:200C:417A

Hình 2 : S͹ rút g͕n đ͓a ch͑ (Abbreviated Address)

Hơn nӳa ta có thӇ sӱ dөng ký hiӋu :: đӇ chӍ mӝt chuӛi các sӕ 0. Tuy nhiên
ký hiӋu trên chӍ đưӧc sӱ dөng mӝt lҫn trong mӝt đӏa chӍ. Đӏa chӍ IP có đӝ dài cӕ
đӏnh, ta có thӇ tính đưӧc sӕ các bit 0 mà ký hiӋu đó biӇu diӉn. Ta có thӇ áp dөng ӣ
đҫu hay ӣ cuӕi đӏa chӍ. Cách viӃt này đһc biӋt có lӧi khi biӇu diӉn các đӏa chӍ
multicast, loopback hay các điҥ chӍ chưa chӍ đӏnh.

Chưa rút gӑn

1080: 0: 0: 0: 8: 800:200C:417A
Đã rút gӑn

1080::8:800:200C:417A

Hình 3: S͹ rút g͕n đ͓a ch͑ có s͙ 0 liên ti͇p


(Abbreviated Address with consecutive zeros)

GVHD: NguyӉn Văn Sinh - 11 -


Xây Dӵng VPN Trên IPv6

ViӋc khôi phөc lҥi sӵ rút gӑn đӏa chӍ là rҩt đơn giҧn: thêm sӕ 0 vào cho đӃn
khi nhұn đưӧc đӏa chӍ nguyên bҧn (4 chӳ sӕ trong 1 phҫn , 32 chӳ sӕ trong mӝt đӏa
chӍ)
IPv6 cho phép giҧm lӟn đӏa chӍ và đưӧc biӇu diӉn theo ký pháp CIDR.
Ví dө: BiӇu diӉn mҥng con có đӝ dài tiӅn tӕ 80 bít:

1080:0:0:0:8::/80

Hình 4 : Đ͓a ch͑ CIDR ( CIDR Address)

ü.ü.Không gian đӏa chӍ ipv6


Không gian đӏa chӍ có đӝ dài lӟn hơn IPv4( 128 bít so vӟi 32 bít) do đó cung
cҩp không gian đӏa chӍ lӟn hơn rҩt nhiӅu. Trong khi không gian đӏa chӍ 32 bít cӫa
IPv4 cho phép khoҧng 4 tӍ đӏa chӍ, không gian đӏa chӍ IPv6 có
23
thӇ có khoҧng 6.5*10 đӏa chӍ trên mӛi mét vuông bӅ mһt trái đҩt. Đӏa chӍ IPv6 128
bít đưӧc chia thành các miӅn phân cҩp theo trұt tӵ trên Internet. Nó tҥo ra nhiӅu
mӭc phân cҩp và linh hoҥt trong đӏa chӍ hoá và đӏnh tuyӃn hiӋn không có trong
IPv4.
Không gian đӏa chӍ có nhiӅu mөc đích khác nhau. Ngưӡi ta thiӃt kӃ đӏa chӍ IP
đã chia không gian đӏa chӍ thành 2 phҫn, vӟi phҫn đҫu đưӧc gӑi là kiӇu tiӅn tӕ. Phҫn
giá trӏ tiӅn tӕ này cho bíêt mөc đích cӫa đӏa chӍ. Nhӳng mã sӕ đưӧc thiӃt kӃ sao cho
không có mã sӕ nào giӕng phҫn đҫu cӫa bҩt kǤ mã sӕ nào khác. Do đó không có sӵ
nhұp nhҵng khi mӝt đӏa chӍ đưӧc trao kiӇu tiӅn tӕ có thӇ dӁ dàng xác đӏnh đưӧc.
Hình 5 cho chúng ta thҩy dҥng cӫa đӏa chӍ IPv6:

GVHD: NguyӉn Văn Sinh - 12 -


Xây Dӵng VPN Trên IPv6

128 bít

BiӃn BiӃn

KiӇu tiӅn tӕ Phҫn cón lҥi cӫa đӏa chӍ

Hình 5 : C̭u trúc đ͓a ch͑ ( Address Structure)

Không gian IPv6 đưӧc chia trên cơ sӣ các bít đҫu trong đӏa chӍ. Trưӡng có
đӝ dài thay đәi bao gӗm các bít đҫu tiên trong đӏa chӍ gӑi là TiӅn tӕ đӏnh dҥng (
Format Prefix) FP. Cơ chӃ phân bә đӏa chӍ như sau:

Phân bӕ TiӅn tӗ đӏnh dҥng Tӹ lӋ trong không gian


đӏa chӍ
Dӵ phòng 0000 0000 1/256
Dӵ phòng 0000 0001 1/256
Dӵ phòng cho đӏa chӍ NSAP 0000 001 1/128
Dӵ phòng cho đӏa chӍ IPX 0000 010 1/128
Chưa cҩp phát 0000 011 1/128
Chưa cҩp phát 0000 1 1/32
Chưa cҩp phát 0001 1/16
Đӏa chӍ dӵa trên vӏ trí đӏa lý ( 001 1/8
HiӋn đã loҥi bӓ)
Chưa cҩp phát 101 1/8
Chưa cҩp phát 110 1/8
Chưa cҩp phát 1110 1/16
Chưa cҩp phát 1111 0 1/32
Chưa cҩp phát 1111 10 1/64
Chưa cҩp phát 1111 110 1/128

GVHD: NguyӉn Văn Sinh - 13 -


Xây Dӵng VPN Trên IPv6

Chưa cҩp phát 1111 1110 0 1/512


Đӏa chӍ liên kӃt cөc bӝ 1111 1110 10 1/1024
Đӏa chӍ site cөc bӝ 1111 1110 11 1/1024
Đӏa chӍ multicast 1111 1111 1/256

Hình 6 : Cơ ch͇ phân b͝ đ͓a ch͑

ü.Z.Cҩp phát đӏa chӍ


ü.Z.1.Đӏa chӍ unicast
Đӏa chӍ trên cơ sӣ ngưӡi cung cҩp đưӧc sӱ dөng chung bӣi 1 host bình
thưӡng như 1 đӏa chӍ unicast. Đӏnh dҥng đӏa chӍ đưӧc diӉn tҧ như sau:

128 bits

8 bits

Provider Subscriber Subnet Node


Indentifler Indentifler Indentifler Indentifler

0000 Cӕ đӏnh
010 Registry 0001Tҥm thӡi
3 bits 5 bits

Hình 7: Đ͓a ch͑ trên cơ sͧ ngưͥi cung c̭p (Provider-based Address)

Nhӳng trưӡng cho đӏa chӍ ngưӡi dùng trên cơ sӣ cung cҩp như sau :
Ø Chӭng thӵc kiӇu (Type indentifier): Trưӡng 3 bít này đӏnh nghĩa nhӳng
đӏa chӍ như là 1 đӏa chӍ trên cơ sӣ ngưӡi cung cҩp.
Ø Chӭng thӵc đăng ký (Registry indentifier) : Trưӡng 5 bít này trình bày
chi nhánh đã đăng ký đӏa chӍ. HiӋn thӡi thì có 3 trung tâm đӏ a chӍ đưӧc đӏnh nghĩa:

GVHD: NguyӉn Văn Sinh - 14 -


Xây Dӵng VPN Trên IPv6

RIPE- NCC (mã 01000): Tҥi Châu Âu.


INTERNIC (mã 11000): Tҥi Bҳc Mӻ.
APNIC (mã 10100): Tҥi Châu á - Thái Bình Dương
Ø Chӭng thӵc hà cung cҩp (Provider indentifier): Trưӡng đӝ dài tuǤ biӃn
này xác nhұn nhà cung cҩp (provider) cho truy cұp Internet 16 bit đӝ dài là khuyӃn
cáo đӕi vӟi trưӡng này.
Ø Chӭng thӵc thuê bao (Subscriber indentifier): Khi mӝt tә chӭc đһt mua
Internet dài hҥn thông qua 1 nhà cung cҩp, nó đưӧc cҩp phát 1 thҿ nhұn dҥng ngưӡi
đһt mua (Subscriber indentification). 24 bít đӝ dài là khuyӃn cáo đӕi vӟi trưӡng này.
Ø Chӭng thӵc Subnet (Subnet indentifier): Mӛi subscriber có thӇ có nhiӅu
subnetwork khác nhau, và mӛi network có thӇ có nhiӅu chӭng thӵc. Chӭng thӵc.
Chӭng thӵc subnet đӏnh nghĩa mӝt network cө thӇ dưӟi khu vӵc cӫa subscriber. 32
bít đӝ dài là khuyӃn cáo đӕi vӟi trưӡng này.
Ø Chӭng thӵc None (None indentifier): trưӡng cuӕi cùng đӏnh nghĩa nhұn
dҥng giao điӇm kӃt nӕi tӟi subnet. Đӝ dài 8 bít là khuyӃn cáo vӟi trưӡng này đӇ làm
nó thích hӧp vӟi đӏa chӍ link 48 bít (Vұt lý) đưӧc sӱ dөng bӣi Ethernet. Trong tương
lai đӏa chӍ link này có lӁ sӁ giӕng đӏa chӍ vұt lý node.
Chúng ta có thӇ nghĩ vӅ mӝt điҥ chӍ cung cҩp trung tâm như 1 đҷng cҩp
chӭng thӵ có mӝt sӕ tiӅn tӕ. Như nhӳng gì thҩy ӣ hình 8, mӛi tiӅn tӕ đӏnh nghĩa mӝt
cҩp bұc cӫa hӋ thӕng. KiӇu tiӅn tӕ đӏnh nghĩa kiӇu, tiӅn tӕ đӏnh nghiã 1 cách duy
nhҩt vӅ nhà cung cҩp bұc đăng ký, tiӅn tӕ nhà cung cҩp đӏnh nghĩa 1 cách duy nhҩt
vӅ nhà cung cҩp, tiӅn tӕ subnet đӏnh nghĩa 1 cách duy nhҩt vӅ subscriber, và tiӅn tӕ
subnet đӏnh nghĩa 1 cách duy nhҩt vӅ subnet.

GVHD: NguyӉn Văn Sinh - 15 -


Xây Dӵng VPN Trên IPv6

Subnet

Subscriber

Provider

Provider Subscriber Subnet Node


Indentifier indentifier Indentifier indentifier

Hình 8 : H͏ th͙ng đ͓a ch͑ (Address Hierarchy)

ü.Z.ü.Đӏa chӍ dӵ trӳ

Nhӳng đӏa chӍ mà sӱ dөng tiӅn tӕ dӵ trӳ (0000 0000) sӁ đưӧc thҧo luұn mӝt
cách ngҳn gӑn tҥi đây.
Ø Đӏa chӍ không xác đӏnh (Unspecified Address): Đây là mӝt đӏa chӍ mà
phҫn không phҧi tiӅn tӕ chӍ chӭa chӳ sӕ 0. Nói mӝt cách khác phҫn còn lҥi cӫa đӏa
chӍ gӗm toàn zero. Đӏa chӍ này đưӧc sӱ dөng khi host không hiӇu đưӧc đӏa chӍ cӫa
chính nó và gӱi 1 câu hӓi thăm đӇ tìm đӏa chӍ cӫa nó. Tuy nhiên trong câu hӓi thăm
phҧi đӏnh nghĩa 1 đӏa chӍ nguӗn. Đӏa chӍ không xác đӏnh có thӇ đưӧc sӱ dөng cho
mөc đích này. Chú ý là đӏa chӍ không thӇ đưӧc sӱ dөng làm đӏa chӍ đích. Đӏa chӍ
này đưӧc trình bày trong hình sau :

8 bít 120 bit

00000000 Tҩt cҧ toàn bít 0

Hình 9 : Đ͓a ch͑ không rõ (Unspecified Address)

GVHD: NguyӉn Văn Sinh - 16 -


Xây Dӵng VPN Trên IPv6

Ø Đӏa chӍ vòng ngưӧc (Loopback Address): Đây là mӝt đӏa chӍ đưӧc sӱ
dөng bӣi 1 host đӇ kiӇm tr nó mà không cҫn vào mҥng. Trong trưӡng hӧp này 1
thông điӋp đưӧc tҥo ra ӣ tҫng ӭng dөng nó gӱi tӟi tҫng chuyӇn tҧi và đi qua tҫng
mҥng. Tuy nhiên thay vì đi đӃn mҥng vұt lý nó trӣ lҥi tҫng chuyӇn tҧi v à đi qua tҫng
ӭng dөng. Đӏa chӍ này rҩt hӳu dөng cho viӋc kiӇm tra nhӳng gói phҫn mӅm chӭc
năng trong tҫng này trưӟc khi thұm chí cҧ viӋc kӃt nӕi máy tính vào mҥng. Đӏa chӍ
đưӧc mô tҧ trong hình dưӟi đây gӗm có tiӅn tӕ 0000 0000 và theo sau là 119 bit 0
và 1 bit 1.

8 bít 120 bit

00000000 000000000000««««.00000000000001

Hình 10 : Đ͓a ch͑ vòng ngưͫc ( Loopback Address)

Ø Đӏa chӍ IPv4: Nhӳng gì chúng ta thҩy đưӧc trong suӕt quá trình chuyӇn
đәi tӯ đӏa chӍ IPv4 và IPv6, host có thӇ sӱ dөng đӏa chӍ IPv4 cӫa nó đã đưӧc nhúng
vào đӏa chӍ IPv6. Có 2 đӏnh dҥng đӏa chӍ đưӧc thiӃt kӃ cho mөc đích này: thích ӭng
( compatible) và hoҥ đӗ (mapped)
Ø Đӏa chӍ thӭc ӭng ( Compatile Address): Là mӝt đӏa chӍ cӫa 96 bit 0 theo
sau 32 bit cӫa đӏa chӍ IPv4. Đӏa chӍ này đưӧc sӱ dөng khi 1 máy tính sӱ dөng IPv6
muӕn gӱi mӝt thông điӋp sang 1 máy tính sӱ dөng IPv6. Tuy nhiên gói tin phҧi đi
qua mӝt miӅn mà ӣ đó mҥng vүn sӱ dөng IPv4. Ngưӡi gӱi sӱ dөng đӏa chӍ thích
ӭng IPv4 đӇ làm cho thuұn tiӋn viӋc chuyӇn gói tin qua miӅn sӱ dөng IPv4.
Thí dө: Đӏa chӍ IPv4 là 2.13.17.14 (đӏnh dҥng dҩu chҩm trong hӋ đӃm 10)
đưӧc chuyӇn thành 0::020D:110E (đӏnh dҥng dҩu 2 chҩm trong hӋ đӃm 16). Đӏa chӍ
IPv4 đưӧc thêm 96 bít 0 đӇ tҥo ra đӏa chӍ IPv6 128 bít.

GVHD: NguyӉn Văn Sinh - 17 -


Xây Dӵng VPN Trên IPv6

8 bít 88 bít 32 bít

00000000 Tҩt cҧ toàn bít 0 Đӏa chӍ IPv4

a. Đӏa chӍ thích ӭng

Đӏa chӍ IPv6 Đӏa chӍ IPv4

0::020D:110E 2.13.17.14

b. ChuyӇn đәi đӏa chӍ

Hình 11: Đ͓a ch͑ tuong ͱng ( Compatible Address)

Đӏa chӍ anh xa (Mapped Address): Gӗm 80 bít o theo sau là 16 bít 1 sau
nӳa là 32 bít cӫa đӏa chӍ IPv4. Đӏa chӍ này đưӧc sӱ dөng khi 1 máy tính vүn sӱ dөng
IPv4. Gói tin du lӏch phҫn lӟn qua mҥng IPv6 nhưng sau hӃt đưӧc chuyӇn tӟi 1 host
sӱ dөng IPv4. Đӏa chӍ IPv4 đưӧc thêm 16 bít 1 và 80 bít 0 đӇ tҥo đӏa chӍ IPv6 128
bít.

8 bít 72 bít 16 bit 32 bít

00000000 Tҩt cҧ bít 0 Tҩt cҧ bít 1 Đӏa chӍ IPv4

a.Đӏa chӍ anh xa

Đӏa chӍ IPv6 Đӏa chӍ IPv4

0::020D:110E 2.13.17.14

b. ChuyӇn đәi đӏa chӍ


Hình 12: Đ͓a ch͑ anh xa (Mapped Address )

GVHD: NguyӉn Văn Sinh - 18 -


Xây Dӵng VPN Trên IPv6

Mӝt điӅu thú vӏ vӅ đӏa chӍ thích ӭng và đӏa chӍ hoҥ đӗ là chúng đưӧc thiӃt kӃ
bҵng mӝt cách mà khi tính toán checksum chúng ta có thӇ sӱ dөng hoһc đӏa chӍ
nhúng hoһc đӏa chӍ đҫy đӫ vì nhӳng bít 0 hoһc bít 1 thêm vào là bӝi cӫa 16, không
có bҩt kǤ mӝt tác đӝng nào lên viӋc tính toán checksum. Đӏa chӍ này quan trӑng vì
nӃu đӏa chӍ cӫa gói tin đưӧc chuyӇn tư IPv6 sang IPv4 bӣi router, viӋc tính toán
checksum sӁ không đưӧc tính toán.

ü.Z.Z.Đӏa chӍ cөc bӝ

Nhũng đӏa chӍ mà sӱ dөng tiӅn tӕ dӵ trӳ (1111 1110) sӁ đưӧc thҧo kuұn mӝt
cách ngҳn gӑn tҥi đây.
Ø Đӏa chӍ link cөc bӝ ( Link local Address): Nhӳng đӏa chӍ này đưӧc sӱ
dөng khi 1 mҥng LAN muӕn sӱ dөng giao thӭc Internet nhưng không kӃt nói
Internet vì lý do an ninh. KiӇu đӏa chӍ này sӱ dөng tiӅn tӕ 1111 1110 10. Đ ҥi chӍ
link cөc bӝ đӵơc sӱ dөng trong mҥng đôc lұp và không có ҧnh hưӣng chung nào.
Không ai ӣ ngoài mҥng đӝc lұp này có thӇ gӱi thông điӋp đӃn nhӳng máy tính gia
nhұp 1 mҥng sӱ dөng nhӳng đӏa chӍ này.

10 bít 70 bí t 48 bít

11111111010 Tҩt cҧ bít 0 Đӏa chӍ Node

Hình 13 : Đ͓a ch͑ link cͭc b͡ ( Link local Address)

Ø Đӏa chӍ site cөc bӝ (Site Local Address): Nhӳng đӏa chӍ này đưӧc sӱ
dөng nӃu như 1 site có mӝt sӕ mҥng sӱ dөng giao thӭc Internet nhưng không kӃt
nӕi Internet vì nhӳng lý do an ninh. KiӇu đӏa chӍ này sӱ dөng tiӅn tӕ 1111 1110 11.
Đӏa chӍ site cөc bӝ đưӧc sӱ dөng trong mҥng đӝc lұp và không có ҧnh hưӣng chung

GVHD: NguyӉn Văn Sinh - 19 -


Xây Dӵng VPN Trên IPv6

nào. Không ai ӣ ngoài mҥng đӝc lұp này có thӇ gӱi thông điӋp đӃn máy tính gia
nhұp mҥng sӱ dөng nhӳng đӏa chӍ này.

10 bít 38 bít 32 bít 48 bít

11111111010 Tҩt cҧ bít 0 Đӏa chӍ Subnet Đӏa chӍ Node

Hình 14 : Đ͓a ch͑ site cͭc b͡ ( Site Local Address)

ü.Z.4.Đӏa chӍ multicast


Đӏa chӍ multicast đưӧc sӱ dөng đӇ đӏnh nghĩa cho mӝt nhóm các host thay vì
chӍ 1. Tҩt cҧ đӅu sӱ dөng tiӅn tӕ 1111 1111 trong trưӡng đҫu tiên. Trưӡng thӭ hai là
cӡ (flag) đӏnh nghĩa 1 nhóm đӏa chӍ hoһc cӕ đӏnh hoһc tҥm thӡi. Mӝt nhóm đӏa chӍ
cӕ đӏnh đưӧc đӏnh nghĩa bӣi nhà cҫm quyӅn Internet và có thӇ truy cұp bҩt cӭ lúc
nào. Mӝt nhóm đӏa chӍ tҥm thӡi, nói mӝt cách khác đưӧc sӱ dөng mӝt cách tҥm
thӡi. HӋ thӕng tham dӵ vào mӝt hӝi nghӏ tӯ xa có thӇ sӱ dөng mӝt nhóm tҥm thӡi.
Trưӡng thӭ 3 đӏnh nghĩa phҥm vi hoҥt đӝng cӫa nhóm đӏa chӍ. NhiӅu phҥm vi đã
đưӧc đӏnh nghĩa.

GVHD: NguyӉn Văn Sinh - 20 -


Xây Dӵng VPN Trên IPv6

8 bít 4 bít 4 bít 112 bít

11111111 Cӡ Phҥm vi ID nhóm

0000 Dành trưӟc


0000 Cӕ đӏnh 0001 Node cөc bӝ
0001 Tҥm 0010 Link cөc bӝ
0101 Site cөc bӝ
1000 tә chӭc cөc bӝ
1110 Chung

Hình 15 : Đ͓a ch͑ Multicast (multicast address)

ü.4.Đӏnh dҥng gói tin


Gói tin trong IPv6 đưӧc thҩy như trong hình dưӟi đây. Mӛi gói tin bao gӗm
mӝt vùng header nӅn tҧng bҳt buӝc theo sau bӣi payload. Payload gӗm có 2 phҫn:
nhӳng vùng Header mӣ rӝng tuǤ ý chӑn và dӳ liӋu tӯ tҫng cao hơn. Vùng Header
nӅn tҧng chiӃm giӳ 40 byte, trong khi đó nhӳng vùng Header mӣ rӝng và dӳ liӋu tӯ
tҫng cao hơn chӭa đӃn 65535 byte thông tin.

GVHD: NguyӉn Văn Sinh - 21 -


Xây Dӵng VPN Trên IPv6

40 byte Có thӇ lên đӃn 65535 byte

y Đҫu mөc nӅn tҧng Payload

Đҫu mөc mӣ rӝng (tuǤ Gói dӳ liӋu tӯ tҫng cao hơn


ý lӵa chӑn)

Hình 16 : Đ͓nh d̩ng gói tin IPv6 (IPv6 Data Packet Format)

ü.4.1.Vùng nӅn tҧng


Vùng header nӅn tҧng trong hình 17 cho ta thҩy nó có 8 trưӡng, nhӳng
trưӡng này mô tҧ như sau:

VER PRI Flow lable

Vùng Header Giӟi hҥn


Đӝ dài Payload kӃ tiӃp nhҧy

Nhӳng đӏa chӍ nguӗn

Nhӳng đӏa chӍ đích


Nhӳng đҫu mөc mӣ rӝng Payload

Gói dӳ liӋu tӯ tҫng cao hơn

Hình 17 : Đ͓nh d̩ng cͯa 1 đơn v͓ dͷ li͏u IPv6


( Format of an IPv6 datagram)

GVHD: NguyӉn Văn Sinh - 22 -


Xây Dӵng VPN Trên IPv6

Ø Phiên bҧn (VER- version): Trưӡng 4 bít này đӏnh nghĩa sӕ phiên bҧn cӫa
IP. Vӟi IPv6 giá trӏ là 6.
Ø QuyӅn ưu tiên (PRI- prority): Trưӡng 4 bít này đӏnh nghĩa sӵ ưu tiên cӫa
nhӳng gói tin đӕi vӟi sӵ tҳc nghӁn giao thông.
+ Nhãn lưu lưӧng (Flow lable): Nhãn lưu lưӧng là mӝt trưӡng 3 byte ± 24
bit đưӧc thiӃt kӃ đӇ cung cҩp sӵ điӅu khiӇn đһc biӋt đӕi vӟi nhӳng lưu lưӧng đһc
biӋt cӫa dӳ liӋu.
+ Đӝ dài Payload (Payload Length): Trưӡng đӝ dài Payload 2 byte này
đưӧc đӏnh nghĩa đӝ dài tәng cӝng cӫa đơn vӏ dӳ liӋu IP trӯ vùng Header nӅn tҧng.
+ Vùng Header kӃ tiӃp (Next Header): Vùng Header kӃ tiӃp là 1 trưӡng 8
bít đӏnh nghĩa 1 đҫu mөc mà theo sau vùng Header nӅn tҧng trong đơn vӏ dӳ liӋu.
Vùng header kӃ tiӃp là 1 trong nhӳng vùng mӣ rӝng tuǤ ý lӵa chӑn đưӧc sӱ dөng
bӣi IP hoһc vùng Header cho 1 giao thӭc tҫng cao hơn như UDP hay TCP. Mӛi
vùng Header mӣ rӝng lҥi có chӭa trưӡng này. Bҧng sau cho chúng ta thҩy nhӳng
giá trӏ cӫa vùng Header kӃ tiӃp.

Mã sӕ Vùng Header kӃ tiӃp


0 TuǤ chӑn nhҧy tӯng bưӟc mӝt
2 ICMP
6 TCP
17 UDP
43 Routing nguӗn
44 Sӵ phân miӃng
50 Payload bҧo mұt mã hoá
51 Sӵ chӭng thӵc
59 Trӕng ( Không vùng Header kӃ tiӃp)
60 TuǤ chӑn đích

 Giӟi hҥn nhҧy ( Hot Limit): Trưӡng giӟi hҥn nhҧy 8 bít này phөc vө
cho mөc đích tương tӵ trưӡng TTL trong IPv4.
 Đӏa chӍ nguӗn ( Source Address): Trưӡng đӏa chӍ nguӗn là 1 điҥ chӍ
Internet 16 byte (128 bit) mà xác minh nguӗn bҧn gӕc cӫa đơn vӏ dӳ liӋu

GVHD: NguyӉn Văn Sinh - 23 -


Xây Dӵng VPN Trên IPv6

 Đӏa chӍ đích ( Destination Address): Trưӡng đӏa chӍ đích là 1 đӏa chӍ
Internet 16 byte ( 128 bit) mà thưӡng xác minh đích cuӕi cùng cӫa đơn vӏ dӳ liӋu.
Tuy nhiên nӃu router nguӗn đưӧc sӱ dөng thì trưӡng này sӁ chӭa đӏa chӍ c ӫa router
kӃ tiӃp.
+ QuyӅn ưu tiên (Priority): Trưӡng quyӅn ưu tiên cӫa gói tin IPv6 đӏnh nghĩa
quyӅn ưu tiên cӫa tӯng gói tin có quan hӋ vӟi nhӳng gói tin khác trong cùng 1
nguӗn. Ví dө khi 1 trong 2 đơn vӏ dӳ liӋu liên tiӃp phҧi bӏ loҥi bӓ đi vì chұt chӝ i,
đơn vӏ dӳ liӋu có quyӅn ưu tiên nhӓ hơn sӁ bӏ loҥi bӓ. IPv6 chia giao thông (traffic)
làm 2 loҥi: điӅu khiӇn tҳc nghӁn (congestion- controlled) và điӅu khiӇn không tҳc
nghӁn (nocongestion- controlled).
 Giao thông điӅu khiӇn tҳc nghӁn ( congestion- controlled traffic):
NӃu 1 nguӗn tӵ điӅu chӍnh giao thông chұm lҥi khi có tҳc nghӁn, giao thông sӁ gán
cho giao thông điӅu khiӇn tҳc nghӁn. Ví dө như giao thӭc TCP sӱ dөng giao thӭc
cӱa sә trưӧt (Sliding window protocol), có thӇ dӉ dàng đáp ӭng giao thông. Trong
giao thông điӅu khiӇn tҳc nghӁn nó đưӧc hiӇu là nhӳng gói tin có thӇ đӃn chұm
hoһc thұm chí mҩt hoһc đưӧc nhұn ngoài yêu cҫu. Dӳ liӋu điӅu khiӇn tҳc nghӁn
đưӧc cҩp phát quyӅn ưu tiên tӯ 0 đӃn 7 đưӧc thӇ hiӋn ӣ bҧng sau:

QuyӅn ưu tiên Mô tҧ
0 Không có giao thông cө thӇ
1 Dӳ liӋu nӅn
2 Giao thông dӳ liӋu không đưӧc quan tâm
3 Dӵ trӳ
4 Giao thông dӳ liӋu tham dӵ khӕi lӟi
5 Dӵ trӳ
6 Giao thông tương giao
7 Giao thông điӅu khiӇn

GVHD: NguyӉn Văn Sinh - 24 -


Xây Dӵng VPN Trên IPv6

Có thӇ mô tҧ quyӅn ưu tiên như sau:


M Không có giao thông cө thӇ ( No specific traffic): quyӅn ưu tiên 0 đưӧc cҩp
phát cho gói tin khi tiӃn trình không đӏnh nghĩa 1 ưu tiên nào.
M Dӳ liӋu nӅn (Background data): nhóm này (quyӅn ưu tiên 1) đӏnh nghĩa dӳl
iӋu thưӡng xuyên đưӧc nhұn ӣ nӅn. Sӵ nhұn tin tӭc là 1 ví dө.
M Giao thông dӳ liӋu không đưӧc quan tâm (unattended data tranffic): NӃu
ngưӡi sӱ dөng đang không đӧi dӳ liӋu sӁ đưӧc nhұn, gói tin sӁ đưӧc quyӅn ưu tiên
2. Email thuӝc nhóm này. Mӝt ngưӡi sӱ dөng gӱi email cho ngưӡi sӱ dөng khác,
nhưng ngưӡi nhұn không biӃt email đó sӁ đӃn sӟm. Thêm vào email thưӡng đưӧc
lưu trӳ trưӟc khi đưӧc gӱi đi.
M Giao thông dӳ liӋu tham dӵ khӕi lӟn ( Attended bulk data tranffi): Giao thӭc
mà chuyӇn phҫn lӟn dӳ liӋu khi ngưӡi sӱ dөng đang đӧi nhұn dӳ liӋu (có thӇ trì
hoãn) đưӧc quyӅn ưu tiên 4. FTP và HTTP thuӝc nhóm này.
M Giao thông tương dao (Interactive tranffic): Giao thӭc dҥng như TELNET
cҫn sӵ tương giao vӟi ngưӡi sӱ dөng cҩp sӵ tương giao vӟi ngưӡi sӱ dөng đưӧc
cҩp ưu tiên cao thӭ 2 (6) trong nhóm.
M Giao thông điӅu khiӇn (Control traffic): Giao thông diӅu khiӇn đưӧc quyӅn
ưu tiên cao nhҩt (7) trong loҥi này. Giao thӭc routing như OSPF và RIP và giao
thӭc quҧn trӏ SNMP sӱ dөng quyӅn ưu tiên này.
 Giao thông điӅu khiӇn không tҳc nghӁn ( Noncongestion- controlled
tranffic): KiӇu này gán cho kiӇu giao thông mà chӡ đӧi mӝt sӵ hãon lҥi nhӓ nhҩt.
Loҥi bӓ gói tin không phҧi là tӕt. Sӵ chuyӇn giao lҥi trong hҫu hӃt tình huӕng là có
thӇ hti hành đưӧc. Nói 1 cách khác nguӗn không sӱa lҥi nó thích nghi vӟi sӵ tҳc
nghӁn. Audio và video thӡi gian thӵc là nhӳng ví dө điӇn hình cho dҥng giao thông
này.
QuyӅn ưu tiên tӯ 8 đӃn 15 đưӧc cҩp phát cho giao thông điӅu khiӇn không tҳc
nghӁn. Mһc dù ӣ đây không có bát kǤ mӝt sӵ cҩp phát chuҭn đһc biӋt nào cho loҥi
dӳ liӋu này, quyӅn ưu tiên thưӡng đưӧc cҩp phát dӵ vào sӕ lưӧng cҧu dӳ liӋu nhұn
có thӇ bӏ tác đӝng bӣi viӋc loҥi bӓ gói tin. Dӳ liӋu chӭa ít sӵ rưӡm rà (như audio và

GVHD: NguyӉn Văn Sinh - 25 -


Xây Dӵng VPN Trên IPv6

video chҩt lưӧng thҩp) có thӇ đưӧc đưa 1 quyӅn ưu tiên cao hơn (15). Dӳ liӋu chӭa
nhiӅu sӵ rưӡm rà (như video và audio chҩt lưӧng cao) có thӇ bӏ đưa 1 quyӅn ưu tiên
thҩp hơn (8).

QuyӅn ưu tiên Mô tҧ
8 Dӳ liӋu vӟi nhiӅu sӵ rưӡm rà nhҩt
.
.
.
15 Dӳ liӋu vӟi ít sӵ rưӡm rà nhҩt

Ø Nhãn lưu lưӧng ( Flow Lable):


 Mӝt dãy các gói tin đưӧc gӱi tӯ 1 nguӗn riêng đӃn đích riêng, cҫn sӵ điӅu
khiӇn đһc biӋt tӯ router gӑi là lưu lưӧng cӫa nhӳng gói tin. Sӵ kӃt hӧp cӫa đӏa chӍ
nguӗn và giá trӏ cӫa nhãn lưu lưӧng đӏnh nghĩa 1 cách duy nhҩt 1 lưu lưӧng cӫa
nhӳng gói tin.
 Đӕi vơ router 1 lưu lưӧng là 1 dãy các gói tin chia sҿ cùng đһc tính như là
viӋc di chuyӇn cùng 1 đưӡng, sӱ dөng cùng mӝt nguӗn, có cùng kiӇu an toàn vv«
Mӝt router mà hӛ trӧ sӵ điӅu khiӇn cӫa nhãn lưu lưӧng có 1 bҧng nhãn lưu lưӧng.
Bҧng này có 1 mөc vào cho mӛi nhãn lưu lưӧng hoҥt đӝng, mӛi mөc đӏnh nghĩa 1
dӏch vө đưӧc yêu cҫu bӣi nhãn lưu lưӧng tương ӭng. Khi router nhұn đưӧc 1 gói tin
nó tra cӭu bҧng nhãn lưu lưӧng cӫa nó đӇ tìm mөc vào tương ӭng cho giá trӏ nhãn
lưu lưӧng đưӧc đӏnh nghĩa trong gó i tin. Sau đó nó cung cҩp cho gói tin nhӳng dӏch
vө đã đӅ cұp trong mөc vào. Tuy nhiên chú ý là nhãn lưu lưӧng tӵ nó không cung
cҩp thông tin cho nhӳng mөc vào cӫa bҧng nhãn lưu lưӧng, thông tin đưӧc cung cҩp
bӣi nhӳng thӭ khác như là tuǤ chӑn nhҧy tӯng b ưӟc mӝt hay nhӳng giao thӭc khác.
 Trong hình thӭc đơn giҧn nhҩt cӫa nó, 1 nhãn lưu lưӧng có thӇ đưӧc sӱ dөng
đӇ tăng tӕc 1 tiӃn trình cӫa 1 gói tin bӣi 1 router. Khi router nhұn đưӧc gói tin thay
vì xem bҧng tìm đưӡng và đi đӃn thuұt toán tìm đưӡng đӇ đӏnh nghĩa đӏa chӍ cҧu
bưӟc nhҧy kӃ tiӃp, nó có thӇ dӉ dàng đưӧc nhìn thҩy trong 1 bҧng nhãn lưu lưӧng
cho bưӟc nhҧy kӃ tiӃp.

GVHD: NguyӉn Văn Sinh - 26 -


Xây Dӵng VPN Trên IPv6

 Trong hình thӭc rҳc rӕi hơn cӫa nó 1 nhãn lưu lưӧng có thӇ đưӧc sӱ dөng đӇ
hӛ trӧ quá trình chuyӇn giao audio và video thӡi gian thӵc. Audio và video thӡi gia n
thӵc mӝt cách đһc biӋt trong hình thӭc kĩ thuұt sӕ đòi hӓi nhӳng nguӗn như băng
thông rӝng, buffer lӟn, thӡi gian tiӃn trình dài vv« Mӝt tiӃn trình có thӇ đһt trưӟc
chӛ cho nhӳng nguӗn này trưӟc đӇ đҧm bҧo là dӳ liӋu thӡi gian thӵc sӁ không bӏ
tҥm hoãn do thiӃu nguӗn. Sӵ sӱ dөng dӳ liӋu thӡi gian thӵc và chӛ đһt trưӟc cӫa
nhӳng nguӗn đòi hӓi nhӳng giao thӭc khác như là giao thӭc thӡi gian thӵc ( Real -
Time Protocol- RTP) hay giao thӭc đһt trưӟc nguӗn (Resource Reservation
Protocol- RRP) trong bә sung cӫa IPv6.
 ĐӇ cho phép nhӳng hiӋu quҧ sӱ dөng cӫa nhãn lưu lưӧng 3 điӅu luұt đưӧc
đưa ra :
M Nhãn lưu lưӧng đưӧc cҩp phát cho 1 gói tin bӣi 1 host gӕc. Nhãn
là mӝt sӕ bҩt kì tӯ 1 đӃn 2 24 -1. Nó sӁ không sӱ dөng lҥi mӝt nhãn lưu lưӧng cho 1
lưu lưӧng mӟi khi lưӧng dang tӗn tҥi vүn hoҥt đӝng.
M NӃu như 1 host không hӛ trӧ nhãn lưu lưӧng, nó sӁ đһt trưӡng này là 0. NӃu
như 1 router không hӛ trӧ nhãn lưu lưӧng, nó đơn giҧn sӁ phӟt lӡ đi .
M Tҩt cҧ nhӳng gói tin thuӝc cùng 1 lưu lưӧng có thӇ có cùng nguӗn, cùng
đích, cùng sӵ ưu tiên và cùng nhưng tuǤ chӑn.

ü.4.ü.So sánh Header ipv4 & Header ipv6


Trưӡng đӝ dài vùng header đã bӏ loҥi đi trong IPv6 vì đӝ dài vùng header đã
đưӧc xӱ lý trong phiên bҧn này.
Trưӡng kiӇu dӏch vө đã bӏ loҥi đi trong IPv6. Trưӡng quyӅn ưu tiên và nhãn
lưu lưӧng cùng kiӇm soát chӭc năng cӫa trưӡng kiӇu dӏch vө.
Trưӡng đӝ dài tәng cӝng đã bӏ loҥi đi trong IPv6 và đưӧc thay thӃ bҵng
trưӡng đӝ dài payload.
Nhӳng Trưӡng chӭng thӵc ( identification ), Trưӡng cӡ ( flag ), và nhӳng
Trưӡng offset đã bӏ loҥi bӓ tӯ vùng header nӅn tҧng trong IPv6. Chúng đưӧc đi kèm
trong vùnh header mӣ rӝng tӯng miӃng.

GVHD: NguyӉn Văn Sinh - 27 -


Xây Dӵng VPN Trên IPv6

Trưӡng TTL đưӧc gӑi là Giӟi hҥn nhày trong IPv6.


Trưӡng giao thӭc dưӧc thay thӃ bӣi Trưӡng vùng header kӃ tiӃp.
Vùng header checksum bӏ loҥi đi vì checksum đưӧc cung cҩp bӣi giao thӭc
cӫa tҫng cao hơn nó vì thӃ không cҫn thiӃt ӣ đây.
Nhӳng Trưӡng tuǤ chӑn trong IPv4 đưӧc trang bӏ như nhӳng vùng header
mӣ rӝng trong IPv6.

ü.5.Vùng Header mӣ rӝng


Đӝ dài cӫa vùng header đưӧc bӕ trí 40 byte. Tuy nhiên, đӇ đem đӃn nhiӅu
chӭc năng hơn cho đơn vӏ dӳ liӋu IP vùng header nӅn tҧng có thӇ cho theo sau đӃn 6
vùng header mӣ rӝng. NhiӅu vùng header này là nhӳng tuǤ chӑn trong IPv4.

GVHD: NguyӉn Văn Sinh - 28 -


Xây Dӵng VPN Trên IPv6

VER PRI Flow label


Đӝ dài Payload Vùng Header kӃ tiӃp Giӟi hҥn nhҧy

Đӏa chӍ nguӗn


Đӏa chӍ đích

Vùng Header kӃ tiӃp Đӝ dài vùng Header

Vùng Header kӃ tiӃp Đӝ dài vùng Header

§
§
§
Vùng Header kӃ tiӃp Đӝ dài vùng Header

Hình 18 : Đ͓nh d̩ng vùng header mͧ r͡ng


( Extenion header format )

Sáu loҥi vùng header đã đưӧc đӏnh nghĩa. Chúng là tuǤ chӑn nhҧy tӯng bưӟc,
lӝ trình nguӗn, sӵ phân mҧnh, sӵ chӭng thӵc, Payload bҧo mұt mã hoá và tuǤ chӑn
đích (Xem hinh 19).

GVHD: NguyӉn Văn Sinh - 29 -


Xây Dӵng VPN Trên IPv6

TuǤ chӑn nhҧy tӯng bưӟc

Nguӗn tìm đưӡng

Sӵ phân miӃng

Nhӳng vùng
Header mӣ rӝng Sӵ chӭng thӵc

Bҧo mұt Payload mã hoá

TuǤ chӑn đích

Hình 19 : Nhͷng lo̩i vùng header mͧ r͡ng (Extension header types)

ü.5.1.Tùy chon bưӟc nhҧy (Hop ± by - Hop option)


TuǤ chӑn nhҧy tӯng bưӟc đưӧc sӱ dөng khi nguӗn cҫn chuyӇn thông tin qua
tҩt cҧ các router đưӧc thăm bӣi đơn vӏ dӳ liӋu. Ví dө, không chӯng nhӳng router sӁ
phҧi bӏ gây ra bӣi sӵ quҧn trӏ, sӵ gӥ rӕi hay nhӳng chӭc năng điӅu khiӇn nào
đó.Hay,nӃu như đӝ dài cӫa đơn vӏ dӳ liӋu rӝng hơn thông thưӡng là 65,535 b yte,
nhưng router phҧi có thông tin này. Hình 20 cho thҩy đӏnh dҥng cӫa vùng header kӃ
tiӃp trong mӝt chuӛi vùng header. Đӝ dài vùng header đӏnh nghĩa sӕ byte trong
vùng headerbao gӗm cҧ trưӡng vùng header kӃ tiӃp). Phҫn còn lҥi cӫa vùng header
chӭa nhӳng tuǤ chӑn khác nhau.

Vùng header nӅn tҧng


Vùng header kӃ tiӃp Đӝ dài vùng header

Nhӳng tuǤ chӑn


Phүn còn lҥi cӫa Payload

GVHD: NguyӉn Văn Sinh - 30 -


Xây Dӵng VPN Trên IPv6

Hình 20 : Đ͓nh d̩ng vùng header tuǤ chnj nh̫y tͳng bưͣc
(Hop ± by ± hop option header format)

Xa hơn, chӍ có 3 tuǤ chӑn đưӧc đӏnh nghĩa: Pad1, PadN và jumbo payload
(Xem hình 21).

Mã sӕ (8 bít) Đӝ dài (8 bít) Dӳ liӋu (Đӝ dài có thӇ


thay đәi)

Hành C KiӇu

2 bít 1 bít 5 bít


Hành đӝng : sӁ thӵc hiӋn nӃu tuǤ chӑn không đưӧc xác nhұn
00 Bӓ qua tuǤ chӑn KiӇu
01 Loҥi bӓ đơn vӏ dӳ liӋu không có hành đӝng nào nӳa 00000 Pal1
10 Loҥi bӓ đơn vӏ dӳ liӋu và gӱi 1 thông điӋp lӛi 00001 PadN
11 Như mã 10, nhưng nӃu đích không phҧi đӏa chӍ munlt icast
C: (change) giá trӏ thay đәi tuǤ chӑn 00010 jumbo payload
0 : không bӏ thay đәi trong vұn chuyӇn
1 : Có thӇ bӏ thay đәi trong vұn chuyӇn

Hình 21 : Đ͓nh d̩ng cͯa nhͷng tuǤ ch͕n cͯa vùng


header tuǤ ch͕n nh̫y tͳng bưͣc
(Format of options in a hop±by±hop option header)

 Pad1: TuǤ chӑn này dài 1 byte và nó đưӧc thiӃt kӃ cho nhӳng mөc đích sҳp
nhóm. Mӝt sӕ tuǤ chӑn cҫn phҧi băt đҫu ӣ 1 bit riêng biӋt trong 32 bit (xem mô tҧ
jumbo payload). NӃu mӝt tuǤ chӑn cӫa sӵ yêu cҫu này rӟt chính xác là 1 byte, Pad1
sӁ đưӧc thêm vào đӇ làm nên sӵ khác biӋt. Pad1 không chӭa trưӡng đӝ dài tuǤ chӑn
mà còn không cҧ chӭa trưӡng dӳ liӋu tuǤ chӑn. Nó gӗm có duy nhҩt trưӡng mã tuǤ

GVHD: NguyӉn Văn Sinh - 31 -


Xây Dӵng VPN Trên IPv6

chӑn vӟi tҩt cҧ các bít đưӧc đһt là 0 ( hành đӝng là 00, C là kiӇu 00000). Pad1 có
thӇ đưӧc chèn vào bҩt kǤ chӛ nào trong vùng header tuǤ chӑn nhҧy tӯng bưӟc.

Nhӳng tuǤ chӑn


Pad1

00000000
~ Dӳ liӋu ~
a. Pad1

b. Sӱ dөng làm đӋm

Hình 22 : Pad1

 PadN: PadN giӕng Pad1 vӅ ý tưӣng. Sӵ khác nhau là PadN đưӧc sӱ dөng khi 2
hay nhiӅu bít đưӧc cҫn cho viӋc sҳp nhóm. TuǤ chӑn này gӗm có 1 byte mã tuǤ
chӑn, 1 byte đӝ dài tuǤ chӑn, và mӝt biӃn sӕ nhӳng sӕ 0 làm byte đӋm. Giá trӏ cӫa
mã tuǤ chӑn là 1 (hành đӝng là 00, C là 0 và kiӇu là 00001). Đӝ dài tuǤ chӑn chӭa
sӕ byte đӋm.

Mã Đӝ dài Dӳ liӋu
00000001 Tҩt cҧ bít 0

1 byte 1 byte sӕ byte có thӇ thay đәi

Hình 24: Jumbo Payload

ü.5.ü.Lӝ trình nguӗn ( Resource rourting


Vùng header mӣ rӝng lӝ trình nguӗn kӃt hӧp vӟi ý tưӣng cӫa nhӳng tuǤ chӑn
lӝ trình nguӗn chính xác và lӝ trình nguӗn không chính xác cӫa IPv4. Vùng header
lӝ trình nguӗn chӭa mӝt sӕ nhӓ nhҩt cӫa 7 trưӡng. Hai trưӡng đҫu tiên, vùng

GVHD: NguyӉn Văn Sinh - 32 -


Xây Dӵng VPN Trên IPv6

header kӃ tiӃp và đӝ dài vùng header, là đúng vӟi vùng header mӣ rӝng nhҧy tӯng
bưӟc.
M Trưӡng kiӇu đӏnh nghĩa lӝ trình là chính xác hoһc không chính xác. Trưӡng
nhӳng đӏa chӍ còn lҥi chӍ ra sӕ bưӟc nhҧy cҫn đӇ tӟi đích. Trưӡng mһt nҥ tuyӋt đӕi/
tương đӕi xác đӏnh sӵ chҳc chҳn cӫa lӝ trình. NӃu mһt nҥ là tuyӋt đӕi, lӝ trình phҧi
theo chính xác nhӳng gì đưӧc chӍ ra bӣi nguӗn. NӃu thay vào mһt nҥ tương đӕi
nhӳng router khác có thӇ thêm vào trong vùng header.

Vùng header nӅn tҧng


Vùng header kӃ Đӝ dài vùng KiӇu Nhӳng đӏa chӍ
Dӵ trӳ Mһt nҥ tuyӋt đӕi/ tương đӕi
Đӏa chӍ thӭ nhҩt
Đӏa chӍ thӭ hai
§
§
§
Đӏa chӍ cuӕi cùng
Phҫn còn lҥi cӫa Payload

Hình 25 : L͡ trình ngu͛n (Source Routing)

M Đӏa chӍ đích trong lӝ trình nguӗn không tuân theo sӵ đӏnh nghĩa trưӟc đó cӫa
chúng ta (đӏa chӍ cuӕi cùng trong đơn vӏ dӳ liӋu). Thay vào đó nó thay đәi tӯ router
sang router.
Thí dө : Host muӕn gӱi tӟi 1 đơn vӏ dӳ liӋu sang host B sӱ dөng 1 lӝ trình riê ng: A
đӃn R1 đӃn R2 đӃn R3 đӃn B. Chú ý là đӏa chӍ đích nҵm trong nhӳng vùng header
nӅn tҧng. Nó không liên tiӃp như bҥn mong đӧi. Thay vào đó nó thay đәi theo tӯng
router. Nhӳng đӏa chӍ trong vùng header mӣ rӝng cũng thay đәi theo tӯng router.

GVHD: NguyӉn Văn Sinh - 33 -


Xây Dӵng VPN Trên IPv6

Nguӗn: A Nguӗn: A Nguӗn: A Nguӗn: A


Đích: R1 Đích: R1 Đích: R1 Đích: R1
Còn lҥi: 3 Còn lҥi: 3 Còn lҥi: 3 Còn lҥi: 3
R2 R2 R2 R2
R3 R3 R3 R3
B B B B

A B

 R1  R3


R3

Hình 26: Ví dͭ l͡ trình ngu͛n (Source Routing Example)

ü.5.Z.Sӵ phân miӃng


Ý tưӣng vӅ sӵ phân miӃng như ӣ trong IPv4. Tuy nhiên nơi mà sӵ phân miӃng
chiӃm giӳ không giӕng nhau. Ӣ IPv4 nguӗn hoһc router cҫn phân miӃng nӃu cӥ cӫa
đơn vӏ dӳ liӋu lӟn hơn MTU cӫa mҥng vơi nhóm đơn cӏ dӳ liӋu sӁ đưӧc đưa đi. Ӣ
IPv6 chӍ nhӳng nguӗn nguyên thuӹ mӟi đưӧc phân miӃng. Mӝt nguӗn phҧi sӱ dөng
1 kӻ thuұt khám phá quӻ đҥo MTU (Path MTU Discovery) đӇ tìm MTU nhӓ nhҩt
đưӧc hӛ trӧ bӣi bҩt kǤ mӝt mҥng nào trong quӻ đҥo. Nguӗn sau đó phân miӃng sӵ
khám phát này.
M NӃu nguӗn không sưe dөng kӻ thuұt khám phá quӻ đҥo MTU nó có thӇ phân
miӃnh đơn vӏ dӳ liӋu thành nhӳng miӃng cӥ 576 byte hoһc nhӓ hơn. Đây là cӥ nhӓ
nhҩt MTU yêu cҫu cho mӛi mҥng kӃt nӕi vào Internet. Hình dưӟi đây cho ta thҩy
đӏnh dҥng cӫa vùng header mӣ rӝng sӵ phân miӃng:

GVHD: NguyӉn Văn Sinh - 34 -


Xây Dӵng VPN Trên IPv6

Vùng Header nӅn tҧng

Vùng header kӃ Đӝ dài vùng Sӵ phân miӃng bù 0 M


tiӃp header đҳp
Đӏa chӍ thӭ nhҩt

Phҫn còn lҥi cӫa Payload

Hình 26: Ví dͭ l͡ trình ngu͛n (Source Routing Example)

ü.5.4.Sӵ chӭng thӵc


Vùng header mӣ rӝng sӵ chӭng thӵc có mӝt mөc đích kép: nó làm cho
thông điӋp gӱi có giá trӏ và đҧm bҧo sӵ nguyên vҽn cӫa dӳ liӋu. Đҫu tiên cҫn đӇ
ngưӡi nhұn có thӇ chҳc chҳn là tӯ ngưӡi gӱi thұt và không phҧi là tӯ 1 kҿ mҥo danh.
ĐiӅu cuӕi cùng cҫn kiӇm tra là dӳ liӋu không bӏ thay đәi trong vұn chuyӇn bӣi
hacker.
M Đӏnh dҥng cӫa vùng Header mӣ rӝng sӵ chӭng thӵc đưӧc trình bày ӣ hình 28 .
Trưӡng chӍ mөc tham gia sӕ bҧo mұt đӏnh nghĩa thuұn toán đưӧc sӱ dөng cho sӵ
chӭng thӵc. Trưӡng chӭng thӵc chӭa dӳ liӋu chӭa nhӳng dӳ liӋu thұt đưӧc sinh ra
bӣi thuұt toán.

GVHD: NguyӉn Văn Sinh - 35 -


Xây Dӵng VPN Trên IPv6

Vùng Header nӅn tҧng

ChӍ mөc tham sӕ bҧo mұt

Sӵ chӭng thӵc dӳ liӋu

Phҫn còn lҥi cӫa Payload

Hình 28 : S͹ chͱng th͹c (Authentication)

M NhiӅu thuұt toán khác nhau có thӇ đưӧc sӱ dөng cho sӵ chӭng thӵc. Hình 29
phác hoҥ nhӳng phương thӭc tính toán trưӡng chӭng thӵc dӳ liӋu.

Khoá bҧo mұt 128 bít

Đơn vӏ dӳ liӋu IP
vӟi nhӳng trưӡng Sӵ chӭng
sӵ thay đәi và sӵ Thuұt toán sӵ thӵc dӳ liӋu
chӭng thӵc đưӧc chӭng thӵc 128 bít
đһt là 0

Khoá bҧo mұt 128 bít

GVHD: NguyӉn Văn Sinh - 36 -


Xây Dӵng VPN Trên IPv6

Hình 29 : S͹ tính toán cͯa s͹ chͱng th͹c dͷ li͏u


(Calculation Of Authentication Data)

Ngưӡi gӱi đi qua khoá bҧo mұt 128 bít, toàn bӝ đơn vӏ dӳ liӋu IP và khoá bҧo
mұt 128 bít lҫn nӳa đӇ đӃn thuұt toán. Nhӳng trưӡng này trong đơn vӏ dӳ liӋu vӟi
nhӳng giá trӏ có thay đәi trong quá trình vұn chuyӇn (Ví dө như bưӟc nhҧy) sӁ đưӧc
đһt là 0. Đơn vӏ dӳ liӋu qua đưӧc thuұt toán sӁ chӭa vùng header sӵ chӭng thӵc, vӟi
trưӡng sӵ chӭng thӵc dӳ liӋu đưӧc đһt là 0. Thuұt toán tҥo ra sӵ chӭng thӵc dӳ liӋu
vӟi nhӳng thӭ đã đưӧc đưa vào trong vùng header mӣ rӝng trưӟc khi tӟi quá trình
vұn chuyӇn đơn vӏ dӳ liӋu.

Nhӳng chӭc năng ngưӡi nhұn trong 1 phương pháp tương tӵ. Nó nhұn mang đi
khoá bҧo mұt và nhұn lҩy đơn vӏ dӳ liӋu ( lҫn nӳa vӟi nhӳng trưӡng thay đәi đưӧc
đһt là 0) và đi qua chúng đӇ đӃn thuұt toán sӵ chӭng thӵc. NӃu kӃt quҧ giӕng sӵ
chӭng thӵc dӳ liӋu, đơn vӏ dӳ liӋu đưӧc chӭng thӵc nӃu không chúng sӁ bӏ loҥi.

ü.5.5.Playload bҧo mұt mã hóa

Payload bӓ mұt mã hoá là phҫn mӣ rӝng mà cung cҩp mӝt cách tín nhiӋm và
bҧo vӋ chӕng lҥi sӵ nghe lén. Hình 30 trình bày sӵ đӏnh dҥng. Trưӡng chӍ mөc tham
sӕ bҧo mұt 32 bít đӏnh nghĩa kiӇu mã hoá / không mã hoá đưӧc sӱ dөng.

Vùng Header nӅn tҧng

ChӍ mөc tham sӕ bҧo mұt

Dӳ liӋu mã hoá

GVHD: NguyӉn Văn Sinh - 37 -


Xây Dӵng VPN Trên IPv6

Hình 30 : Payload b̫o m̵t mã hoá

Trưӡng khác chӭa nhӳng dӳ liӋu đang mã hoá vӟi bҩt kǤ nhӳng tham sӕ thêm
nào đưӧc cҫn bӣi thuұt toán. Sӵ mã hoá có thӇ đưӧc trang bӏ trong 2 cách :
M Mode vұn chuyӇn (Transport Mode): Trong mode vұn chuyӇn mӝt TCP hay đơn
vӏ dӳ liӋu ngưӡi sӱ dөng UDP là cái đҫu tiên đưӧc mã hoá và đưӧc gói vào trong 1
gói IPv6. Sӵ mã hoá trong mode vұn chuyӇn đưӧc sӱ dөng đa sӕ đӇ mã hoá dӳ liӋu
tӯ host sang host.

Vùng header nӅn


tҧng và nhӳng vùng
header khác

ChӍ mөc
Sӵ mã hoá
Dӳ liӋu thô
Dӳ kiӋu mã hoá

Hình 31 : S͹ mã hoá mode v̵n chuy͋n (Transport Mode Encryption)

Mode tunnel (Tunnel Mode): Trong mode tunnel toàn bӝ dӳ liӋu IP vӟi nhӳng
vùng Header nӅn tҧng cӫa nó và nhӳng vùng Header mӣ rӝng đưӧc mã hoá và gói
vào trong 1 gói IP mӟi sӱ dөng vùng Header mӣ rӝng Paylaod bҧo mұt mã hoá. Nói
cách khác chúng ta có 2 vùng Header nӅn tҧng: 1 đã mã hoá, 1 chưa mã hoá.

ü.5.6. Tùy chӑn đính


TuǤ chӑn đích đưӧc sӱ dөng khi nguӗn chӍ cҫn chuyӇn thông tin đӃn đích.
Nhӳng router không ngay lұp tӭc trao quyӅn truy cұp cho nhӳng thông tin này.

GVHD: NguyӉn Văn Sinh - 38 -


Xây Dӵng VPN Trên IPv6

Đӏnh dҥng cӫa tuǤ chӑn đích tương tӵ như tuǤ chӑn nhҧy tӯng bưӟc. Xa hơn chӍ có
Pad1 và PadN đưӧc đӏnh nghĩa.
So sánh giӳa IPv4 và IPv6: Chúng ta hãy thӵc hiӋn mӝt sӕ sӵ so sánh giӳa
nhӳng vùng Header mӣ rӝng cӫa IPv4 và IPv6:
§ TuǤ chӑn không hoҥt đӝng (no -operetion) và kӃt thúc tuǤ chӑn ( end- of -
option) trong IPv4 đưӧc thay bҵng Pad1 và PadN trong IPv6.
§ TuǤ chӑn bҧn ghi tìm đưӡng không đưӧc trang bӏ trong IPv6 vì nó không
đưӧc sӱ dөng.
§ TuǤ chӑn ten thӡi gian (timestamp) không đưӧc trang bӏ vì nó không đưӧc
sӱ dөng.
§ TuǤ chӑn nguӗn tìm đưӡng (source route) đưӧc gӑi là vùng Header mӣ
rӝng tuǤ chӑn nguӗn tìm đưӡng trong IPv6.
§ Nhӳng trưӡng sӵ phân miӃng (fragmentation) trong khu vӵc vùng Header
nèn tҧng cӫa IPv4 đưӧc chuyӇn đӃn vùng Header mӣ rӝng tuǤ chӑn sӵ phân miӃng
cӫa IPv6.
§ Vùng Header sӵ chӭng thӵc là mӟi trong IPv6.
§ Vùng Header mӣ rӝng Payload bҧo mұt mã hoá là mӟi trong IPv6.

Z. Sӵ chuyӇn tiӃp tӯ ipv4 sang ipv6


Z.1.Đһt vҩn đӅ
Giao thӭc IPv6 có nhiӅu ưu điӇm vưӧt trӝi so vӟi IPv4, đáp ӭng đưӧc nhu cҫu
phát triӇn cӫa mҥng Internet hiӋn tҥi và trong tương lai. Do đó, giao thӭc IPv6 sӁ
thay thӃ IPv4.
Tuy nhiên, không thӇ chuyӇn đәi toàn bӝ các nút mҥng IPv4 hiӋn nay sang IPv6
trong mӝt thӡi gian ngҳn. Hơn nӳa, nhiӅu ӭng dөng mҥng hiӋn tҥichưa hӛ trӧ IPv6.
Theo dӵ báo cӫa tә chӭc ISOC, IPv6 sӁ thay thӃ IPv4 vào khoҧng 2020- 2030. Vì
vұy, cҫn có mӝt quá trình chuyӇn đәi giӳa hai giao thӭc đӇ tránh hiӋn tưӧng tương
tӵ như sӵ cӕ Y2K.

GVHD: NguyӉn Văn Sinh - 39 -


Xây Dӵng VPN Trên IPv6

Các cơ chӃ chuyӇn đәi (Transition mechanism) phҧi đҧm bҧo khҧ năng tương tác
giӳa các trҥm, các ӭng dөng IPv4 hiӋn có vӟi các trҥm và ӭng dөng IPv6. Ngoài ra,
các cơ chӃ cũng cho phép chuyӇn tiӃp các luӗng thông tin IPv6 trên hҥ tҫng đӏnh
tuyӃn hiӋn có.
Trong giai đoҥn chuyӇn đәi, điӅu quan trӑng là phҧi đҧm bҧo sӵ hoҥt đӝng bình
thưӡng cӫa mҥng IPv4 hiӋn tҥi.
Yêu cҫu đӕi vӟi các cơ chӃ chuyӇn đәi:
+ ViӋc thӱ nhiӋm IPv6 không ҧnh hưӣng đӃn các mҥng IPv4 hiӋn đang hoҥt
đӝng.
+ KӃt nӕi và các dӏch vө IPv4 tiӃp tөc hoat đӝng bình thưӡng.
+ HiӋu năng hoҥt đӝng cӫa mҥng IPv4 không bӏ ҧnh hưӣng. Giao thӭc IPv6 chӍ
tác đӝng đӃn các mҥng thӱ nghiӋm.
+ Quá trình chuyӇn đәi diӉn ra tӯng bưӟc. Không nhҩt thiӃt phҧi chuyӇn đәi toàn
bӝ các nút mҥng sang giao thӭc mӟi.
Các cơ chӃ chuyӇn đәi đưӧc phân thành 2 nhóm vӟi hai chӭc năng khác nhau:
+ KӃt nӕi các mҥng và các nút mҥng IPv6 qua hҥ tҫng đӏnh tuyӃn IPv4 hiӋn có.
Các cơ chӃ này bao gӗm: Đưӡng hҫm (tunnel), 6to4, 6over4.
+ KӃt nӕi các nút mҥng IPv4 vӟi các nút mҥng IPv6. Các cơ chӃ này bao gӗm:
SIIT, NAT- PT, ALG, DSTM, BIS, BIA, SOCK64.
- Mӕi cơ chӃ đӅu có ưu, nhưӧc điӇm và phҥm vi áp dөng khác nhau. Tùy tӯng thӡi
điӇm trong giai đoҥn chuyӇn đәi, mӭc đӝ sӱ dөng cӫa các cơ chӃ chuyӇn đәi sӁ
khác nhau.
Giai đoҥn đҫu: Giao thӭc IPv4 chiӃm ưu thӃ. Các mҥng IPv6 kӃt nӕi vӟi nhau
trên nӅn hҥ tҫng IPv4 hiӋn có thông qua các đưӡng hҫm IPv6 qua IPv4.
Giai đoҥn giӳa: Giao thӭc IPv4 và IPv6 đưӧc triӇn khai vӅ phҥm vi ngang nhau
trên mҥng. Các mҥng IPv6 kӃt nӕi vӟi nhau qua hҥ tҫng đӏnh tuyӃn IPv6. Các mҥng
IPv4 kӃt nӕi vӟi các mҥng IPv6 sӱ dөng các phương pháp chuyӇn đәi đӏa chӍ giao
thӭc như NAT- PT, ALG7

GVHD: NguyӉn Văn Sinh - 40 -


Xây Dӵng VPN Trên IPv6

Giai đoҥn cuӕi: Giao thӭc IPv6 chiӃm ưu thӃ. Các mҥng IPv4 còn lҥi kӃt nӕi vӟi
nhau trên hҥ tҫng đӏnh tuyӃn IPv6 thông qua các đưӡng hҫm IPv4 qua IPv6 khi
chuyӇn hoàn toàn sang IPv6.
Z.ü.Các phương thӭc chuyӇn đәi
Z.ü.1.Chӗng giao thӭc

Đây là cơ chӃ đơn giҧn nhҩt cho phép nút mҥng đӗng thӡi hӛ trӧ cҧ hai giao thӭc
IPv6 và IPv4. Có đưӧc khҧ năng trên do mӝt trҥm Dual Stack càI đһt cҧ hai giao
thӭc, IPv4 và IPv6. Trҥm Dual Stack sӁ giao tiӃp bҵng giao thӭc IPv4 vӟi các trҥm
IPv4 và băng giao thӭc IPv6 vӟi các trҥm IPv6.

Application

TCP UDP

Ipv4 Ipv6

Data link (Ethernet)

Hình 32. Ch͛ng hai giao thͱc

GVHD: NguyӉn Văn Sinh - 41 -


Xây Dӵng VPN Trên IPv6

Do hoҥt đӝng vӟi cҧ hai giao thӭc, nút mҥng kiӇu này cҫn ít nhҩt mӝt đӏa chӍ
IPv4 và mӝt đӏa chӍ IPv6. Đӏa chӍ IPv4 có thӇ đưӧc cҩu hình trӵc tiӃp hoһc thông
qua cơ chӃ DHCP. Đӏa chӍ IPv6 đưӧc cҩu hình trӵc tiӃp hoһc thông qua khҷ năng tӵ
cҩu hình đӏa chӍ.

Nút mҥng hӛ trӧ các ӭng dөng vӟi cҧ hai giao thӭc. Chương trình tra cӭu tên
miӅn có thӇ tra cӭu đӗng thӡi cҧ các truy vҩn kiӇu A lүn kiӇu AAAA(A6). NӃu kêt
quҧ trҧ vӅ là bҧn ghi kiӇu A, ӭng dөng sӁ sӱ dөng giao thưc IPv4. NӃu kêt quҧ trҧ
vӅ là bҧn ghi AAAA(A6), ӭng dөng sӁ sӱ dөng giao thӭc IPv6. NӃu cҧ hai kӃt quҧ
trҧ vӅ, chương trình sӁ lӵa chӑn trҧ vӅ cho ӭng dөng mӝt trong hai kiӇu đӏa chӍ hoһc
cҧ hai.
- Ưu điӇm:
+ Đây la cơ chӃ cơ bҧn nhҩt đӇ nút mҥng có thӇ hoҥt đӝng đӗng thӡi vӟi cҧ hai
giao thӭ do đó, nó đưӧc hӛ trӧ trên nhiӅu nӅn tҧng khác nhau như FreeBSD,
Linux, Windows và Solaris.
+ Cho phép duy trì các kӃt nӕi bҵng cҧ hai giao thӭc IPv4 và IPv6.
Nhưӧc điӇm:
+ Khҧ năng mӣ rӝng kém vì phҧI sӱ dөng đӏa chӍ IPv4.

Z.ü.ü.Đưӡng hҫm ipv6 qua ipv4

Đưӡng hҫm cho phép kӃt nӕi các nút mҥng IPv6 qua hҥ tҫng đӏnh tuyӃn IPv4 hiӋn
có. Các trҥm và các router IPv6 thӵc hiӋn bҵng cách đóng các gói tin IPv6 bên rong
gói tin IPv4.Có 4 cách thӵc hiӋn đưӡng hҫm:
+ Đưӡng hҫm tӯ router dӃn router.
+ Đưӡng hҫm tӯ trҥm đӃn router.
+ Đưӡng hҫm tӯ trҥm đӃn trҥm
+ Đưӡng hҫm tӯ router đӃn trҥm.

GVHD: NguyӉn Văn Sinh - 42 -


Xây Dӵng VPN Trên IPv6

ho Ipv ho
st 4 st

Hình 33. Đưͥng h̯m Ipv6 qua Ipv4

- Các cách thӵc hiӋn đưӡng hҫm khác nhau ӣ vӏ trí cӫa đưӡng hҫm trong tuyӃn
đưӡng giӳa hai nút mҥng. Trong hai cách đҫu, gói tin đưӧc đӏnh đưӡng hҫm tӟi mӝt
router trung gian sau đó, router này sӁ chuyӇn tiӃp gói tin đӃn đích. Vӟi hai cách
sau, gói tin đưӧc đӏnh đưӡng hҫm thҷng tӟi đӏa chӍ đích.
- ĐӇ thӵc hiӋn đưӡng hҫm, hai điӇm đҫu đưӡng hҫm phҧi là các nút mҥng hӛ trӧ cҧ
hai giao thӭc. Khi cҫn chuyӇn tiӃp mӝt gói tin IPv6, điӇm đҫu đưӡng hҫm sӁ đóng
gói gói tin trong mӝt gói tin IPv4 bҵng các thêm phҫn mӣ đҫu header IPv4 phù hӧp.
- Khi gói tin IPv4 đӃn điӇm cuӕi đưӡng hҫm, gói tin IPv6 sӁ đưӧc tách ra đ Ӈ xӱ lý
tùy theo kiӇu đưӡng hҫm

IPv6 header Data

Gói tin ban đҫu:

IPv4 header IPv6 header Data

Gói tin đưӡng hҫm:

IPv6 header Data

GVHD: NguyӉn Văn Sinh - 43 -


Xây Dӵng VPN Trên IPv6

Gói tin ra klhӓi đưӡng hҫm

- Có hai loҥi đưӡng hҫm chính là đưӡng hҫm có cҩu hình và đưӡng hҫm tӵ
đӝng.

Đưӡng hҫm có cҩu hình (Configured tunnel)


Đһc điêm cӫa đưӡng hҫm có cҩu hình là đӏa chӍ điӇm cuӕi đưӡng hҫm không
đưӧc xác đӏnh tӵ đӝng mà dӵa trên nhӳng thông tin cҩu hình trưӟc tai điӇm đҫu
đưӡng hҫm.

3ff:b00:a: 192.168 192.168 3ffe:b00:

IPv6 IPv4 Ipv4

IPv6 IPv6 IPv4 IPv6 IPv6 IPv6 IPv6


Header Data Header header data Header
Src=3ffe:b00:a: Src=192.168.1.

Dst=3ffe:b00:a: Dst=192.168.2.

Hình 34: Đưӡng hҫm có cҩu hình.

Đưӡng hҫm tӵ đӝng (Automatic tunnel)


Đһc điӇm cӫa đưӡng hҫm tӵ đӝng là đӏa chӍ điӇm cuӕi đưӡng hҫm đưӧc xác đӏnh
mӝt cách tӵ đӝng. Đưӡng hҫm đưӧc tҥo ra mӝt cách tӵ đӝng và cũng tӵ đӝng mҩt
đi. Mô hình đҫu tiên là dùng đӏa chӍ IPv6 có khuôn dҥng đһc biӋt: đӏa chӍ IPv6
tương thích IPv4 đӇ mã hóa thông tin vӅ đӏa chӍ IPv4 trong đӏa chӍ IPv6.

GVHD: NguyӉn Văn Sinh - 44 -


Xây Dӵng VPN Trên IPv6

96 bit 32 bit

Hình 45: Đ͓a ch͑ IPv6 tương thích đ͓a ch͑ IPv4

- Tҥi điӇm đҫu đưӡng hҫm, nút mҥng đóng gói sӁ tách phҫn đӏa chӍ IPv4 làm đӏa chӍ
điӇm cuӕi đưӡng hҫm đӇ đóng gói gói tin.
Ưu điӇm:
+ Đưӡng hҫm tӵ đӝng đơn giҧn, cho phép hai nút mҥng IPv6 dӉ dàng kӃt nӕi vӟi
nhau qua kӃt nӕi IPv4 hiӋn có mà không cҫn các cҩu hình đһc biӋt.
Nhưӧc điӇm:
+ Hҥn chӃ vӅ không gian đӏa chӍ do phө thuӝc vào không gian đӏa chӍ IPv4.
+ Nguy cơ bӏ tҩn công phá hoҥi bӣi các tin tһc.
- Do đӏa chӍ cuӕi đưӡng hҫm đưӧc xác đӏnh hoàn toàn tӵ đӝng và gói tin đưӡng hҫm
sӁ đưӧc giӱ đӃn đӏa chӍ IPv4 đó. NӃu không có cơ chӃ kiӇm tra đһc biӋt, giҧ sӱ có
mӝt gói tin đưӧc giӱi dén router cӫa mҥng (203.162.7.0) vӟi đӏa chӍ IPv6 đích
::203.162.7.255. Đӏa chӍ IPv4: 203.162.7.255 là đӏa chӍ broadcast cӫa mҥng do đó,
các gói tin đưӡng hҫm sӁ đưӧc giӱ tӟi mӑi trҥm trong mҥng.
- Do đó, các đưӡng hҫm tӵ đӝng thưӡng đưӧc han chӃ sӱ dөng. Sau này ngưӡi ta đӅ
xuҩt mӝt sӕ phương pháp cҧi tiӃn như 6over, 6to4 7

Z.ü.Z. 6 over 4
Cơ chӃ cho phép các trҥm IPv6 cô lұp trên các liên kӃt vұt lý không có các
router IPv6 hoҥt đӝng dӵa trên các gói tin multicast IPv4 như mӝt liên kӃt cөc bӝ
ҧo. Cơ chӃ này còn gӑi là mҥng Ethernet ҧo.
ĐӇ hӛ trӧ các cơ chӃ Phát hiӋn láng giӅng và tӵ cҩu hình đӏa chӍ stateless, mӝt sӕ
các đӏa chӍ có phҥm vi quҧn trӏ đưӧc sӱ dөng. Các nhóm multicas đӇ giҧ lұp mӝt
tҫng liên kӃt Ethernet. Do đó, cơ chӃ phat hiӋn láng giӅng (ND) giӳa các trҥm IPv6

GVHD: NguyӉn Văn Sinh - 45 -


Xây Dӵng VPN Trên IPv6

vӟi các trҥm 6over4 giӕng như trong tҫng Ethernet thông thưӡng. Các h tiӃp cұn này
tҥo ra liên kӃt IPv6 thұt trên mӝt mҥng LAN ҧo. ĐiӇm khác biӋt là các trҥm 6over4
vào cùng mӝt miӅn IPv4 multicast thay vì mӝt mҥng chia sҿ đưӡng truyӅn.

IPv6

IPv6 over IPv4

IPv4

Hình 36. 6over4

- ViӋc ánh xҥ đӏa chӍ IPv6 sang đӏa chӍ tҫng liên kӃt đưӧc thӵc hiӋn giӕng giao
thӭc ND. Trong trưӡng hӧp này, tùy chӑn Đӏa chӍ tҫng liên kӃt nguӗn/đích sӱ
dөng IPv4 làm tҫng liên kӃt. Do đó, toàn bӝ mҥng IPv4 đưӧc coi như mӝt tҫng
liên kӃt chia sҿ đưӡng truyӅn thông qua viӋc sӱ dөng các đӏa chӍ multicast sau
đây:
+Đӏa chӍ multicast tҩt cҧ các nút mҥng (239.X.0.1): Đӏa chӍ quҧn trӏ này đưӧc
dùng đӇ đӃn mӑi nút mҥng trong miӅn IPv4 hӛ trӧ cơ chӃ này.
+ Đӏa chӍ multicast tҩt cҧ các rouuter (239.X.0.2): Đӏa chӍ quҧn trӏ này đưӧc
dùng đӇ đӃn mӑi router trong miӅn IPv4 hӛ trӧ cơ chӃ này.

GVHD: NguyӉn Văn Sinh - 46 -


Xây Dӵng VPN Trên IPv6

+ Đӏa chӍ multicast solicited-node (239.X.C.D): Đӏa chӍ quҧn trӏ này đưӧc
dùng đӇ xác đӏnh đӏa chӍ nút láng giӅng (C và D là hai byte thҩp trong đӏa chӍ
IPv4).
- Trong tҩ cҧ các đӏa chӍ này, X chӍ đӏnh danh cөc bӝ liên kӃt (thưӡng bҵng 192).
- Sӱ dөng tҫng IPv4 làm tҫng liên kӃt loҥi bӓ cá hҥn chӃ cӫa tҫng vұt lý đӕi vӟi
kӃ hoҥch chuyӇn đәi. Các trҥm có thӇ trҧi trên nhiӅu miӅn và thұm chí cách
nhiӅu bưӟc so vӟi router IPv6.
- Các trҥm 6over4 nhұn cҩu hình (đӏa chӍ liên kӃt cөc bӝ và tiӅn tӕ, đӏa chӍ IPv4
cӫa router hӛ trӧ IPv6) sӱ dөng giao thӭc ND trên các đӏa chӍ multicast IPv4.
- Sau đó các gói dӳ liӋu IPv6 đưӧc giӱ trong các gói dӳ liӋu IPv4 vӟi kiӇu giao
thӭc 41. Chính các trҥm sӁ thӵc hiӋn đưӡng hҫm.
- Ưu điӇm:
+ Các trҥm IPv6 không đòi hӓi có đӏa chӍ tương thích hay đưӡng hҫm cҩu
hình. Chính các trҥm sӁ thӵc hiӋn đưӡng hҫm. KiӃn trúc cơ sӣ bao gӗm mӝt
router vӟi kӃt nӕi IPv6 và hӛ trӧ 6over4, mӝt mҥng có khҧ năng multicast kӃt
nӕi các trҥm và router. Trong môi trưӡng đó, các trҥm 6over4 có thӇ kӃt nӕi
vӟi các trҥm IPv6 khác.
+ Có tính mӣ rӝng như IPv6 trên hҫu hӃt các phương tiӋn truyӅn.
- Nhưӧc điӇm:
+ Suy giҧm MTU cӫa gói tin dүn đӃn giҧm thông lưӧng.
+ Trong quá trình chuyӇn đәi, các router phҧi quҧng bá ít nhҩt hai tiӅn tӕ
IPv6, mӝt cho liên kӃt LAN thӵc sӵ và mӝt cho miӅn 6over4. Ngoài ra, đӝ
dài tiӅn tӕ phҧi là 128 đӇ phân biӋt hai loҥi tìên tӕ cùng có kiҿu FE80::/64.

GVHD: NguyӉn Văn Sinh - 47 -


Xây Dӵng VPN Trên IPv6

Z.ü.4.6 to 4

6 to 4 router 6 to 4 router

Ipv6 Ipv Ipv6


netw 4 netw
192.168.99.1 192.168.30.1

Network Preix: Network Preix:


2002: c0a8:6301::/48 2002: c0a8:6301::/48

Hình 37 : 6 to 4

Khuôn dҥng cӫa mӝt đӏa chӍ 6to4 như sau:

FP TLA IPv4ADDR SLAID Interface ID

Hình 38:Khuôn d̩ng đ͓a ch͑ 6to4

Cơ chӃ hoҥt đӝng:

GVHD: NguyӉn Văn Sinh - 48 -


Xây Dӵng VPN Trên IPv6

Ipv4
IPv6
IPv6
netw
netw

Ipv6 Ipv4 IPv6

Type: native IPv6 Type: IPv6 in IPv4 2002:c0a8:1e01::1


Dst:2002:c0a8:1e01::1 Dst:192.168.30.1
192.168.30.1

Hình 39 : Cơ ch͇ ho̩t đ͡ng 6 to 4


Khi có mӝt gói tin IPv6 vӟi đӏa chӍ đích có dҥng 2002::/16 đưӧc giӱ đӃn mӝt router
6to4, router 6to4 tách đӏa chӍ IPv4 (đӏa chӍ Ipv4 vӯa tách đưӧc chính là đӏa chӍ IPv4
cӫa 6to4 router đích), bӑc gói tin IPv6 trong gói tin IPv4 vӟi đӏa chӍ đích là đӏa chӍ
IPv4 vӯa tách đưӧc. Sau đó, các gói tin sӁ đưӧc chuyӇn tiӃp trên hҥ tҫng IPv4. Khi
router 6to4 đích nhұn đưӧc gói tin, gói tin IPv6 sӁ đưӧc tách ra và chuyӇn đӃn nút
mҥng IPv6 đích.
- Ưu điӇm:
+ Các nút mҥng không bҳt buӝc phҧi dùng đӏa chӍ IPv6 kiӇu tương thích IPv4
như đưӡng hҫm tӵ đӝng.
+ Không cҫn nhiӅu cҩu hình đһc biӋt như đưӡng hҫm có cҩu hình.
+ Không bӏ ҧnh hưӣng bӣi các hӋ thӕng tưӡng lӱa cӫa mҥng, chӍ cҫn routercӫa
mҥng có đӏa chӍ IPv4 toàn cөc có thӇ đӏnh tuyӃn.
- Nhưӧc điӇm:
+ ChӍ thӵc hiӋn vӟi mӝt lӟp đӏa chӍ mҥng đһc biӋt.
+ Có nguy cơ bӏ tҩn công theo kiӇu cӫa đưӡng hҫm tӵ đӝng nӃu phҫn đӏa chӍ
IPv4ADDR trong đӏa chӍ đích cӫa gói tin 6to4 là đӏa chӍ broadcast hay multicast.

GVHD: NguyӉn Văn Sinh - 49 -


Xây Dӵng VPN Trên IPv6

- TriӇn khai:
+ 6to4 đưӧc hӛ trӧ trên nhiӅu hӋ điӅu hành như Linux, Windows 2000.
+ Linux: radvd có thӇ cҩu hình đӇ quҧng bá tiӅn tӕ đӏa chӍ 6to4.
+ Windows 2000: chương trình 6to4cfg dùng đӇ cҩu hình mҥng 6to4.

Z.Z.Mô giӟi đưӡng hҫm

HiӋn nay, mҥng IPv6 sӱ dөng rҩt nhiӅu đưӡng hҫm trên hҥ tҫng IPv4. Tunnel
Broker đưӧc đưa ra đӇ giҧm nhҽ chi phí cҩu hình và duy trì các đưӡng hҫm này.
- Cơ chӃ này sӱ dөng mӝt tұp các server chuyên dөng gӑi là Tunnel Broker đӇ
cҩu hinh và duy trì các đưӡng hҫm. Chúng có thӇ xem như các ISP IPv6 ҧo cho các
ngưӡi dùng đã kӃt nӕi vào Internet IPv4. Cơ chӃ này phù hӧp cho c ác trҥm (hoһc
site) IPv6 nhӓ cô lұp muӕn kӃt nӕi dӉ dàng vào mҥng IPv6.
- Cҩu trúc cӫa TUnnel broker bao gӗm:
+ Mӝt server tunnel broker.
+ Mӝt DNS server.
+ Mӝt sӕ các server đưӡng hҫm.

GVHD: NguyӉn Văn Sinh - 50 -


Xây Dӵng VPN Trên IPv6

IPv6 IPv4
host
IPv4 network

IPv4 network IPv6 network

Hình 40: Môi trưͥng đưͥng h̯m


- Cách thӭc thӵc hiӋn:
+ Các khách hàng cӫa dӏch vө Tunnel broker là các nút mҥng IPv6 stack kép
(host hoһc router) đã kӃt nӕi vào Internet IPv4. Trưӟc khi thiӃt lұp đưӡng hҫm, cҫn
có sӵ trao đәi thông tin giӳa Tunnel broker vӟi khách hàng như xác thӵc, quҧn lý và
thông tin tài khoҧn.
+ Khách hàng kӃt nӕi tӟi tunnel broker đӇ đăng kí và kích hoҥt các đương hҫm.
Tunnel broker có thӇ chia sҿ tҥi các điӇm cuӕi đưӡng hҫm trên các server đưӡng
hҫm. Nó cũng có thӇ đăng kí tên và đӏa chӍ IPv4 cӫa đҫu đưӡng hҫm phía hӑ, tên
đăng kí trong DNS và đó là mӝt trҥm hay mӝt router.
+ Tunnel broker chӑn mӝt server đưӡng hҫm làm điӇm cuӕi đưӡng hҫm thӵc
sӵ. Nó chӑn tiӅn tӕ cҩp phát cho khách hàng (tӯ 0 đӃn 128) và cӕ đӏnh thӡi gian tӗn
tҥi cӫa đưӡng hҫm.

GVHD: NguyӉn Văn Sinh - 51 -


Xây Dӵng VPN Trên IPv6

+ Tunnel broker đăng kí đӏa chӍ IPv6 cҩp cho các điӇm cuӕi đưӡng hҫm trong
DNS.
+ Tunnel broker cҩu hình đưӡng hҫm phía server và thông báo các thông tin
liên quan cho khách hàng.
- Sau đó, khách hàng có thӇ kӃt nӕi vào mҥng IPv6 thông qua cơ chӃ đưӡng hҫm
như bình thưӡng.
- Ưu điӇm:
+ Quҧn lý tұp trung các đưӡng hҫm phía server, giҧm bӟt chi phí.
+ Có thӇ sӱ dөng các ISP ҧo trên IPv6.
- Các Tunnel Broker trên mҥng Internet:
+ Freenet6 www.freenet6.net
+ Hurriane Electric www.ipv6tb.he.net

Z.4.Dӏch đӏa chӍ dӏch giao thӭc


Dӏch đӏa chӍ và dӏch giao thӭc đưӧc phát triӇn trên cơ sӣ cơ chӃ NAT trong
IPv4 nhҵm cho phép các nút mҥng IPv4 và IPv6 kӃt nӕi vӟi nhau. Cơ chӃ này hoҥt
đӝng trên cơ sӣ chuyӇn đәi các khác biӋt giӳa các gói tin IPv4 và IPv6.
- Khác biӋt vӅ đӏa chӍ: Dӏch đӏa chӍ IPv4- IPv6.
- Khác biӋt vӅ phҫn mӣ đҫu header: Dӏch giao thӭc thay đәi header gói tin.
ThiӃt bӏ NAT- PT đưӧc cài đһt tҥi biên giӟi giӳa mҥng IPv4 vӟi Ipv6. Cơ chӃ này
không đòi hӓi các cҩu hình dһc biӋt tai các máy trҥm và các sӵ chuyӇn đәi gói tin tҥi
thiӃt bӏ NAT- PT hoàn toàn trong suӕt vӟi ngưӡi dùng.
- Mӛi thiӃt bӏ NAT- PT duy trì mӝt tұp các đӏa chӍ IPv4 dùng đҿ ánh xҥ các yêu cҫu
vӟi đӏa chӍ IPv6.
- NAT- PT có thê mӣ rӝng thành NAPT- PT cho phép sӱ dөng mӝt đӏa chӍ - - IPv4
cho nhiӅu phiên làm viӋc khác nhau.
NAT- PT cũng như NAT cũng như IPv4 không có khҧ năng hoҥt đӝng vӟi các gói
tin có chӭa đӏa chӍ trong phҫn tҧi tin. Do đó, NAT- PT thưӡng đi kèm vӟi cơ chӃ

GVHD: NguyӉn Văn Sinh - 52 -


Xây Dӵng VPN Trên IPv6

Cӱa khҭu tҫng ӭng dөng ALG. Cơ chӃ này cho phép xӱ xý các gói tin ӭng vӟi tӯng
dӏch vө nhҩt đӏnh như DNS hay FTP, ...
- Ưu điӇm:
+ Quҧn trӏ tұp trung tҥi thiӃt bӏ NAT- PT.
+ Có thӇ triӇn khai nhiӅu thiӃ bӏ NAT- PT đӇ tăng hiӋu năng hoҥt đӝng.
- Nhưӧc điӇm:
+ Tҥo lên mӝt điӇm gây lӛi loҥn single poin of failure tҥi thiӃt bӏ NAT - PT.
- Các triӇn khai cӫa NAT- PT: NAT- PT đã đưӧc thӱ nghiӋm trên các hӋ điӅu hành
mҥng như:
+ Linux, Free BSD, Microsoft Windows 2000.
+ Ngoài ra, nó cũng là mӝt phҫn cӫa hӋ điӅu hành Cisco IOS IPv6 bҧn beta vӟi
hai phiên bҧn dӵa trên IOS v11.3 và IOS v12.0. Các triӇn khai này có cho nhiӅu
loҥi router khác nhau.

IPv4 IPv4
Interne

Hình 41: NAI- PT

- SIIT (Stateless IP/ICMP Translation Algorithm) là mӝt chuҭn cӫa IETF


(RFC2765) mô tҧ bӝ dӏch IPv6/IPv4 không lưu trҥng thái (Stateless).
- Tương tӵ cơ chӃ NAT- PT ngoҥi trӯ nó không cҩp phát đӝng đӏa chӍ IPv4 cho các
trҥm IPv6. Chӭc năng chuyӇn đәi thӵc hiӋn giӳa header IPv6 và IPv4. SIIT không
bao gӗm các tùy chӑn IPv4 và header mӣ rӝng trong IPv6.
SIIT cũng thӵc hiӋn chuyӇn đәi các thông điӋp điӅu khiӇn ICMP giӳa hai giao thӭc.
- Đӕi vӟi quá trình chuyӇn đәi IPv4 sang IPv6, mӝt đӏa chӍ IPv4 tҥm thӡi đưӧc gán
cho nút mҥng IPv6.

GVHD: NguyӉn Văn Sinh - 53 -


Xây Dӵng VPN Trên IPv6

- Các gói tin đӃn thiӃt bi SIIT sӁ đưӧc chuyӇn đәi header và đӏa chӍ tӯ IPv4 sang các
đӏa chӍ IPv4-dӏch (IPv4- translated) và IPv4- ánh xҥ (IPv4- mapped). Mӝt đӏac hӍ
IPv4-dӏch tương ӭng vӟi mӝt nuts mҥng IPv6 còn đӏa chӍ IPv4- ánh xҥ tương ӭng
mӝt nút mҥng IPv4. Đӕi vӟi chiӅu ngưӧc lҥi, các đӏa chӍ này sӁ đưӧc chuyӇn đәi
ngưӧc lҥi thành đӏa chӍ IPv4.
- Do quá trình chuyӇn đәi không lưu trҥng thái, có thӇ tӗn tҥi nhiӅu bӝ chuyӇn đәi
giӳa hai mҥng IPv4 và IPv6. Không có sӵ ràng buӝc mӛi phiên truyӅn phҧi đi qua
mӝt thiӃt bӏ duy nhҩt như trong NAT- PT.

Z.5.Mӝt sӕ cơ chӃ khác.


Z.5.1.BIS (Bump Into the Stack)
BIS là sӵ kӃt hӧp cӫa hai cơ chӃ NAT- PT và DNS- ALG nhưng đưӧc cài đһt
ngay tҥi các nút mҥng IPv6. Qua đó, các ӭng dөng trên các trҥm IPv4 có thӇ kӃt nӕi
vӟi các trҥm IPv6.
Ưu điӇm:
+ Hӛ trӧ nhanh chóng và đơn giҧn các ӭng dөng IPv4 có thӇ kӃt nӕi vӟi các nút
mҥng IPv6 khác.
+ Cài đһt ngay trên tӯng trҥm nên không phө thuӝc vào mӝt thiӃt bӏ trung gian
như NAT- PT.
Nhưӧc điӇm:
+ Không hӛ trӧ khҧ năng tӵ cҩu hình.
+ Cҫn cài đһt và cҩu hình riêng rӁ trên tӯng nút mҥng: card mҥng, cҩu hình IP,
NAT. Các thông sӕ cҩu hình này cҫn đưӧc thӵc hiӋn lҥi mӛi khi có sӵ thay đәi
vӅ topo và đӏa chӍ mҥng.
+ VӅ lâu dài và vӟi các mҥng có kích thưӟc lӟn, hoҥt đӝng không hiӋu quҧ và
chi phí quҧn trӏ cao.
- TriӇn khai:

GVHD: NguyӉn Văn Sinh - 54 -


Xây Dӵng VPN Trên IPv6

+Phҫn mӅm Tôlnet6 hӛ trӧ BIS hҥn chӃ vӟi mӝt sӕ card mang hӑ 3Com,
NE2000 dưӟi dҥng driver cho card mҥng do công ty Hitachi cung cҩp. Chương trình
hoҥt đӝng vӟi Win9x và NT cho phép kӃt nӕi vӟi các trҥm IPv6.
+Sau7 khi cài đһt phҫn driver cӫa card mҥng, cҫn cҩu hình các ánh xҥ đӏa chӍ
IPv6- IPv4 trưӟc khi có thӇ thӵc hiӋn kӃt nӕi thông qua chương trình NAT
MAnager.

Z.5.ü.BIA (Bump Into the API


Phương pháp này áp dөng cho các dual- stack host (các host hӛ trӧ cҧ IPv4 và
IPv6), cho phép các host IPv6 khác vӟi các ӭng dөng IPv4 hiӋn có.
Mөc đích cӫa phương pháp cũng giӕng như cơ chӃ Bump -in-the-stack (BIS) nhưng
nó đưa ra cơ chӃ dӏch giӳa các API IPv4 và IPv6. DO vұy, quá trình đơn giҧn không
cҫn dӏch header gói tin IP và không phө thuӝc vào các giao thӭc tҫng dưӟi và trình
điӅu khiӇn cӫa giao diӋn mҥng.

Host Translatorr( BIA) IPv6 hative host


(API)

IP v6 network

IPv4 Applications

IPv6 hative host

Hình 42: BIA

GVHD: NguyӉn Văn Sinh - 55 -


Xây Dӵng VPN Trên IPv6

Phương pháp BIA không sӫ dөng đưӧc trong các host chӍ hӛ trӧ IPv4 như
phương pháp BIS. Nó chӍ đưӧc sӱ dөng trên các host IPv6/Ipv4 nhưng có mӝt sӕ
trình ӭng dөng IPv4 không thҿ hoһc khó chuyӇn đәi sang hӛ trӧ IPv6.
Do BIA hoҥt đӝng tҥi mӭc API socket nên ta có thӇ sӱ dөng các giao thӭc an
ninh tҥi tҫng mҥng (IPsec).
BIA hiӋn nay chӍ áp dөng đưӧc cho các trao đәi kiӇu Unicast, chưa áp dөng đưӧc
cho kiӇu Multicast. Các tính năng mӟi cӫa socket IPv6 không thӇ sӱ dөng.
Phương thӭc hoҥt đӝng:
+ Phương pháp BIA chèn thêm mӝt bӝ dӏch API vào giӳa module socket API và
module TCP/IP trên dual-stack host và dӏch các hàm API socket IPv4 thành các
hàm API socket IPv6 và ngưӧc lҥi.
ĐӇ áp dөng phương pháp này, host hӛ trӧ cҧ TCP(UDP)/IPv4 và TCP(UDP)/IPv6.
+ Khi mӝt ӭng dөng IPv4 giao tiӃp vӟi mӝt host IPv6 khác, bӝ dӏch API phát hiӋn
các hàm APG socket mà ӭng dөng sӱ dөng và gӑi tương ӭng các hàm API socket
IPv6 đӇ giao tiӃp vӟi host IPv6 và ngưӧc lҥi.
+ Quá trình chuyӇn đәi IPv6 sang mӝt tұp các đӏa chӍ IPv4 đưӧc thӵc hiӋn trong
module ánh xҥ tên (name resolver).
- KiӃn trúc cӫa dual-stack host sӱ dөng BIA.
- Module BIA gӗm 3 phҫn:
+ Module tra cӭu tên (Name resolver): Đáp ӭng các yêu càu tra cӭu tên miӅn cӫa
các ӭng dөng IPv4. Khi mӝt ӭng dөng giӱi mӝt truy vҩn các bҧn ghi kiӇu A tӟi
name server, module này sӁ nhұn truy vҩn này, phân tích và tҥo ra truy vҩn tương
ӭng vӟi tên máy đó cho cҧ các bҧn ghi kiӇu A và AAAA rӗi giӱi cho name server.

GVHD: NguyӉn Văn Sinh - 56 -


Xây Dӵng VPN Trên IPv6

IPv4 Applications

Socket API (IPv4 , IPv6)

API Translator
Name Address Function
Resolver Mapper Mapper

TCP(UDP)/IPv4 TCP(UDP)/IPv6

Hình 43. Ki͇n trúc cͯa dual- stack host s͵ dͭng BIA

NӃu trҧ lӡi tӯ name server chӍ có bҧn ghi kiӇu AAAA, module này sӁ yêu cҫu
module ánh xҥ đӏa chӍ gán mӝt đӏa chӍ IPv4 tương ӭng vӟi đӏa chӍ IPv6 này rӗi tҥo
ra mӝt trҧ lӡi kiӇu A chӭa đӏa chӍ IPv4 trҧ vӅ cho ӭng dөng
+ Module ánh xҥ đӏa chӍ (Address mapper).
Duy trì mӝt bҧng các cһp đӏa chӍ IPv4 và IPv6. Các đӏa chӍ IPv4 đưӧc gán tӯ mӝt
tұp các đӏa chӍ này và cұp nhұt thêm mӝt mөc trong bҧng. Quá trình cұp nhұt xҧy ra
trong hai trưӡng hӧp:
Khi module ánh xҥ tên chӍ nhұn đưӧc trҧ lӡi vӅ bҧn ghi kiӇu AAAA và không có
mөc nào trong bҧng chӭa đӏa chӍ IPv6 tương ӭng.
Khi module ánh xҥ hàm nhұn đưӧc mӝt lӡi gӑi hàm API socket tӯ dӳ liӋu thu nhұn
mà không có mөc nào trong bҧng tương ӭng vӟi đӏa chӍ IPv6 nguӗn.
+ Module ánh xҥ hàm (Function mapper): ChuyӇn đәi các hàm API socket IPv4
thành các hàm API socket IPv6 và ngưӧc lҥi.

GVHD: NguyӉn Văn Sinh - 57 -


Xây Dӵng VPN Trên IPv6

- Các vҩn đӅ liên quan


+ ChuyӇn đәi API socket.
Các hàm API socket IPv4 đưӧc chuyӇn đәi tương ӭng sang các hàm API socket
IPv6. Quá trình này chuyӇn đәi cҧ các đӏa chӍ IP nhúng trong các giao thӭc tҫng
ӭng dөng (FTP, DNS,...). Sӵ tương thích giӳa các hàm API socket là không hoàn
toàn do các hàm API socket IPv6 có nhiӅu tính năng hơn.
Các hàm API socket đưӧc chuyӇn đәi:

bind()
connect()
sendmsg()
sendto()
accept()
rrecvfrom()
recvmsg()
getpeername()
gétockname()
gétocketopt()
sétocketopt()
recv()
send()

B̫ng 3- 1. Các hàm API socket đưͫc chuy͋n đ͝i


Các cҩu trúc và hàm API cơ bҧn

AF_ INET AF- INET6

sockaddr_in sockaddr_in6

GVHD: NguyӉn Văn Sinh - 58 -


Xây Dӵng VPN Trên IPv6

gethostbyname() getaddrinfo()
gethosbyaddr() getnameinfo()
inet_ntoa()/inet_addr() inet_pton()/inet_ntop()
INADDR_ANY in6addr_any

B̫ng 3- 2. Các c̭u trúc và hàm API cơ b̫n

- Các thông điӋp ICMPv4 đưӧc chuyӇn thành ICMPv6 và ngưӧc lҥi giӕng trong
phưong pháp SIIT.
+ Tұp các đӏa chӍ IPv4 và bҧng ánh xҥ đӏa chӍ.
ĐӇ tránh hiӋn tưӧng dùng hӃt tұp đӏa chӍ IPv4 dүn đӃn không thӇ tiӃp tөc đáp ӭng
các yêu cҫu trao đәi vӟi bên ngoài, BIA đưa ra các cơ chӃ đӇ loҥi bӓ các mөc tӗn tҥi
lâu nhҩt trong bҧng đӇ sӱ dөng trong các yêu càu mӟi.
+ Các đӏa chӍ IPv4 nӝi bô.
ĐӇ tránh đөng đӝ vӅ đӏa chӍ, BIA sӱ dөng các đӏa chӍ không đưӧc cҩp phát (0.0.0.0
đӃn 0.0.0.255).
+ Vҩn đӅ không phù hӧp giӳa kӃt quҧ DNS (AAAA) vӟi phiên bҧn ӭng dөng
(v4).
- NӃu server ӭng dөng chưa hӛ trӧ IPv6 nhưng chҥy trên mӝt máy có hӛ trӧ IPv6 và
có tên dưӟi kiӇu bҧn ghi AAAA trong DNS, ӭng dөng client có thӇ không kӃt nӕi
đưӧc vӟi server do có sӵ không phù hӧp giӳa bҧn ghi kӃt quҧ DNS (AAAA) vӟi
phiên bҧn ӭng dөng server (IPv4).
- Mӝt trong các giҧi pháp là thӱ tҩt cҧ các đӏa chӍ trong DNS và không kӃt thúc ngay
sau lҫn thӱ đҫu tiên. ĐiӅu này có thӇ ӭng dөng bӣi sӵ mӣ rӝng module tra cӭu tên
và bӝ dich API trong BIA. BIA thӵc hiӋn lһp công viӋc tìm kiӃm các đӏa chӍ hoҥt
đӝng sӱ dөng bӣi các ӭng dөng khác bên ngoài các đӏa chӍ trҧ vӅ tӯ name server.

GVHD: NguyӉn Văn Sinh - 59 -


Xây Dӵng VPN Trên IPv6

Z  Z V 
i i i T 
Cơ chӃ này cho phép kӃt nӕi các nút mҥng st ck kӃp (IPv6/IPv4) trên mӝt
mҥng IPv6 vӟi các nút mҥng IPv4 ӣ xa. DSTM không áp dөng đưӧc cho các nút
mҥng chӍ hӛ trӧ IPv6.
- DSTM cҩp mӝt đӏa chӍ IPv4 toàn cөc tҥm thӡi cho nút mҥng IPv6 và sӱ dөng
đưӡng hҫm IPv4-in-IPv6 đӇ truyӅn gói tin IPv4 trên mҥng IPv6.
- Đây là cơ chӃ hai chiӅu, quá trình truyӅn thông có thӇ bҳt đҫu t nút mҥng IPv6
hoһc nút mҥng IPv4.
- Cách thӭc hoҥt đӝng:
+ DSTM đưӧc cài đһt trên tҩt cҧ các nút mҥng trong mҥng IPv6 và rout r biên giӟi
gi a hai miӅn IPv6 và IPv4. Nó cũng sӱ dөng DHCPv6. Do vұy, DSTM cҫn mӝt
server DHCPv6 và các client tҥi mӛi nút mҥng.

DHCP


Border router(Y) IPv4


IPv6

IPv4 only node (Z)

Dual stack node (X)

DNS

c C  


 iiitͱ


GVHD: NguyӉn Văn Sinh - 60 -


Xây Dӵng VPN Trên IPv6

- Chӭc năng các bӝ phұn như sau:


+ DHCPv6 Server: Cҩp đӏa chӍ IPv4 tҥm thӡi cho các nút mҥng muӕn giao tiӃp
vӟi nút mҥng IPv4 ӣ xa. Nó cũng duy trì sӵ ánh xҥ giӳa đӏa chӍ IPv4 và IPv6. ĐӇ
hӛ trӧ DSTM, DHCPv6 phҧi hӛ trӧ mӝt tùy chӑn mӟi cho phép nút mҥng IPv6
nhұn đӏa chӍ IPv4 tҥm thӡi và thông báo cho phía client biӃt đӏa chӍ IPv6 cӫa
cuӕi đưӡng hҫm.
+ DSTM daemon: Sӱ dөng DHCPv6 client trên nút mҥng đӇ yêu cҫu đӏa chӍ
IPv4 toàn cөc mӛi khi khӣi tҥo truyӅn thông.
+ Giao diӋn đưӡng hҫm đӝng (DTI): Đây là mӝt giao diӋn IPv4 ҧo trongnut
stack kép đӇ cho phép truyӅn các gói tin IPv4 mӝt cách trong suӕt trên mҥng
IPv6. Các gói tin chuyӇn đӃn giao diӋn này đưӧc bӑc trong gói tin IPv6 và đưӧc
giӱi thông qua giao diӋn IPv6 đӃn router biên mҥng.
+ Router biên mҥng: Đây là mӝt router stack kép kӃt nӕi miӅn IPv4 vӟi IPv6.
Đây là nơi kӃt thúc đưӡng hҫm 4 trong 6. Router cũng lưu các ánh xҥ giӳa đӏa
chӍ IPv6 vӟi đӏa chӍ IPv4 tҥm thӡi.
- Ưu điӇm:
+ Trong suӕt đӕi vӟi mҥng, chӍ cҫn duy trì đӏnh tuyӃn IPv6 trên mҥng, giҧm chi
phí quҧn trӏ mҥng.
+ Trong suӕt đӕi vӟi ӭng dөng, cho phép các ӭng dөng c hӍ cho IPv4 hoҥt đӝng
bình thưӡng trên nút mҥng IPv4/IPv6.
+ Khҳc phuc sӵ thiӃu hөt đӏa chӍ IPv4 bҵng cách sӱ dөng DHCPv6.
- Nhưӧc điӇm:
+ Đòi hӓi nhiӅu cơ chӃ đһc biӋt.
+ Sӱ dөng các đӏa chӍ IPv4 toàn cөc.
- TriӇn khai:
+Hiên mӟi chӍ có trên hӋ điӅu hành Free BSD.

GVHD: NguyӉn Văn Sinh - 61 -


Xây Dӵng VPN Trên IPv6

Chương ü: Tәng quan vӅ VPN


1. Giӟi ThiӋu vӅ VPN
1.1.Giӟi thiӋu
Trong thұp kӹ qua, Internet đã phát triӇn bùng nә vӟi tӕc đӝ chóng mһt trên toàn
thӃ giӟi cҧ vӅ sӕ lưӧng và vӅ kĩ thuұt. Và sӵ phát triӇn đó không có dҩu hiӋu sӁ
dӯng lҥi. Sӵ phát triӇn không chӍ đơn giҧn là sӕ lưӧng lӟn thành viên mӟi kӃt nӕi
vào hӋ thӕng Internet mӛi giӡ mà còn là sӵ xâm nhұp cӫa nó vào các khía cҥnh cuӝc
sӕng hiӋn đҥi, vào các hoҥt đӝng thương mҥi vӟi quy mô lӟn nhӓ khác nhau...
Ban đҫu, các tә chӭc cơ quan sӱ dөng Internet đӇ giӟi thiӋu các sҧn phҭm và
dӏch vө bҵng các website cӫa mình. Cùng vӟi thӡi gian, nó sӁ phát triӇn thành
thương mҥi điӋn tӱ, mӑi hoҥt đӝng kinh doanh, các giao dӏch đưӧc thӵc hiӋn qua
mҥng internet.
Cùng vӟi sӵ phát triӇn đó thì các vҩn đӅ vӅ bҧo mұt, bҧo vӋ các nguӗn thông tin
quan trӑng đưӧc lưu trên hӋ thӕng đưӧc coi trӑng hơn. Hơn nӳa, cùng vӟi sӵ phát
triӇn toàn cҫu hóa, chi phí bә sung cho thông tin liên lҥc, truyӅn tҧi dӳ liӋu giӳa các
chi nhánh trên khҳp nơi tăng cao. Ngưӡi ta thҩy rҵng có thӇ giҧm chi phí này bҵng
cách sӱ dөng mҥng internet, tӯ đó có thӇ tăng lӧi nhuұn cӫa tә chӭc.
Vҩn đӅ phát sinh là tính bҧo mұt và hiӋu quҧ kinh thӃ cӫa viӋc truyӅn tҧi dӳ liӋu
quan mҥng trung gian công công không an toàn như Internet. ĐӇ giҧi quyӃt vҩn đӅ
này, mӝt giҧi pháp đưa ra là mҥng riêng ҧo (VPNs). Chính điӅu này là đӝng lӵc cho
sӵ phát triӇn mҥnh mӁ cӫa VPNs như ngày nay.
Trong chương này, chúng ta sӁ đӅ cұp đӃn nhӳng vҩn đӅ cơ bҧn cӫa kĩ thuұt VPN

1.ü.Mӝt Sӕ Khái NiӋm


Đáp ӭng nhu cҫu truy cұp tӯ xa vào mҥng nӝi bӝ văn phòng chính đӇ trao đәi
dӳ liӋu hay sӱ dөng ӭng dөng ngày càng phә biӃn đã thúc đҭy sӵ phát triӇn cӫa
VPNs. Tuy nhiên vì lý do mҥng Internet là mӝt mҥng công cӝng chia sҿ có thӇ đưӧc
truy cұp bӣi bҩt cӭ ai, bҩt kì ӣ đâu và bҩt kì thӡi gian nào nên xuҩt hiӋn nhiӅu nguy
cơ thông tin trao đәi có thӇ bӏ truy cұp trái phép. Mөc đích đҫu tiên cӫa VPNs là

GVHD: NguyӉn Văn Sinh - 62 -


Xây Dӵng VPN Trên IPv6

đáp ӭng các yêu cҫu bҧo mұt, khҧ năng truyӅn tҧi thông tin và đӝ tin cұy cӫa mҥng
vӟi chi phí bә sung hӧp l .
Theo tiêu chuҭn đưӧc đӏnh nghĩa bӣi Internet Engineering Task Force
(IETF), VPN là sӵ kӃt nӕi các mҥng WAN riêng (Wide Area Net ork) sӱ dөng IP
chia sҿ và công cӝng như mҥng Internet hay IP backbones riêng.
HiӇu đơn giҧn, VPN là phҫn mӣ rӝng mҥng riêng (private intranet) sang
mҥng công cӝng (Internet) và đҧm bҧo hi u suҩt truyӅn tin gi a hai thiӃt bӏ thông
tin đҫu cuӕi. Sӵ mӣ rӝng đưӧc thӵc hi n bӣi các ³đưӡng hҫm´ logic (private logical
"tunnels"). Nhӳng đưӡng hҫm này giúp trao đәi dӳ li u giӳa 2 điӇm đҫu cuӕi như là
giao thӭc thông tin point-to-point.

Hình 1: VPN setup


Kĩ thuұt đưӡng hҫm là l i cơ bҧn cӫa VPNs. Bên cҥnh đó do vҩn đӅ bҧo mұt
cӫa mӕt sӕ thông tin quan trӑng, ngưӡi ta cũng sӱ dөng mӝt sӕ phương pháp sau:

ì !   i  Là quá trình làm thay đәi đӏnh dҥng cӫa dӳ li u
sao cho nó chӍ có thӇ đưӧc đӑc bӣi ngưӡi nhұn cҫn gӱi. ĐӇ đӑc thông tin đưӧc gӱi,
ngưӡi nhұn dӳ li u đó cҫn phҧi có chính xác khóa giҧi mã (decryption key). Trong
phương pháp mã hóa truyӅn thӕng thì ngưӡi gӱi và ngưӡi nhұn cҫn phҧi có cùng
mӝt khóa cho mã hóa và giҧi mã. Ngưӧc lҥi, phương pháp mã hóa công cӝng hi n
nay thì sӱ dөng 2 khóa:

GVHD: NguyӉn Văn Sinh - 63 -


Xây Dӵng VPN Trên IPv6

 Khóa chung (public key): đưӧc tҩt cҧ mӑi ngưӡi sӱ dөng trong cҧ 2 quá
trình mã hóa và giҧi mã. Mã chung này là riêng biӋt cho nhӳng thӵc thӇ khác
nhau, khóa chung này có thӇ đưӧc cung cҩp cho bҩt cӭ thӵc thӇ nào muӕn
giao tiӃp mӝt cách an toàn vӟi thӵc thӇ đó.
 Khóa riêng (private key): Khóa riêng này là cá nhân vӟi mӛi thӵc thӇ,
tăng phҫn bҧo mұt cho thông tin. Vӟi khóa mã chung cӫa mӝt thӵc thӇ thì bҩt
cӭ ai cũng có thӇ sӱ dөng đӇ mã hóa và gӱi dӳ liӋu, tuy nhiên chӍ có thӵc thӇ
có khóa riêng phù hӧp mӟi có thӇ giҧi mã dӳ liӋu nhұn đưӧc này. Trong giao
tiӃp, thì ngưӡi gӱi có khóa chung đӇ mã hóa dӳ liêu còn ngưӡi nhұn thì sӱ
dөng khóa riêng đӇ giҧi mã dӳ liӋu đó.

Có hai ӭng dөng mã hóa sӱ dөng phә biӃn là Pretty Good Privacy (PGP) and
Data Encryption Standard (DES).

ì Xác nhұn (authentication): Là quá trình đӇ đҧm bҧo dӳ liӋu gӱi đi đӃn
đưӧc đúng nơi cҫn nhұn và ngưӡi nhұn dӳ liӋu nhұn đưӧc thông tin đҫy đӫ. Mӝt
dҥng đơn giҧn cӫa nó là yêu cҫu xác nhұn ít nhҩt là username và password đӇ truy
cұp tài nguyên. Mӝt dҥng phӭc tҥp hơn là sӵ xác nhұn có thӇ dӵa trên cơ sӣ là mӝt
khóa bí mұt mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key
encryption)

ì y quyӅn (authorization): là sӵ cho phép hay tӯ chӕi truy cұp tài nguyên trên
mҥng sau khi ngưӡi sӱ dөng đã xác nhұn thành công.
1.Z.Sӵ Phát TriӇn
VPNs không thӵc sӵ là kĩ thuұt mӟi. Trái vӟi suy nghĩ cӫa nhiӅu ngưӡi, mô
hình VPNs đã phát triӇn đưӧc khoҧng 15 năm và trҧi qua mӝt sӕ thӃ hӋ đӇ trӣ thành
như hiӋn nay.
Mô hình VPNs đҫu tiên đưӧc đӅ xuҩt bӣi AT&T cuӕi nhӳng năm 80 và đưӧc
biӃt đӃn vӟi tên Software Defined Networks (SDNs). SDNs là mҥng WANs, các kӃt

GVHD: NguyӉn Văn Sinh - 64 -


Xây Dӵng VPN Trên IPv6

nӕi dӵa trên cơ sӣ dӳ liӋu mà đưӧc phân loҥi mӛi khi có kӃt nӕi cөc bӝ hay bên
ngoài. Dӵa trên thông tin này, gói dӳ liӋu đưӧc đӏnh tuyӃn đưӡng đi đӃn đích thông
qua hӋ thӕng chuyӇn mҥch chia sҿ công cӝng.

ThӃ hӋ thӭ hai cӫa VPNs đӃn tӯ sӵ xuҩt hiӋn cӫa X.25 và kĩ thuұt Integrated
Services Digital Network (ISDN) trong đҫu nhӳng năm 90. Hai kĩ thuұt này cho
phép truyӅn dӳ liӋu gói qua mҥng công cӝng phә biӃn vӟi tӕc đӝ nhanh. Và giao
thӭc X.25 và ISDN đưӧc xem là nguӗn gӕc cӫa giao thӭc VPNs. Tuy nhiên do hҥn
chӃ vӅ tӕc đӝ truyӅn tҧi thông tin đӇ đáp ӭng các nhu cҫu càng tăng cӫa con ngưӡi
nên thӡi gian tӗn tҥi cӫa nó khá ngҳn.

Sau thӃ hӋ thӭ 2, VPN phát triӇn chұm cho đӃn khi sӵ xuҩt hiӋn cӫa cell-
based Frame Relay (FR) và kĩ thuұt Asynchronous Transfer Mode (ATM). ThӃ hӋ
thӭ 3 cӫa VPN dӵa trên cơ sӣ kĩ thuұt ATM và FR này. Hai kĩ thuұt này dӵa trên
mô hình chuyӇn mҥch ҧo (virtual circuit switching). Trong đó các gói tin không
chӭa dӳ liӋu nguӗn hay đӏa chӍ gӱi đӃn mà thay vào đó là chúng mang các con trӓ
đӃn mҥch ҧo nơi mà nguӗn và điӇm đӃn đưӧc xác đӏnh. Vӟi kĩ thuұt này thì tӕc đӝ
truyӅn dӳ liӋu đưӧc cҧi thiӋn (160 Mbps hoһc hơn) so vӟi trưӟc đó là SDN, X.25
hay ISDN.
Vӟi sӵ phát triӇn cӫa thương mҥi điӋn tӱ (e-commerce) giӳa thұp niên 90,
ngưӡi sӱ dөng và các tә chӭc muӕn mӝt giҧi pháp có cҩu hình dӉ dàng, có khҧ năng
quҧn lý, truy cұp toàn cҫu và có tính bҧo mұt cao hơn. ThӃ hӋ VPNs hiӋn tҥi đã đáp
ӭng đưӧc các yêu cҫu đӅ ra, bҵng cách sӱ dөng kӻ thuұt ³đưӡng hҫm´ (tunneling
technology). Kĩ thuұt này dӵa trên giao thӭc gói dӳ liӋu truyӅn trên mӝt tuyӃn xác
đӏnh gӑi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol
(PPTP), hay Layer 2 Tunneling Protocol (L2TP). TuyӃn đưӡng đi xác đӏnh bӣi
thông tin IP. Vì dӳ liӋu đưӧc tҥo bӣi nhiӅu dҥng khác nhau nên ³đưӡng hҫm´ phҧi
có thӇ hӛ trӧ nhiӅu giao thӭc truyӅn tҧi khác nhau bao gӗm IP, ISDN, FR, và ATM
1.4.Ưu ĐiӇm/KhuyӃt ĐiӇm

GVHD: NguyӉn Văn Sinh - 65 -


Xây Dӵng VPN Trên IPv6

X Ưu điӇm:
 Êi̫m chi phí thi͇t l̵p: VPNs có giá thành thҩp hơn rҩt nhiӅu so vӟi các
giҧi pháp truyӅn tin truyӅn thӕng như Frame Relay, ATM, hay ISDN. Lý do là
VPNs đã loҥi bӓ các kӃt nӕi khoҧng cách xa bҵng cách thay thӃ chúng bҵng các kӃt
nӕi nӝi bӝ và mҥng truyӅn tҧi như ISP, hay ISP's Point of Presence (POP).
 Êi̫m chi phí v̵n hành qu̫n lý : Bҵng cách giҧm chi phí viӉn thông
khoҧng cách xa, VPNs cũng giҧm chi phí vұn hành mҥng WAN mӝt cách đáng kӇ.
Ngoài ra các tә chӭc cũng có thӇ giҧm đưӧc tәng chi phí thêm nӃu các thiӃt bӏ mҥng
WAN dӱ dөng trong VPNs đưӧc quҧn lý bӣi ISP. Mӝt nguyên nhân nӳa giúp làm
giҧm chi phí vұn hành là nhân sӵ, tӕ chӭc không mҩt chi phí đӇ đào tҥo và trҧ cho
nhiӅu ngưӡi ngưӡi quҧn lý mҥng.
 Nâng cao k͇t n͙i (Enhanced connectivity): VPNs sӱ dөng mҥng Internet
cho kӃt nӕi nӝi bӝ giӳa các phҫn xa nhau cӫa intranet. Do Internet có thӇ đưӧc truy
cұp toàn cҫu, do đó ӣ bҩt cӭ các chi nhánh ӣ xa nào thì ngưӡi sӱ dөng cũng có thӇ
kӃt nӕi dӉ dàng vӟi mҥng intranet chính
 B̫o m̵t: Bӣi vì VPNs sӱ dөng kĩ thuұt tunneling đӇ truyӅn dӳ liӋu thông
qua mҥng công cӝng cho nên tính bҧo mұt cũng đưӧc cҧi thiӋn. Thêm vào đó, VPNs
sӱ dөng thêm các phương pháp tăng cưӡng bҧo mұt như mã hóa, xác nhұn và ӫy
quyӅn. Do đó VPNs đưӧc đánh giá cao bҧo mұt trong truyӅn tin.
 Hi͏u xṷt băng thông: Sӵ lãng phí băng thông khi không có kӃt nӕi
Internet nào đưӧc kích hoҥt. Trong kĩ thuұt VPNs thì các ³đưӡng hҫm´ chӍ đưӧc
hình thành khi có yêu cҫu truyӅn tҧi thông tin. Băng thông mҥng chӍ đưӧc sӱ dөng
khi có kích hoҥt kӃt nӕi Internet. Do đó hҥn chӃ rҩt nhiӅu sӵ lãng phí băng thông.
 Có th͋ nâng c̭p d͍ dàng: Bӣi bì VPNs dӵa trên cơ sӣ Internet nên các nó
cho phép các các mҥng intranet các tә chӭc có thӇ phát triӇn khi mà hoҥt đӝng kinh
doanh phát triӇn hơn, mà yêu cҫu nâng cҩp, các thành phҫn bә sung thêm vào tӕi
thiӇu. ĐiӅu này làm mҥng intranet có khҧ năng nâng cҩp dӉ dàng theo sӵ phát triӇn
trong tương lai mà không cҫn đҫu tư lҥi nhiӅu cho cơ sӣ hҥ tҫng.
b. KhuyӃt điӇm:

GVHD: NguyӉn Văn Sinh - 66 -


Xây Dӵng VPN Trên IPv6

 Phө thuӝc nhiӅu vào chҩt lưӧng mҥng Internet. Sӵ quá tҧi hay tҳt nghӁn
mҥng có thӇ làm ҧnh hưӣng xҩu đӃn chҩt lưӧng truyӅn tin cӫa các máy trong mҥng
VPNs.
 ThiӃu các giao thӭc kӃ thӯa hӛ trӧ: VPNs hiӋn nay dӵa hoàn toàn trên cơ
sӣ kĩ thuұt IP. Tuy nhiên, nhiӅu tә chӭc tiӃp tөc sӱ dөng máy tính lӟn (mainframes)
và các thiӃt bӏ và giao thӭc kӃ thӯa cho viӋc truyӅn tin mӛi ngày. KӃt quҧ là VPNs
không phù hӧp đưӧc vӟi các thiӃt bӏ và giao thӭc này. Vҩn đӅ này có thӇ đưӧc giҧi
quyӃt mӝt cách chӯng mӵc bӣi các ³tunneling mechanisms´. Nhưng các gói tin
SNA và các lưu lưӧng non-IP bên cҥnh các gói tin IP có thӇ sӁ làm chұm hiӋu suҩt
làm viӋc cӫa cҧ mҥng.
ü. Các Dҥng VPN
ü.1.Remote access VPN
Hình 1.2 mô tҧ phương pháp truy cұp tӯ xa truyӅn thӕng. HӋ thӕng bao gӗm
các thành phҫn chính:
 Remote Access Server (RAS), nó xác đӏnh đӏa chӍ và kiӇm tra xác nhұn và
ӫy quyӅn cӫa yêu cҫu truy cұp tӯ xa.
 K͇t n͙i Dial-up vӟi văn phòng trung tâm trong trưӡng hӧp kӃt nӕi vӟi mà
khoҧng cách xa
 Nhân sӵ: nhӳng ngưӡi có trách nhiӋm cҩu hình hӋ thӕng, bҧo trì và quҧn
lý RAS và hӛ trӧ ngưӡi dùng ӣ xa.

GVHD: NguyӉn Văn Sinh - 67 -


Xây Dӵng VPN Trên IPv6

hình 2: VPN remote access

ĐӇ nâng cҩp Remote Access VPNs, ngưӡi dùng xa và các văn phòng chi
nhánh chӍ cҫn thiӃt lұp kӃt nӕi dial-up đӏa phương vӟi ISP hoһc ISP's POP và kӃt
nӕi vӟi mҥng trung tâm thông qua Internet. Mô hình thiӃt lұp Remote Access VPN
đưӧc mô tҧ ӣ hình 1-3

GVHD: NguyӉn Văn Sinh - 68 -


Xây Dӵng VPN Trên IPv6

Hình 3: VPN remote access setup

ì Ưu khuyӃt điӇm cӫa Remote Access VPNs so vӟi Remote Access truyӅn
thӕng:
 Không có thành phҫn RAS và các thành phҫn modem liên quan
 Không cҫn nhân sӵ hӛ trӧ hӋ thӕng do kӃt nӕi t xa đưӧc thӵc hiӋn bӣi
ISP
 KӃt nӕi dial-up khoҧng cách xa đưӧc loҥi bӓ, thay vào đó là các kӃt nӕi
đӏa phương. Do đó chi phí vұn hành giҧm rҩt nhiӅu.
 Vì kӃt nӕi dial-up là cөc bӝ nên modem vұn hành truyӅn dӳ liӋu tӕc đӝ
cao hơn so vӟi phҧi truyӅn dӳ liӋu đi xa.
 VPNs cho phép truy đӏa chӍ trung tâm (corporate site) tӕt hơn bӣi vì nó
hӛ trӧ mӭc thҩp nhҩt truy cұp dӏch vө bҩt kӇ sӕ ngưӡi sӱ dөng đӗng thӡi truy cұp
mҥng tăng cao. Khi sӕ ngưӡi sӱ dөng trong hӋ thӕng VPN tăng, thì mһc dù chҩt
lưӧng dӏch vө có giҧm nhưng khҧ năng truy cұp không hoàn toàn mҩt.

GVHD: NguyӉn Văn Sinh - 69 -


Xây Dӵng VPN Trên IPv6

Bên cҥnh nhӳng ưu điӇm cӫa VPNs thì vүn tӗn tҥi mӝt sӕ khuyӃt điӇm còn
tӗn tҥi cӫa Remote Access truyӅn thӕng:
 Remote Access VPNs không đҧm bҧo chҩt lưӧng cӫa dӏch vө QoS.
 Khҧ năng mҩt dӳ liӋu là rҩt cao. Thêm vào đó, gói tin có thӇ bӏ phân
mҧnh và mҩt trұt tӵ
 Do tính phӭc tҥp cӫa thuұt toán mã hóa, giao thӭc t mão sӁ tăng lên
khá nhiӅu. ĐiӅu này sӁ đưa đӃn quá trình xác nhұn sӁ phӭc tҥp hơn. Thêm vào đó,
dӳ liӋu nén IP- and PPP-based là rҩt chұm và chҩt lưӧng ko tӕt.
 Sӵ truyӅn tҧi thông tin phө thuӝc vào Internet, khi truyӅn tҧi dӳ liӋu đa
phương tiӋn bҵng ³đưӡng hҫm´ Remote Access VPN có thӇ gây chұm đưӡng
truyӅn.

  
Intranet VPNs thưӡng đưӧc sӱ dөng đӇ kӃt nӕi các văn phòng chi nhánh cӫa
tә chӭc vӟi mҥng intranet trung tâm. Trong hӋ thӕng intranet không sӱ dөng kĩ
thuұt VPN, thì mӛi site ӣ xa khi kӃt nӕi intranet trung tâm phҧi sӱ dөng  
 Mô hình đưӧc mô tҧ như hình 1-4:

Hình 4: VPN intranet

GVHD: NguyӉn Văn Sinh - 70 -


Xây Dӵng VPN Trên IPv6

HӋ thӕng mô tҧ ӣ trên có chi phí cao bӣi vì có ít nhҩt là 2 router cҫn thiӃt đӇ
kӃt nӕi. Thêm vào đó, sӵ vұn hành, bҧo trì và quҧn l intranet backbone có thӇ yêu
cҫu chi phí rҩt cao phө thuӝc vào lưu lưӧng truyӅn tҧi tin cӫa mҥng và diӋn tích đӏa
l cӫa mҥng intranet.
Vӟi sӵ bә sung giҧi pháp VPN, thì chi phí đҳt đӓ cӫa WAN backbone đưӧc
thay thӃ bҵng chi phí thҩp cӫa kӃt nӕi Internet, qua đó tәng chi phí cho mҥng
intranet sӁ giҧm xuӕng. Giҧi pháp VPNs đưӧc mô tҧ như hình 1-5:

Hình 5: VPN extranet

ì  i:
 Giҧm chi phí cho router đưӧc sӱ dөng ӣ WAN backbone.
 Giҧm sӕ nhân sӵ hӛ trӧ ӣ các nơi, các trҥm
 Bӣi vì Internet như là kӃt nӕi trung gian nên dӉ dàng thiӃt lұp các kӃt nӕi
peer-to-peer mӟi.
 HiӋu quҧ kinh tӃ có thӇ đҥt đưӧc bҵng các sӱ dөng đưӡng hҫm VPN kӃt
hӧp vӟi kĩ thuұt chuyӇn mҥch nhanh như FR

GVHD: NguyӉn Văn Sinh - 71 -


Xây Dӵng VPN Trên IPv6

 Do kӃt nӕi dial-up cөc bӝ vӟi ISP, sӵ truy xuҩt thông tin nhanh hơn và tӕt
hơn. Sӵ loҥi bӓ các kӃt nӕi đưӡng dài giúp cho doanh nghiӋp giҧm chi phí vұn hành
intranet rҩt nhiӅu.
ì KhuyӃt điӇm:
 Mһc dù dӳ liӋu truyӅn đi trong tunnel nhưng do truyӅn trên Internet -
mҥng chia sҿ công cӝng- nên cũng tӗn tҥi nhӳng nguy cơ bҧo mұt nguy hiӇm như
tҩn công tӯ chӕi dӏch vө (denial-of-service)
 Khҧ năng mҩt gói dӳ liӋu khi truyӅn đi vүn rҩt là cao.
 Trong trưӡng hӧp truyӅn tҧi các dӳ liӋu đa phương tiӋn thì gây quá tҧi,
chұm hӋ thӕng và tӕc đӝ truyӅn sӁ rҩt chұm do phө thuӝc vào mҥng Internet.

Do truyӅn dӳ liӋu dӵa trên kӃt nӕi Internet nên chҩt lưӧng có thӇ không әn đinh và
QoS không thӇ đҧm bҧo
ü.Z.Extranet VPN
Không giӕng như giҧi pháp cӫa intranet VPNs và remote access VPNs,
extranet VPNs không tách riêng vӟi thӃ giӟi ngoài. Extranet VPNs cho phép điӅu
khiӇn sӵ truy xuҩt các tài nguyên mҥng cho các thӵc thӇ ngoài tә chӭc như các các
đӕi tác, khách hàng hay nhà cung cҩp nhӳng ngưӡi đóng vai trò quan trӑng trong
hoҥt đӝng thương mҥi cӫa tә chӭc
Mҥng kӃt nӕi ngoài (extranet connectivity) truyӅn thӕng đưӧc mô tҧ ӣ
hình1-6

GVHD: NguyӉn Văn Sinh - 72 -


Xây Dӵng VPN Trên IPv6

Mô hình truyӅn thӕng có chi phí rҩt cao do mӛi mҥng phân chia cӫa intranet
phҧi có bӝ phұn kӃt nӕi (tailoring) tương xӭng các mҥng ngoài. Do đó sӁ vұn hành
và quҧn l rҩt phӭc tҥp các mҥng khác nhau. Ngoài ra yêu cҫu nhân sӵ đӇ bҧo trì và
quҧn l hӋ thӕng phӭc tҥp này trình đӝ cao. Ngoài ra, vӟi thiӃt lұp dҥng này sӁ
không dӉ mӣ rӝng mҥng do phҧi cài đһt lҥu cho toàn bӝ intranet và có thӇ gây ҧnh
hưӣng đӃn các kӃt nӕi mҥng ngoài khác.
Sӵ bә sung cӫa VPNs giúp cho nhiӋm vө cài đһt cho các mҥng ngoài trӣ nên
dӉ dàng hơn và giҧm chi phí. ThiӃt lұp extraner VPNs đưӧc mô tҧ như hình 1-7:

GVHD: NguyӉn Văn Sinh - 73 -


Xây Dӵng VPN Trên IPv6

ì  i:
 Giҧm chi phí rҩt nhiӅu so vӟi phương pháp truyӅn thӕng
 DӉ dàng cài đһt, bҧo trì và chӍnh sӱa các thiӃt lұp có sҹn.
 Do sӱ dөng đưӡng truyӅn Internet, bҥn có nhiӅu sӵ lӵa chӑn dӏch vө cho
giҧi pháp tailoring phù hӧp vӟi nhu cҫu tә chӭc
 Do các thành phҫn kӃt nӕi internet đưӧc bҧo trì bӣi ISP, giҧm đưӧc chi
phí nhân sӵ do đó giҧm chi phí vұn hành cӫa toàn hӋ thӕng.

ì 2 i
 Nguy cơ bҧo mât như tҩn công t chӕi dӏch vө vүn còn tӗn tҥi
 Tăng rӫi ro cho sӵ xâm nhұp vào intranet cӫa tә chӭc.
 Trong trưӡng hӧp truyӅn tҧi các dӳ liӋu đa phương tiӋn thì gây quá tҧi,
chұm hӋ thӕng và tӕc đӝ truyӅn sӁ rҩt chұm do phө thuӝc vào mҥng Internet.
 Do truyӅn dӳ liӋu dӵa trên kӃt nӕi Internet nên chҩt lưӧng có thӇ không
әn đinh và QoS không thӇ đҧm bҧo.

GVHD: NguyӉn Văn Sinh - 74 -


Xây Dӵng VPN Trên IPv6

Mһc dù giҧi pháp VPN vүn còn mӝt sӕ hҥn chӃ nhưng các ưu điӇm cӫa VPNs đã
thõa mãn rҩt tӕt nhu cҫu cӫa các doanh nghiӋp.
Z. Bҧo Mұt VPN
Z.1.Xác nhұn ngưӡi dùng và quҧn lý truy cұp

Ë r 
 
Cơ chӃ xác nhұn ngưӡi sӱ dөng là khi ngưӡi sӱ dөng ӣ các điӇm VPN muӕn
truy xuҩt tài nguyên trong mҥng thì phҧi đưӧc xác nhұn cho phép truy cұp. Do đó
chӍ có nhӳng ngưӡi sӱ dөng đưӧc cho phép mӟi truy xuҩt tài nguyên mҥng, giҧm
thiӇu sӵ truy xuҩt trái phép các tài nguyên mҥng.
Sӵ xác nhұn có thӇ bao gӗm các thành phҫn sau hoҥt đӝng riêng biӋt hay kӃt
hӧp vӟi nhau:
 Đăng nhұp ID và password: Ngưӡi sӱ dөng dùng ID và password đӇ xác
nhұn truy cұp tӯ các nút VPN.
 S/Key password: Ngưӡi dùng thiӃt lұp S/KEY bҵng cách chӑn mӝt
password bí mұt và mӝt sӕ nguyên n. Sӕ nguyên này có ý nghĩa là sӕ lҫn mà hàm
mã hóa ( hiӋn tҥi là MD4) đưӧc áp dөng đӕi vӟi password. KӃt quҧ đưӧc lưu lҥi trên
server tương ӭng. Khi ngưӡi sӱ dөng đăng nhұp tҥm thӡi, server yêu cҫu. Phҫn
mӅm trên máy ngưӡi sӱ dөng sӁ yêu cҫu password bí mұt và áp dөng lһp lҥi n-1 lҫn
hàm mã hóa và gӱi kӃt quҧ vӅ server. Server sӁ áp dөng hàm này thêm 1 lҫn nӳa lên
kӃt quҧ vӯa nhұn đưӧc. NӃu kӃt quҧ nó đưa ra trùng lһp vӟi giá trӏ đưӧc lưu trưӟc
đó thì ngưӡi sӱ dөng xác nhұn thành công. Ngưӡi sӱ dөng đưӧc cho phép truy cұp
mҥng, server sӁ thay thӃ và lưu giӳ giá trӏ nhұn đưӧc tӯ máy khách và giҧm
password counter.
 Remote Access Dial-In User Service (RADIUS). RADIUS là giao thӭc
bҧo mұt Internet dӵa trên mô hình máy chӫ/máy khách. Máy truy cұp vào mҥng là
máy khách và server RADIUS ӣ cuӕi mҥng xác nhұn máy khách. Tәng quát, server
RADIUS xác nhұn ngưӡi sӱ dөng bҵng danh sách username/password đưӧc lưu.
RADIUS cũng có thӇ hoҥt đӝng như mӝt máy khách đӇ xác nhұn ngưӡi sӱ dөng cӫa
các hӋ điӅu hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng

GVHD: NguyӉn Văn Sinh - 75 -


Xây Dӵng VPN Trên IPv6

có thӇ hoҥt đӝng như mӝt máy khách cho các server RADIUS khác. ĐӇ bҧo mұt cho
các thông tin trên đưӡng truyӅn giӳa các máy khách và server RADIUS thì có thӇ
sӱ dөng mã hóa sӱ dөng cơ chӃ xác nhұn (authentication mechanisms) ví dө như
Password Authentication Protocol (PAP) và Challenge Handshake Authentication
Protocol (CHAP).
 Two-factor token-based technique. Yêu cҫu xác nhұn bҵng dҩu hiӋu
(token) và password. Trong quá trình xác nhұn, phҫn cӭng (thiӃt bӏ điӋn) đưӧc sӱ
dөng như các dҩu hiӋu và duy nhҩt như Personal Identification Number (PIN) đưӧc
sӱ dөng làm password. Theo truyӅn thӕng thì các dҩu hiӋu là các thiӃt bӏ phҫn cӭng
(có thӇ là card), nhưng hiӋn nay thì mӝt sӕ nhà cung cҩp sӱ dөng dҩu hiӋu dӵa trên
phҫn mӅm

Ë /   


Sau khi ngưӡi sӱ dөng xác nhұn thành công thì mһc đӏnh ngưӡi đó có thӇ
truy cұp đӃn tҩt cҧ các tài nguyên, dӏch vө và các ӭng dөng trong nӝi bӝ mҥng. Nó
có thӇ tăng các nguy cơ bҧo mұt cho ngưӡi sӱ dөng bӣi vì ngưӡi sӱ dөng có thӇ cӕ
ý hay không cӕ ý xáo trӝn dӳ liӋu trên các thiӃt bӏ khác nhau. Bҵng cách phân loҥi
các loҥi dӳ liӋu quan trӑng và các dӳ liӋu không quan trӑng mà ngưӡi sӱ dөng làm
viӋc hҵng ngày, bҥn có thӇ ngăn chһn hiӋu quҧ điӅu đó. KӃt quҧ là sӵ truy cұp có
thӇ bӏ ngăn cҩm đӃn thiӃt bӏ lưu trӳ nhӳng thông tin quan trӑng này
Phân quyӅn quҧn lý truy cұp cũng là 1 phҫn cӫa quҧn lý truy cұp. Nguy cơ
bҧo mұt này có thӇ đưӧc giҧm bҵng cách giӟi hҥn quyӅn truy cұp cӫa ngưӡi sӱ
dөng. Ví dө, dӳ liӋu có thӇ đưӧc bҧo vӋ bҵng cách cho phép các ngưӡi sӱ dөng bình
thưӡng chӍ đưӧc phép đӑc dӳ liӋu. Và mӝt sӕ ngưӡi sӱ dөng đһc biӋt mӟi có khҧ
năng thay đәi hay xóa dӳ liӋu đó.
Quҧn lý truy cұp dӵa trên mã xác nhұn ngưӡi sӱ dөng (ví dө ID). Tuy nhiên
mӝt sӕ thông sӕ khác như đӏa chӍ IP nơi gӱi hay nơi đӃn, đӏa chӍ cәng, và các nhóm
có thӇ đóng vai trò quan trӑng trong phương pháp quҧn lý truy cұp truyӅn thӕng. Cơ
chӃ quҧn lý truy cұp hiӋn đҥi cũng dӵa trên các thông sӕ như thӡi gian, ngày, phҫn
mӅm ӭng dөng, dӏch vө hay phương pháp xác nhұn URL và cơ chӃ mã hóa

GVHD: NguyӉn Văn Sinh - 76 -


Xây Dӵng VPN Trên IPv6

Z!   !li 



  ͷ li
   t  là mӝt phҫn quan trӑng trong vҩn đӅ bҧo mұt
VPN và đóng vai trò quan trӑng khi truyӅn dӳ liӋu quan trӑng. Đó là cơ chӃ chuyӇn
đәi dӳ liӋu sang đӏnh dҥng khác mà không có khҧ năng đӑc đưӧc gӑi là i t,
do đó các truy xuҩt trái phép vào dӳ liӋu có thӇ ngăn đưӧc khi dӳ liӋu truyӅn qua
môi trưӡng trung gian không an toàn.
Mã hóa dӳ liӋu có thӇ ngăn đưӧc các nguy cơ sau:
Xem dӳ liӋu trái phép
Thay đәi dӳ liӋu
Dӳ liӋu giҧ
Ngҳt dӏch vө mҥng
Ӣ dӳ liӋu nhұn đưӧc, ngưӡi nhұn phҧi giҧi mã trӣ lҥi đӏnh dҥng ban đҫu.
Trong trưӡng hӧp ciphertext bӏ ngăn chһn trong quá trình truyӅn đi thì ngưӡi có dӳ
liӋu đó cũng không thӇ biӃt phương pháp đӇ chuyӇn đәi nó vӅ dҥng ban đҫu, do đó
nó cũng trӣ nên vô dөng vӟi ngưӡi đó. Hình 3-2 mô phӓng mô hình phương pháp
mã hóa truyӅn thӕng:

Ngưӡi gӱi và nhұn trong tiӃn trình mã hóa gӑi là hӋ thӕng mã


hóa( t tCryptosystem thuӝc mӝt trong 2 dҥng sau:
 Đӗng bӝ
 Không đӗng bӝ
Cryptosystem đưӧc phân loҥi dӵa theo sӕ khóa (key) đưӧc sӱ dөng. Khóa có
thӇ là sӕ, t hay đoҥn cú pháp đưӧc sӱ dөng nhҵm mã hóa và giҧi mã

GVHD: NguyӉn Văn Sinh - 77 -


Xây Dӵng VPN Trên IPv6


Ë u   
 
HӋ thӕng mã hóa đӗng bӝ dӵa trên mӝt khóa duy nhҩt, đó là mӝt chuӛi bit cӕ
đӏnh đӝ dài. Nên cơ chӃ mã hóa này cũng đưӧc gӑi là mã hóa khóa duy nhҩt. Khóa
là cá nhân (bi mұt) và đưӧc sӱ dөng cho mã hóa cũng như giҧi mã.
Symmetric cryptosystems are based on a single key, which is a bit string of
fixed length. Therefore, this encryption mechanism is also referred to as single-key
encryption. The key is private (or secret) and is used for encryption as well as
decryption.
Trưӟc khi truyӅn tҧi thông tin giӳa 2 thành phҫn, khóa phҧi đưӧc chia sҿ vӟi
nhau. Ngưӡi mã hóa thông tin gӕc sӱ dөng khóa cá nhân và gӱiđӃn cho ngưӡi
nhұn. Khi nhұn đưӧc dӳ liӋu đã đưӧc mã hóa, ngưӡi nhұn sӱ dөng cùng khóa đó đӇ
giҧi mã.
Quá trình mã hóa đӗng bӝ đưӧc mô tҧ như hình 3-3

Như đã đӅ cұp ơ trên, ngưӡi nhұn và nguӡi gӱi cҫn phҧi chia sҿ cùng mӝt
khóa. Mӝt phương pháp chia sҿ khóa là ngưӡi nhұn cung cҩp khóa bí mұt hóa đӕi
vӟi ngưӡi nhұn bҵng cách gһp trӵc tiӃp. Tuy nhiên điӅu này làm lãng phí thӡi gian
và cũng mҩt đi ý nghĩa cӫa truyӅn thông tin bҵng mҥng. Mӝt phương pháp khác đӇ
chuyӇn khóa cho ngưӡi nhұn là bҵng cách điӋn thoҥi. Nhưng phương pháp này có
thӇ bӏ nghe trӝm. Mӝt cách khác nӳa là gӱi bҵng thư hay email. Và cũng như các
phương pháp trưӟc, nguy cơ bӏ lҩy mҩt thông tin là rҩt lӟn.

GVHD: NguyӉn Văn Sinh - 78 -


Xây Dӵng VPN Trên IPv6

Bӣi vì các phương pháp gӱi khóa đӅu không an toàn, mӝt giҧi pháp khҧ thi
cho vҩn đӅ này là làm cho đӝ dài khóa đӫ lӟn. Bҩt cӭ ngưӡi nào cũng cҫn phҧi ³phá
vӥ´ hay giҧi mã khóa trưӟc nӃu muӕn xem thông tinh gӕc. Tuy nhiên vӟi khóa có
đӝ dài lӟn thì viӋc giҧi mã khóa sӁ rҩt khó khăn. Phө thuӝc vào đӝ dài khóa, nhiӅu
thuұt toán mã hóa đӗng bӝ đã đưӧc phát triӇn qua nhiӅu năm, mӝt sӕ thuұt toán phә
biӃn sӱ dөng mã hóa đӗng bӝ trong VPN là:
 Data Encryption Standard (DES). DES đӅ xuҩt đӝ dài khóa đӃn
128bit. Tuy nhiên kích thưӟc khóa đã giҧm xuӕng còn 56bits bӣi chính phӫ Mĩ
nhҵm tăng tӕc đӝ thuұt toán. Tuy nhiên vӟi đӝ dài khóa đưӧc rút ngҳn như vây thì
thuұt toán mã hóa này bҧo mұt không tӕt, có thӇ bi tҩn công ví dө như tҩn công
Brute Force. Tong tҩn công Brute Force thì khóa sӁ đưӧc tҥo ra ngүu nhiên và
đưӧc ghép vào file text cho đӃn khi khóa đúng đưӧc xác đӏnh. Vӟi đӝ dài khóa nhӓ
hơn có thӇ dӉ dàng tҥo ra khóa đúng và hӋ thӕng mã hóa mҩt tác dөng
 Triple Data Encryption Standard (ZDES). Giӕng như hӋ thӕng
DES, 3DES cũng sӱ dөng khóa 56bit. Tuy nhiên, nó bҧo mұt tӕt hơn do sӱ dөng 3
khóa khác nhau đӇ mã hóa dӳ liӋu. TiӃn trình thӵc hiӋn: Sӱ dөng khóa thӭ nhҩt đӇ
mã hóa dӳ liӋu, sӱ dөng khóa thӭ 2 đӇ giҧi mã dӳ liӋu mã hóa bưӟc 1 và cuӕi cùng
sӱ dөng khóa 3 đӇ mã hóa lҫn 2. Do đó nó tăng tính bҧo mұt nhưng cũng đӗng thӡi
do tính phӭc tҥp cӫa thuұt toán nên chұm hơn gҩp 3 lҫn so vӟi DES.
 Ron's Code 4 (RC4). Phát triӇn bӣi Ron Rivest, sӱ dөng khóa có đӝ
dài thay đәi đӃn 256bit. Vì đӝ dài cӫa khóa nên RC4 đưӧc xӃp vào mӝt trong các cơ
chӃ mã hóa tӕt nhҩt, nhưng cũng hoҥt đӝng nhanh. RC4 tҥo mӝt chuӛi byte ngүu
nhiên và XOR chúng vӟi file văn vҧn gӕc. Vì byte đưӧc tҥo ngүu nhiên nên RC4
yêu cҫu khóa mӟi cho mӛi lҫn gӱi đi thông tin.

HӋ thӕng mã hóa xuҩt hiӋn 2 vҩn đӅ chính. Đҫu tiên là chӍ sӱ dөng mӝt khóa
cho mã hóa và giҧi mã. NӃu mӝt ngưӡi ngoài mà biӃt đưӧc khóa này thì tҩt cҧ thông
tin truyӅn đҥt sӱ dөng khóa này đӅu gһp nguy hiӇm, nguy cơ mҩt mát cao. Di đó
khóa cҫn đưӧc thay đәi theo chu kì. Vҩn đӅ thӭ 2 là sӕ lưӧng t hông tin lӟn, quҧn lý

GVHD: NguyӉn Văn Sinh - 79 -


Xây Dӵng VPN Trên IPv6

khóa trӣ nên nhiӋm vө phӭc tҥp. Thêm vào đó tәng chi phí cho thiӃt lұp khóa ban
đҫu, phân phӕi hay thay thӃ các khóa chu kì là rҩt đҳt và lãng phí thӡi gian.

HӋ thӕng mã hóa không đӗng bӝ có thӇ giҧi quyӃt các vҩn đӅ cӫa hӋ thӕng
mã hóa đӗng bӝ.

Ë u  
Thay thӃ cho khóa duy nhҩt cӫa hӋ thӕng mã hóa đӗng bӝ, hӋ thӕng mã hóa
không đӗng bӝ sӱ dөng mӝt cһp khóa liên quan toán hӑc vӟi nhau. Mӝt khóa là cá
nhân và chӍ đưӧc biӃt bӣi chӫ cӫa cһp khóa này. Khóa thӭ 2 là khóa chung và đưӧc
phân phӕi tӵ do. Khóa chung đưӧc sӱ dөng cho mã hóa còn mã cá nhân đưӧc sӱ
dөng cho giҧi mã thông tin.
Trong giҧi pháp VPN, 2 hӋ thӕng mã hóa không đӗng bӝ đưӧc sӱ dөng phә
biӃn nhҩt là Diffie-Hellman (DH) algorithm và the Rivest Shamir Adleman (RSA)
algorithm.

a. Thuұt toán Diffie-Hellman


Trong thuұt toán Diffie-Hellman, mӛi thӵc thӇ giao tiӃp cҫn 2 khóa, mӝt đӇ
phân phӕi cho các thӵc thӇ khác và mӝt khóa cá nhân

b. Thuұt toán The Rivest Shamir Adleman (RSA)

RSA là cơ chӃ mã hóa mҥnh, là chuҭn trong hӋ thӕng mã hóa không đӗng
bӝ. Không giӕng như Diffie-Hellman, thông tin gӕc đưӧc mã hóa sӱ dөng khóa
chung cӫa ngưӡi nhұn, Ngưӡi nhұn sӁ khôi phөc lҥi thông tin ban đҫu bҵng khóa
chung cӫa ngưӡi gӱi.

Z.Z.Cơ sӣ hҥ tҫng khóa chung (Public Key Infrastructure - PKI)


PKI là mӝt bӝ khung cӫa các chính sách dӇ quҧn lý các khóa và thiӃt lұp mӝ
phương pháp bҧo mұt cho viӋc trao đәi dӳ liӋu . Các sӵ trao đәi dӳ liӋu sӱ dөng PKI
có thӇ xҧy ra trong mӝt tә chӭc, mӝt quӕc gia, mӝt khu công nghiӋp hay mӝt vùng .
ĐӇ nâng cao sӵ quҧn lý khóa và bҧo đҧm các giao dӏch dӳ liӋu có đӝ an toàn cao,

GVHD: NguyӉn Văn Sinh - 80 -


Xây Dӵng VPN Trên IPv6

mӝt khung dӵa trên PKI bao gӗm các chính sách và thӫ tөc đưӧc hӛ trӧ bӣi các tài
nguyên phҫn cӭng và phҫn mӅm. Chӭc năng chính cӫa PKI như sau :

 Tҥo ra các cһp khóa cá nhân và công cӝng cho khách hàng PKI
 Tҥo và xác nhұn chӳ ký sӕ
 Đăng ký và xác nhұn ngưӡi sӱ dөng mӟi
 Cҩp phát các sӵ chӭng nhұn cho ngưӡi sӱ dөng
 Bám theo các khóa đã đưӧc cҩp phát và lưu trӳ lӏch sӱ cӫa mӛi khóa (
dùng đӇ tham khҧo trong tương lai)
 Thu hӗi rút lҥi các giҩy chӭng nhұn không hӧp lӋ hoһc quá hҥn
 Xác nhұn ngưӡi sӱ dөng PKI

Trưӟc khi cӕ tìm hiӇu công viӋc cӫa PKI, chúng ta hãy tìm hiӇu các thành
phҫn tҥo thành khung PKI

Ë Các thành phҫn PKI

Các thành phҫn chính tҥo thành khung PKI là


 Khách hàng PKI
 Ngưӡi cҩp giҩy chӭng nhұn (CA)
 Ngưӡi cҩp giҩy đăng ký (RA)
 Các giҩy chӭng nhұn sӕ
 HӋ thӕng phân phӕi các giҩy chӭng nhұn (CDS)

X  
Mӝt khách hàng PKI là thӵc thӇ mà yêu cҫu giҩy chӭng nhұn sӕ tӯ CA hoһc
RA. Trưӡc khi mӝt khách hàng PKI tham gia cvào các sӵ giao dӏch dӳ liӋu, nó phҧi
có đưӧc mӝt giҫy chӭng nhұn sӕ. ĐӇ làm đưӧc điӅu này, khách hàng phát ra mӝt
yêu cҫu vӅ mӝt giҫy chӭng nhұn tӯ CA hoһc RA đưӧc chӍ đӏnh cho tә chӭc. Khi
mӝt khách hàng đưӧc xác nhұn thành công, nó nhұn đưӧc giҩy xác nhұn mà nó yêu
cҫu. Sau khi nhұn đưӧc giҩy xác nhұn, khách hàng sӱ dөng nó đӇ nhұn dҥng mình.
Tuy nhiên trách nhiӋm duy nhҩt cӫa khách hàng là bҧo vӋ giӳ gìn giҩy chӭng nhұn

GVHD: NguyӉn Văn Sinh - 81 -


Xây Dӵng VPN Trên IPv6

 X !  "!#


CA là mӝt ngưӡi thӭ ba tin cұy cҩp phát các gҩiy chӭng nhұn sӕ đӃn khách
hàng PKI. Trưӡc khi cҩp phát mӝt xác nhұn sӕ, CA kiӇm tra tính đӗng nhҩt và tính
xác thӵc cӫa khách hàng PKI

CA sӱ dөng các thӫ tөc và các nguyên tҳc thӵc hiӋn riêng cӫa nó đӇ cҩp phát
các giҩy chӭng nhұn sӕ. NHư bҥn kǤ vӑng, quá trình cҩp giҩy chӭng nhұn thay đәi
phө thuӝc vào cơ sӣ hҥ tҫng hӧp lӋ đưӧc hӛ trӧ bӣi CA, các chính sách tә chӭc cӫa
nó, mӭ đӝ cӫa giҩy chӭng nhұn đưӧc yêu cҫu. Quá trình có thӇ yêu cҫu mӝt vài
thông tin, như bҵng lái xe, notarization hoһc dҩu vân tay.
Mӝt ví dө cӫa mӝt CA nәi tiӃng là Verisign,Inc

 $%X !  "$!#


Trưӟc khi thӓa mãn mӝt yêu cҫu vӅ giҩy chӭng nhұn sӕ, CA phҧi xác nhұn
và kiӇm tra tính hӧp lӋ cӫa yêu cҫu. Tuy nhiên, bӣi vì sӕ lưӧng lӟn các yêu cҫu cho
giҩy chӭng nhұn sӕ, CA ӫy quyӅn trách nhiӋm kiӇm tra tính hӧp lӋ cӫa yêu cҫu cho
RA. RA nhұn tҩt cҧ các yêu cҫu cҩp giҩy chӭng nhұn và kiӇm tra chúng

Sau khi mӝt RA kiӇm tra mӝt yêu cҫu thành công, nó chuyӇn yêu cҫu tӟi
CA. CA phát giҩy chӭng nhұn yêu cҫu và chuyӇn nó tӟi cho RA. Ra sau đ1o
chuyӇn giҩy chӭng nhұn tӟi khách hàng yêu cҫu. Trong cách thӵc hiӋn này, RA
đóng vai trò như mӝt gnưӡi trung gian giӳa các khách hàng PKI và CA.

 &'% 
Mӝt giҩy chӭng nhұn sӕ là mӝt tương đương vӅ mһt điӋn tӱ cӫa mӝt thҿ xác
nhұn và đưӧc sӱ dөng đӇ xác đӏnh duy nhҩt mӝt thӵc thӇ trong suӕt quá trình
truyӅn. Bên cҥnh viӋc xác đӏnh đӏnh dan cӫa ngưӡi chӫ, các giҩy chӭng nhұn sӕ
cũng loҥi bӓ cơ may cӫa sӵ làm giҧ, vì thӃ giҧm đưӧc nguy cơ cӫa sӵ tҥo ra dӳ liӋu,
các giҩy chӭng nhұn sӕ cũng ngăn chһn có hiӋu quҧ ngưӡi gӣi tӯ các thông tin
không xác nhұn

GVHD: NguyӉn Văn Sinh - 82 -


Xây Dӵng VPN Trên IPv6

Mӝt giҩy chӭng nhұn sӕ bao gӗm các thông tin giúp xác nhұn tính hӧp lӋ cӫa
ngưӡi gӱi và bao gӗm các thông tin sau :

 Dãy sӕ cӫa giҩy chӭng nhұn


 Hҥn sӱ dөng cӫa giҩy chӭng nhұn
 Chӳ ký sӕ cӫa CA
 Khóa công cӝng cӫa khách hàng PKI

Trong suӕt mӝt giao dӏch, ngưӡi gӱi phҧi gӱi giҩy chӭng nhұn sӕ cӫa anh ҩy
hoһc cô ҩy theo vӟi tín hiӋu đã mã hóa đӇ xác nhұn anh ҩy hay cô ҩy. Ngưӡi nhұn
sӱ dөng khóa công cӝng cӫa CA đӇ xác nhұn tính hӧp lӋ cӫa khóa công cӝng cӫa
ngưӡi gӱi, cái mà đưӧc gҳn vào thông tin gӱi. Như trong trưӡng hӧp các khóa công
cӝng, khóa công công cӫa CA đưӧc phә biӃn rӝng rãi và sҹn sàng cho tҩt cҧ. Khi
ngưӡi nhұn đã đҧm bào đưӧc đӏnh danh đúng cӫa ngưӡi gӱi, ngưӡi sӱ dөng dùng
khóa công cӝng cӫa ngưӡi gӱi đӇ giҧi mã thông tin thӵc sӵ

e. u ( &'
HӋ thӕng phân phӕi giҩy chӭng nhұn là mӝt kho chӭa các giҩy chӭng nhұn
đưӧc cҩp cho ngưӡi sӱ dөng và tә chӭc. Thêm nӳa CDS sinh ra và lưu trӳ các cһp
khóa, mұt hiӋu các khóa công cӝng sau khi đã xác nhұn chúng, lưu trӳ và thu hӗi
các khóa bӏ mҩt hay hӃt hҥn.CDS cũng chӏu trách nhiӋm cho viӋc xuҩt các khóa
công cӝng tӟi các server dӏch vө thư mөc

Ë  X  ) *X+

Như đã đӅ cұp phía trên, PKI cung cҩp bӕn chӭc năng bo mұt chính : sӵ cҭn
mұt, sӵ toàn vҽn, sӵ xác nhұn và không có sӵ tӯ chӕi. Mӛi bưӟc trong mӝt giao dӏch
VPN đưӧc lһp lҥi mӝt hay nhiӅu trong sӕ các tính năng bҧo mұt này. Các bưӟc
trong mӝt giao dӏch dӵa trên PKI là :

GVHD: NguyӉn Văn Sinh - 83 -


Xây Dӵng VPN Trên IPv6

 Sӵ sinh ra cһp khóa. Trưӡc khi ngưӡi gӣi chuyӇn dӳ liӋu đӃn ngưӡi
nhұn mong muӕn, nó báo cho ngưӡi nhұn biӃt mөc đích cӫa nó vӅ viӋc trao đәi dӳ
liӋu. Như vұy thì, cà hai đҫu sinh ra mӝt cһp khóa tҥo bӣi khóa riw6ng và khóa công
cӝng. Đҫu tiên, khóa cá nhân đưӧc tҥo ra. Sau đó, khóa công cӝng tương ӭng đưӧc
tҥo bҵng cách áp dөng mӝt hàm băm mӝt chiӅu đӕi vӟi khóa riêng

 Sӵ tҥo ra chӳ ký sӕ. Sau khi cһp khóa đưӧc tҥo ra, mӝt chӳ ký sӕ duy
nhҩt đưӧc tҥo ra. Chӳ ký sӕ này dùng đӇ đӏnh danh ngưӡi gӱi dӳ liӋu . ĐӇ tҥo ra chӳ
ký sӕ, đҫu tiên thông tin gӕc bӏ băm. Nói mӝt cách khác, mӝt hàm băm đưӧc áp
dөng vào tín hiӋu gӕc. Quá trình băm cho kӃt quҧ là mӝt tұp thông tin, cái mà sau
đó đưӧc mã hóa vӟi khóa các nhân cӫa ngưӡi gӱi. KӃt quҧ đưӧc gӑi là chӳ ký sӕ

 Áp dөng mã hóa dӳ liӋu và chӳ ký sӕ.Sau khi mӝt chӳ ký sӕ đưӧc tҥo
ra, thông tin gӕc đưӧc mã hóa vӟi khóa công cӝng cӫa ngưӡi gӱi. KӃ tiӃp, chӳ ký sӕ
đưӧc tҥo ӧ trân đưӧc gҳn vào thông tin đã mã hóa.

 Thông tin đã mã hóa và khóa công cӝng cӫa ngưӡi gӱi đưӧc chuyӇn
tӟi ngưӡi nhұn. Thông tin đưӧc mã hóa sau ӭo đưӧc truyӅn đӃn ngưӡi nhұn cùng
vӟi khóa công cӝng cӫa ngưӡi gӱi. Thay vì chuyӇn khóa công cӝng dưӟi dҥng văn
bҧn rõ nghĩa thì khóa công cӝng đҫu tiên đưӧc mã hóa bӣi khóa công cӝng cӫa
ngưӡi nhұn. ĐӇ giҧi mã khó công cӝng đưӧc mã hóa này, ngưӡi sӱ dөng phҧi sӱ
dөng khóa riêng cӫa mình. Bӣi vì khóa riêng cӫa ngưӡi nhұn chӍ có ngưӡi nhұn
biӃt, cơ hӝi đӇ cho các ngưӡi xâm phҥm phá khóa công cӝng là rҩt thҩp . Khóa công
cӝng cӫa ngưӡi gӱi còn đưӧc xem như là khóa phiên

 Nhұn thông tin và xác nhұn đӏnh danh ngưӡi gӱi. Trong lúc nhұn
thông tin mã hóa và khóa công cӝng, ngưӡi nhұn có thӇ yêu cҩu CA kiӇm tra danh
tính ngưӡi gӱi. CA làm đưӧc điӅu đó bҵng cách kiӇm tra chӳ ký sӕ đưӧc gҳn vӟi
thông tin và báo kӃt quҧ cho ngưӡi nhұn biӃt. NӃu chӳ ký sӕ đưӧc kiӇm tra thành

GVHD: NguyӉn Văn Sinh - 84 -


Xây Dӵng VPN Trên IPv6

công, ngưӡi nhұn tiӃp tөc qua 1trình giҧi mã thông tin. NӃu không ngưӡi nhұn sӁ t
chӕi và giao dӏch sӁ kӃt thúc

 " i i # i. Sau khi đӏnh danh ngưӡi gӱi đưӧc xác nhұn thành
công, ngưӡi nhұn mã hóa thông tin. ĐӇ làm đưӧc như vұy ngưӡi nhұn đҫu tiên phҧi
giҧi mã khóa công cӝng cӫa ngưӡi gӱi bҵng cách sӱ dөng khóa riêng cӫa nó. Khi
khóa công cӝng cӫa ngưӡi gӱi đưӧc ciӃt xuҩt thành công thì ngưӡi nhұn sӁ dùng nó
đӇ giҧi mã thông tin

 "$%&'i  # i Cuӕi cùng, ngưӡi nhұn xác nhұn kiӇm
tra nӝi dung cӫa thông tin nhұn đưӧc. Đҫu tiên, chӳ ký sӕ đưӧc giҧi mã sӱ dөng
khóa công cӝng cӫa ngưӡi gӱi và thông tin đưӧc chiӃt xuҩt ra. Thông tin mã hóa sӁ
đưӧc băm qua mӝt hàm băm và mӝt tұp thông tin mӟi đưӧc rút ra. tұp thông tin
nhұn đưӧc va tұp thông tin mӟi sinh ra đưӧc so sánh vӟi nhau.nӃu chúng phù hӧp,
dӳ liӋu không bӏ chһn đӭng hoһc can thiӋp vào trong quá trình truyӅn

GVHD: NguyӉn Văn Sinh - 85 -


Xây Dӵng VPN Trên IPv6

Ӣ phҫn kӃ, bҥn sӁ đưӧc biӃt vӅ các cách thӵc hiӋn PKI đa dҥng đưӧc sӱ dөng
phҫn lӟn bӣi các tә chӭc trên thӃ giӟi

Ë HiӋn thӵc PKI


Như bҥn đã biӃt, CAs giúp thiӃt lұp đӏnh danh đúng cӫa các thӵc thӇ giao
tiӃp. Tuy nhiên, CAs không nhӳng chӭng thӵc các khách hàng PKI, mà còn các
CAs khác bҵng cách phát giҩy chӭng nhұn sӕ tӟi chúng. Cas đưӧc kiӇm tra, xoay
vòng, kiӇm tra các CAs khác và chuӛi tiӃp tөc cho tӟi khi mӛi thӵc thӇ các thӇ tin
tưӣng các thӵc thӇ khác liên quan đӃn mӝt giao dӏch. Chuӛi chӭng nhұn này đưӧc
biӃt đӃn như là đưӡng đi cӫa sӵ chӭng nhұn, và sӵ sҳp xӃp cӫa CAs trong đưӡng đi
chӭng nhұn này đưӧc xem như cҩu trúc cӫa PKI
Các loҥi chính cӫa cҩu trúc PKI bao gӗm

 Cҩu trúc CA đơn


 Cҩu trúc danh sách tin cұy
 Cҩu trúc có thӭ bұc
 Cҩu trúc mҳt lưӟi
 Cҩu trúc hӛn hӧp

X & ,!-
Cҩu trúc CA đơn là cҩu trúc PKI đơn giҧn nhҩt. Như tên gӑi cӫa nó, cҩu trúc
này đưӧc dӵa trên CA đơn, cái mà cҩp phát các giҩy chӭng nhұn, và khi cҫn thiӃt
truy hӗi các giҩy chӭng nhұn. Tҩt cҧ các thӵc thӇ bên dưӟi có mӝt mӕi quan hӋ tin
cұy đӕi vӟi CA này. Bӣi vì sӵ vҳng mһt cӫa các CA khác trong mô hình, cҩu trúc
này không hӛ trӧ mӕi quan hӋ tin cұ y CA

Hình 3-7 miêu tҧ cҩu trúc cӫa mӝt CA đơn

GVHD: NguyӉn Văn Sinh - 86 -


Xây Dӵng VPN Trên IPv6

Cҩu trúc CA đơn phù hӧp vӟi các tә chӭc nhӓ bӣi vì sӕ lưӧng khách hàng
PKI tương đӕi thҩp và sӵ quҧn lý các khách hàng này không phҧi là mӝt nhiӋm vө
tiêu thө thӡi gian

 .
/ / / 0
Vì sӕ lưӧng khách hàng PKI trong mӝt tә chӭc tăng, sӵ quҧn lý xác nhұn và
kiӇm tra đӏnh danh trӣ nên phӭc tҥp và tiêu tӕn nhiӅu thӡi gian đӕi vӟi mӝt CA đơn.
Tình huӕng này có thӇ đưӧc đơn giҧn bҵng cách dùng nhiӅu CAs trong mӝt cҩu
trúc.

Vӟi nhiӅu Cas, mӝt khách hàng PKI đơn có thӇ yêu cҫu các gҩiy chӭng nhұn
t nhiӅu hơn mӝt CA. KӃt quҧ là, mӛi khách hàng phҧi lưu trӳ mӝt danh sách các
mӕi liên hӋ tin cұy vӟi tҩt cҧ các CAs trong mӝt cҩu trúc ± do đó có tên là cҩu trúc
danh sách tin cұy

Hình 3-8 miêu tҧ cҩu trúc danh sách tin cұy

GVHD: NguyӉn Văn Sinh - 87 -


Xây Dӵng VPN Trên IPv6

Như bҥn thҩy trong hình 3-8, cҩu trúc không hӛ trӧ các mӕi quan hӋ tin cұy
Ca

/  . //' /
Cҩu trúc có thӭ bұc là cҩu trúc PKI đưӧc hiӋn thӵc phә biӃn nhҩt và đưӧc sӱ
dөng trong các tә chӭc có quy mô lӟn. Không giӕng các cҩu trúc ӣ trên, mô hình
này dӵa trên các mӕi quan hӋ tin cұy giӳa các Cas khác nhau trong mô hình.

Như tên gӑi cӫa nó, Cas đưӧc sҳp xӃp mӝt cách có thӭ bұc và chia xe mӝt
loҥi ³cҩp trên - cҩp dưӟi ´ cӫa mӕi quan hӋ tin cұy. CA cao nhҩt đưӧc xem như đӍnh
CA và đưӧc xem như điӇm bҳt đҫu cӫa mô hình. Nó cҩp phát giҩy chӭng nhұn và
kiӇm tra đӏnh danh cӫa các CAs cҩp dưӟi cӫa nó. Các CAs cҩp dưӟi, xoay vòng, có
thӇ cҩp giҩy chӭng nhұn tӟi các cҩp dưӟi cӫa chúng và khách hàng PKI.Tuy nhiên
chúng không thӇ c6áp giҩy chӭng nhұn cho cҩp trên
Hình 3 ± 9 miêu tҧ cҩu trúc có thӭ bұc

GVHD: NguyӉn Văn Sinh - 88 -


Xây Dӵng VPN Trên IPv6


  . / 1
Không giӕng như cҩu trúc thӭ bұc, trong mӝt cҩu trúc mҳt lӭơi các Cas chia
sҿ mӝt mӕi qun hӋ tin cұy ngang hàng vӟi các Cas khác. KӃt quҧ là, chúng có thӇ
cҩp phát các giҫy chӭng nhұn sӕ lүn nhau, điӅu này có nghĩa là, mӕi quan hӋ tin cұy
giӳa các Cas là hai chiӅu. Các Cas cũng cҩp phát giҩy chӭng nhұn tӟi khách hàng
PKi cӫa chúng

Hình 3-10 miêu tҧ cҩu trúc mҳt lưӟi PKI

GVHD: NguyӉn Văn Sinh - 89 -


Xây Dӵng VPN Trên IPv6

 
®  . /  
Các cҩu trúc trên phөc vө cho các yêu cҫu cӫa mӝt tә chӭc đơn. Tuy nhiên,
viӉn cҧnh và sӵ hiӋn thӵc cӫa cơ sӣ hҥ tҫng PKI trӣ nên phӭc tҥp khi mӝt tә chӭc
phҧi tác đӝng tӟi các tә chӭc khác, như là trương hӧp vӟi hҫu hӃt các tә chӭc ngày
nay. vҩn đӅ nҵm ӣ khҧ năng cӫa sӵ khác nhau trong mӛi cҩu trúc PKI cӫa mӛi tә
chӭc. Ví dө, mӝt tә chӭc có thӇ sӱ dөng cҩu trúc mҳt lưӟi trong khi các tә chӭc
khác sӱ dөng cҩu trúc CA đơn. Trong tình huӕng như vұy, mӝt cҩu trúc hӛn hӧp
chӭng mính sӵ hӳu ích vì nó cho phép sӵ tương tác thành công giӳa hai tә chӭc

ì Có ba loҥi cҩu trúc hӛn hӧp. Bao gӗm

 V( )  % i & * ' . Trong cҩu trúc này, ҩtt cҧ các
khách hàng PKI giӳ mӝt danh sách mӣ rӝng tҩt cҧ các điӇm tin cұy trong cҩu trúc
cӫa tә chӭc khác thêm vào các điӇm tin cұy trong tә chӭc cӫa chúng. Mӝt điӇm tin
cұy trong cҩu trúc cӫa các hӋ thông khác có thӅ hoһc là mӝt CA đơn, nhiӅu hơn mӝt
CA, hӧac tҩt cҧ các Cas cӫa tә chӭc khác. Hình 3-11 miêu tҧ cҩu trúc danh sách tin
cұy mӣ rӝng giӳa 3 tә chӭc

GVHD: NguyӉn Văn Sinh - 90 -


Xây Dӵng VPN Trên IPv6

 V()$%&+ . Trong cҩu trúc hӛn hӧp này, gӕc CA cӫa mӝt
cơ sӣ hҥ tҫng cӫa mӝt tә chӭc lưu trӳ mӝt mӕi quan hӋ ngang hàng vӟi các Cas gӕc
cӫa các tә chӭc khác. Hình 3-12 miêu tҧ cҩu trúc xác nhұn chéo

GVHD: NguyӉn Văn Sinh - 91 -


Xây Dӵng VPN Trên IPv6

 V()V,-. Không giӕng cҩu trúc xác nhұn chéo, khi mӝt mӕi
quan hӋ trӵc tiӃp ngang hàng tӗn tҥi giӳa gӕc Cas cӫa mӛi cơ sӣ hҥ tҫng cӫa mӛi tә
chӭc, mӝt thӵc thӇ mӟi gӑi là Bridge CA ( BCA) lưu giӳ mӕi quan hӋ ngang hàng
giӳa các Cas gӕc. Hình 3-13 miêu tҧ cҩu trúc CA cҫu

GVHD: NguyӉn Văn Sinh - 92 -


Xây Dӵng VPN Trên IPv6


. V%/i T
.02 & 12 -
Kӻ thuұt đưӡng hҫm là mӝt thành phҫn cӵc kǤ quan trӑng trong VPN, nó cho
phép các tә chӭc tҥo mӝt mҥng riêng ngay trên internet hoһc các mҥng công cӝng
khác. Mҥng riêng ҧo này không bӏ xâm nhұp bӣi ³ngưӡi lҥ,́ nhӳng cá nhân, máy
tính không thuӝc tә chӭc cӫa mҥng riêng ҧo này.
ì !ư
 ": HiӋn nay mҥng internet đưӧc sӱ dөng rӝng rãi ӣ khҳp nơi. Tuy
nhiên bên cҥnh mҥng internet còn nhiӅu mҥng khác đưӧc dùng đӇ truyӅn các gói tin
đi trên nhӳng khӓang cách khá xa.

Đưӡng hҫm là kӻ thuұt đóng gói tòan bӝ dӳ liӋu cӫa bҩt kǤ mӝt đӏnh dҥng
giao thӭc nào khác. Header cӫa Đưӡng hҫm sӁ đưӧc đính vào gói tin ban đҫu sau đó
đӵơc truyӅn thông qua mӝt cơ sӣ hҥ tҫng trung gian đӃn điӇm đích.

Mӝt điӇm quan trӑng cӫa kӻ thuұt đưӡng hҫm là nó có thӇ giúp truyӅn nhӳng
gói tin có giao thӭc không đưӧc hӛ trӧ. NӃu gói tin này đưӧc gӱi bình thưӡng,

GVHD: NguyӉn Văn Sinh - 93 -


Xây Dӵng VPN Trên IPv6

mҥng truyӅn dүn trung gian không thӇ hiӇu đưӧc gói tin này đӃn đâu vì không biӃt
đӏnh dҥng cӫa nó. Đưӡng hҫm sӁ đính header vào gói tin gӕc, phҫn header này sӁ
cung cҩp thông tin vӅ lӝ trình và đích đӃn cӫa gói tin giúp mҥng vұn chuyӇn gói tin
đӃn đưӧc nơi cҫn đӃn.
ì!ư
 ": Thuұt ngӳ đưӡng hҫm giӕng như công viӋc gӱi thư. Sau khi bҥn
viӃt xong mӝt lá thư, bҥn sӁ đһt nó vào trong bì thư. Trên bì thư có đӏa chӍ ngưӡi
nhұn. Sau khi bҥn gӱi lá thư, nó sӁ đӃn đưӧc ngưӡi nhұn theo đӏa chӍ ghi ӣ bì thư.
Ngưӡi nhұn cҫn mӣ lá thư ra trưӟc khi đӑc nó. Trong kӻ thuұt đưӡng hҫm thì lá thư
giӕng như payload ban đҫu còn bì thư giӕng như gói giao thӭc đӏnh tuyӃn bӑc lҩy
payload. Đӏa chӍ trên lá thư tương tӵ như thông tin đӏnh tuyӃn dính vào bì thư.

Hình 4.1 : quá trình đưӡng hҫm



./i  12 -
Kӻ thuұt đưӡng hҫm sӱ dөng ba giao thӭc
Ë V i    l  i        Giao thӭc đưӧc dùng đӇ gӱi
gói tin đưӡng hҫm đӃn đích thông qua mҥng tương tác. Gói tin đưӡng hҫm đưӧc
đóng gói bên trong gói tinc cӫa giao thӭc này. Do nó phҧi gӱi gói tin qua mӝt mҥng
không đӗng nhҩt, ví dө internet, giao thӭc này cҫn đưӧc hӛ trӧ rӝng rãi. Do đó nӃu
đưӡng hҫm đưӧc tҥo ra trong internet, giao thӭc sóng mang thưӡng đưӧc dùng là
giao thӭc IP. Trong trưӡng hӧp mҥng nӝi bӝ, giao thӭc native routing đưӧc dùng
làm giao thӭc sóng mang.

GVHD: NguyӉn Văn Sinh - 94 -


Xây Dӵng VPN Trên IPv6

Ë E l i    l i    i Giao thӭc đưӧc dùng đӇ
đóng gói payload ban đҫu. Giao thӭc đóng gói cũng chӏu trách nhiӋm tҥo ra, bҧo trì
và kӃt thúc đưӡng hҫm. Ngày nay giao thӭc đóng gói thưӡng là PPTP, L2TP, and
IPSec.
Ë      l i 34% Dӳ liӋu gӕc cҫn đưӧc đóng
gói đӇ truyӅn qua mҥng nhӡ đưӡng hҫm thuӝc vӅ giao thӭc này. Giao thӭc hành
khách thưӡng là PPP and SLIP (il!i#tt$%tl)

Figure 4-7: Đӏnh dҥng gói tin đưӡng hҫm cӫa giao thӭc đưӡng hҫm
.Z 
IPSec có nghĩa là #tt$tl&C
it . It refers to a suite of protocols
(AH, ESP, FIP-140-1, v.v..) đưӧc phát triӇn bӣi Internet Engineering Task Force
(IETF). IPSec cung cҩp chӭc năng bҧo mұt tҥi lӟp thӭ ba trong mô hình OSI ( lӟp
mҥng ).

GVHD: NguyӉn Văn Sinh - 95 -


Xây Dӵng VPN Trên IPv6

Hình 6.1 : Vӏ trí cӫa IPSec trong mô hình OSI

Khi mӝt cơ chӃ bҧo mұt mҥnh đưӧc tích hӧp vào IP, tòan bӝ mҥng sӁ đưӧc
bҧo mұt vì mӑi sӵ thông tin liên lҥc phҧi thông qua lӟp thӭ ba ( đây là lý do tҥi sao
IPSec lҥi đưӧc xây dӵng ӣ lӟp thӭ ba thay vì lӟp thӭ hai ). Giao thӭc IPSec đưӧc
phát triӇn cho phiên bҧn IP hiӋn tҥi là IP 4 và cho cҧ phiên bҧn sau cӫa IP ( IP 6 ).
Giao thӭc này không chӍ tương thích vӟi mҥng IP mà còn đӕi vӟi nhiӅu mҥng khác
nӳa.

VӟiIPSec, tҩt cҧ các ӭng dөng chҥy trên lӟp ӭng dөng cӫa mô hình OSI khi
truyӅn dүn dӳ liӋu sӁ phө thuӝc và bӏ kiӇm sóat bӣi lӟp mҥng. IPSec đã đưӧc tích
hӧp vào IP, tҩt cҧ các ӭng dөng mҥng có thӇ sӱ dөng nó mà không cҫn phҧi điӅu
chӍnh gì hӃt. Tương tӵ như IP, IPSec trong suӕt đӕi vӟi ngưӡi dùng, ngưӡi dùng
không cҫn quan tâm đӃn cách thӭc đӇ nó hӑat đӝng.
2X'34%X :
 Xác thӵc và tòan vҽn dӳ liӋu.

 Tin cҭn.

 Quҧn lý khóa.

a. Authentication Header Protocol


Giao thӭc header xác thӵc (AH) đính thêm vào header cӫa IP datagram.
Header này cung cҩp IP datagram gӕc tҥi nơi nhұn. Bên cҥnh đó, header này giúp
xác đӏnh bҫt kì sӵ chӍnh sӱa nào bӣi các user trái phép khi dӳ liӋu truyӅn qua mҥng.
Tuy nhiên HA không cung cҩp sӵ tin cҭn.

ĐӇ tҥo ra HA, Hashed Authentication Message Code (HMAC) đưӧc tҥo ra


tai nơi gӱi. Mã hash code đưӧc tҥo ra trên mӝt SA xác đӏnh, xác đӏnh thӭ tӵ biӃn

GVHD: NguyӉn Văn Sinh - 96 -


Xây Dӵng VPN Trên IPv6

đәi datagram. Mã sӁ đưӧc đính vào sau IP header ban đҫu. Tҥi nơi nhұn, HMAC
đưӧc giҧi mã đӇ xác đӏnh ngưӡi gӱi cũng như tính tòan vҽn cӫa dӳ liӋu.

 i' : Thông thưӡng mã hash code đưӧc thӵc thi trong AH là HMAC-
MD5 và HMAC-SHA1. DES-MAC thì có thӇ có hoһc không.

AH không hӅ đưa ra mӝt cơ chӃ tin cҭn khi truyӅn đi. Nó chӍ đơn thuҫn thêm
mӝt header vào IP datagram; phҫn còn lҥi cӫa datagram đưӧc giӳ nguyên như ban
đҫu. AH không bҧo vӋ bҩt kì trưӡng nào trong IP header bӣi vì chúng có thӇ thay
đәi trong quá trình truyӅn. Trưӡng duy nhҩt không thay đәi trong quá trình truyӅn
sӁ đưӧc bҧo vӋ bӣi AH. Ví dө IP cӫa nơi gӱi và nơi nhұn. Hình 6-3 minh hӑa IP
datagram sau khi IPSec AH đưӧc thêm vào.

Hình 6-3: Gói IP sau khi authentication header đưӧc thêm vào

Đӝ dài AH là 24 bytes và cҩu trúc đӏnh dҥng cӫa IPSec AH đưӧc mô tҧ như
hình vӁ 6-4.

Figure 6-4: Đӏnh dҥng cӫa IPSec Authentication Header

ì O (i 
tư:
 $5  Trưӡng xác đӏnh giao thӭc bҧo mұt
 Vi  3i l Trưӡng xác đӏnh chiӅu dài cӫa thông điӋp.
 › 3 Trưӡng này đưӧc đӇ dành, không sӱ dөng.

GVHD: NguyӉn Văn Sinh - 97 -


Xây Dӵng VPN Trên IPv6

  VӍ678 & Trưӡng xác đӏnh ngӳ nghĩa cӫa giao thӭc bҧo
mұt trong nhiӅu giao thӭc bã(đӏa chӍ đích đӃn và giao thӭc bҧo mұt)
 6" Trưӡng xác đӏnh trұt tӵ các datagram.
 ! li  $% " Trưӡng chӭa dӳ liӋu xác thӵc và Integrity Check
Value (ICV) (giá trӏ kiӇm tra tòan vҽn), dùng đӇ kiӇm tra tính tòan vҽn
cӫa dӳ liӋu truyӅn đi.

7/i E l i i l E


ESP giúp tăng đӝ tin cұy trong quá trình xác đӏnh ngưӡi ngưӡi và xác minh
tính tòan vҽn cӫa dӳ liӋu trong quá trình truyӅn qua mҥng. ESP se mã hóa nӝi dung
cӫa datagram bҵng các giҧi thuұt mã hóa. Mӝt vài giҧi thuұt thưӡng đưӧc sӱ dөng là
: DES-CBG, NULL, CAST-128, IDEA, and 3DES. Giҧi thuұt xác đӏnh tương tӵ
như nhӳng giҧi thuұt dùng trong HA là HMAC-MD5 và HMAC-SHA.

So sánh ESP vӟi AH ta thҩy rҵng : AH chú trӑng đӃn viӋc xác minh và bҧo
vӋ tòan vҽn dӳ liӋu cӫa IP datagram, trong khi đó ESP chӍ bҧo vӋ phҫn payload
(chӭa nӝi dung cҫn truyӅn ) (Xem hình 6-5). ESP có cơ chӃ mã hóa khá mҥnh nhӡ
đó nó không hӅ làm nһng CPU và chҥy nhanh hơn so vӟi AH. Tuy nhiên do ESP
phҧi đính thêm 24 byte vào datagram nên nó khá chұm khi tính tóan và phân đӑan.

Figure 6-5: The IP packet after the ESP header and trailer are added

Đӏnh dҥng cӫa datagram IP dӵa trên ESP đưӧc minh hӑa ӣ hình 6-6 gӗm
nhӳng trưӡng sau.

  i    $ Trưӡng này mô tҧ vӅ ngӳ cҧnh cӫa SA


( đӏa chӍ đích, giao thӭc sӱ dөng).

GVHD: NguyӉn Văn Sinh - 98 -


Xây Dӵng VPN Trên IPv6

 6" Trưӡng mô tҧ chuӛi các datagram trong phiên truyӅn thông tin
này.
 ›  Trưӡng dùng đӇ đӋm thêm vào payload nӃu payload không đӫ đӝ
dài cҫn thiӃt.
 Vi  3i  Trưӡng mô tҧ đӝ dài cӫa phҫn đӋm thêm. Nó giúp máy
nhұn xác đӏnh ranh giӟi cӫa phҫn payload gӕc so vӟi sau khi đӋm thêm
vào.
 $5  Trưӡng xác đӏnh giao thӭc bҧo mұt đӇ đóng gói.
 !li $%" Trưӡng chӭa dӳ liӋu xác thӵc vӟi giá trӏ kiӇm tra tính
tòan vҽn (ICV), dùng đӇ kiӇm tra tính tòan vҽn cӫa thông điӋp gӱi đi



! 
SA trong IPSec đưӧc thӵc thi trong hai mode (minh hӑa hình 6-7). Gӗm đó
mode truyӅn tҧi(Transport mode) và mode đưӡng hҫm (
l mode). Cҧ AH va
ESP đӅu hӑat đӝng ӣ cҧ hai mode.

Figure 6-7: The two IPSec modes

GVHD: NguyӉn Văn Sinh - 99 -


Xây Dӵng VPN Trên IPv6

a. ! 98i
Mode chuyӇn tҧi bҧo vӋ các giao thӭc ӣ lӟp trên và các trình ӭng dөng.
Trong mode chuyӅn tҧi, IPSec header đưӧc gҳn vào giӳa IP header và header cӫa
các giao thӭc lӟp trên, minh hӑa hình 6-8

Figure 6-8: IPSec mode truyӅn tҧi

Figure 6-9: AH mode vұn chuyӇn.

Đӕi vӟi ESP, ESP trailer và ESP dӳ liӋu xác thӵc đưӧc đính vào sau payload
ban đҫu. Sau đó mӝt header mӟi đưӧc thêm vào trưӟc payload (minh hӑa hình 6-
10).

Figure 6-10: ESP mode truyӅn tҧi.

GVHD: NguyӉn Văn Sinh - 100 -


Xây Dӵng VPN Trên IPv6

Mode truyӇn tҧi ít sӱ lý ӣ phҫn đҫu cӫa datagram nên nó nhanh hơn. Tuy
nhiên nó sӁ không hiӋu quҧ vӟi ESP hoһc các trưӡng hӧp không xác thӵc cũng như
mã hóa IP header.

7!  12 -


Khác vӟi mode truyӅn tҧi, mode đưӡng hҫm bҧo vӋ tòan bӝ IP datagram.
Tòan bӝ IP datagram đưӧc bӑc lҥi vӣi mӝt IP datagram khác, sau đó mӝt IPSec
header đính vào giӳa IP header cũ và mӟi.(Hình 6-11 minh hӑa hӑat đӝng cӫa IPSec
ӣ mode đưӡng hҫm.

Figure 6-11: IPSec mode đưӡng hҫm

Mode đưӡng hҫm cӫa AH, mӝt header mӟi (AH) đưӧc thêm vào giӳa IP
header mӟi và header cũ ( hình 6-12).

Figure 6-12: AH mode đưӡng hҫm.

GVHD: NguyӉn Văn Sinh - 101 -


Xây Dӵng VPN Trên IPv6

Trong trưӡng hӧp cӫa ESP, datagram ban đҫu kӃt thúc bҵng payload cho mӝt
gói tin ÉP mӟi, and, as a result of which, both encryption as well as authentication
can be implemented with ease. Figure 6-13 represents the ESP Tunnel mode


Figure 6-13: ESP mode đưӡng hҫm



..LTL li    l

Đưӧc phát triӇn bӣi IETF và đưӧc ӫng hӝ bӣi các nhà công nghiӋp khәng lӗ
như Cisco Systems, Microsoft, 3COM, và Ascend, L2TP là sӵ kӃt hӧp hai giao
thӭc VPN sơ khӣi PPTP và L2F. Do đó L2TP kӃt hӧp đưӧc các tính năng cӫa L2F
và PPTP. L2TP cung cҩp dӏch vө mӅm dҿo vӟi giá cҧ truy cұp t xa hiӋu quҧ cӫa
L2F và tӕc đӝ kӃt nӕi điӇm tӟi điӇm nhanh cӫa PPTP.

Lӧi ích cӫa L2TP kӃt hӧp t các tính năng cӫa L2F và PPTP:

 L2TP hӛ trӧ nhiӅu giao thӭc và kӻ thuұt mҥng: IP, ATM, FFR và PPP.
Do đó nó có thӇ hӛ trӧ nhiӅu kӻ thuұt khác nhau trên cùng thiӃt bӏ truy cұp.
 L2TP cho phép nhiӅu kӻ thuұt truy cұp trung gian hӋ thӕng thông qua
Internet và các mҥng công cӝng khác, như.
 L2TP không yêu cҫu phҧi hiӋn thӵc thêm phҫn mӅm, các bӝ phұn điӅu
khiӇn hay phҫn mӅm hӛ trӧ. Do vұy mà cҧ ngưӡi dùng t xa và mҥng riêng nӝi bӝ
đӅu không cҫn phҧi thӵc thi phҫn mӅm chuyӋn dөng
 L2TP cho phép ngưӡi dùng t xa chưa đҵng đӏa chӍ IP hoһc sӱ dөng IP
cӫa riêng truy cұp mҥng t xa thông qua mҥng công cӝng.

GVHD: NguyӉn Văn Sinh - 102 -


Xây Dӵng VPN Trên IPv6

 ViӋc chӭng thӵc và kiӇm quyӅn L2TP đưӧc thӵc hiӋn tҥi gateway cӫa
máy chӫ. Do đó ISPs không cҫn cұp nhұt dӳ liӋu chӭng thӵc user hay quyӅn truy
cұp cӫa user t xa. Hơn nӳa mҥng riêng nӝi bӝ cũng có thӇ tӵ xác đӏnh các truy cұp
tӟi nó và có các cơ chӃ bҧo mұt riêng. ĐiӅu này làm cho quy trình thiӃt lұp đưӡng
hҫm cӫa L2TP nhanh hơn so vӟi các nghi thӭc đưӡng hҫm trưӟc nó.

Tính năng chính cӫa L2TP: thay vì kӃt thúc đưӡng hҫm tҥi ISP site gҫn nhҩt
như PPTP thì L2TP mӣ rӝng đương hҫm đӃn gateway cӫa máy chӫ ( hoһc máy
đích) cӫa mҥng. Vì vұy yêu cҫu thiӃt lұp đưӡng hҫm L2TP có thӇ đưӧc khӣi tҥo t
user t xa và gateway cӫa ISP

Hình 5-15: Đưӡng hҫm L2TP.

Khi Frame PPP đưӧc gӱi đi thông qua đương hҫm L2TP, nó sӁ đưӧc đóng
gói dưӟi dҥng gói dӳ liӋu user : thông điӋp UDP(Uer Datagram Protocol). L2TP sӱ
dөng thông điӋp UDP cho viӋc tҥo đưӡng hҫm dӳ liӋu và bҧo trì đưӡng hҫm. Vì vұy
gói dӳ liӋu đưӡng hҫm và gói bҧo trì đưӡng hҫm có chung cҩu trúc.




GVHD: NguyӉn Văn Sinh - 103 -


Xây Dӵng VPN Trên IPv6

4.5.PPTP ( Point to point tuneling protocal )


PPTP là mӝt giҧi pháp mҥng riêng cho phép bҧo mұt dӳ liӋu truyӅn giӳa các
máy khách di đӝng và máy chӫ bҵng cách thiӃt lұp mҥng riêng ҧo dӵa trên nӅn IP
cӫa mҥng internet. PPTP đưӧc phát triӇn bӣi Microsoft Corporation, Ascend
Communications, 3COM, US Robotics và ECI Telematics. PPTP không chӍ cung
cҩp đưӡng truyӅn bҧo mұt thông qua mҥng công cӝng mà còn bҧo mұt trong mҥng

Chú ý: Vì Microsoft Corporation đóng vai trò chính trong viӋc phát triӇn PPTP nên
tҩt cҧ các sҧn phҭm mҥng cӫa Microsoft như Window NT 4.0, Windown 2000 đӅu
hӛ trӧ PPTP.

Có hai đһc tính nәi bұt đóng vai trò quan trӑng trong viӋc bҧo mұt cӫa PPTP
khi các kӃt nӕi có khoҧng cách xa:
Ë Sӱ dөng mҥng chuyӇn mҥch điӋn thoҥi công cӝng. PPTP cho phép sӱ
dөng mҥng chuyӇn mҥch điӋn thoҥi công cӝng đӇ thӵc thi mҥng riêng ҧo. Và vұy
viӋc thӵc thi mҥng riêng ҧo sӁ trӣ nên rҩt đơn giҧn và chi phí thҩp bҵng cách sӱ
dөng đưӡng leasline cӫa doanh nghiӋp đӇ cung cҩp thêm các dӏch vө truyӅn thông
khác.
Ë Cung cҩp giao thӭc Non_IP. Mһc dù đưӧc phát triӇn trên nӅn IP cӫa
mҥng internet nhưng PPTP cũng hӛ trӧ đӇ hiӋn thӵc các giao thӭc mҥng khác như
TCP/IP, IPX, NetBEUI, và NetBIOS. Vì vұy, PPTP chӭng tӓ khҧ năng có thӇ triӇn
khai dӉ dàng trên mҥng riêng ҧo thông qua mҥng LAN hoһc mҥng công cӝng.
PPTP đưa ra nhiӅu cơ chӃ bҧo mұt cho máy chӫ và máy khách PPTP. Các
dӏch vө bҧo mұt bao gӗm:
 Mã hóa và nén dӳ liӋu
 Chӭng thӵc
 KiӇm soát truy cұp
 Lӑc gói

Vӟi các cơ chӃ bҧo mұt trên, PPTP có thӇ đưӧc sӱ dөng kӃt hӧp vӟi tương
lӱa và các bӝ đӏnh tuyӃn.

GVHD: NguyӉn Văn Sinh - 104 -


Xây Dӵng VPN Trên IPv6

a. Mã hóa và nén dӳ liӋu PPTP


PPTP không cung cҩp cơ chӃ mã hóa đӇ bҧo mұt dӳ liӋu. Nó sӱ dөng dӏch vө
mã hóa dӳ liӋu đưӧc cung cҩp bӣi PPP. Trên thӵc tӃ thì PPP sӱ dөng phương pháp
mã hóa điӇm tӟi điӇm cӫa Microsoft( MPPE- Microsoft Point-to-Point Encryption),
dӵa trên phưương pháp mã hóa công khai-bí mұt.

Mã công khai ± bí mұt đưӧc sӱ dөng trong PPP là ID cӫa ngưӡi dung và
password tương ӭng. 40 bit đưӧc dung đӇ mã hóa ID và password theo giҧi thuұt
băm đưӧc lưu trӳ trên cҧ máy chӫ và máy khách. Giҧi thuұt băm sӁ tҥo khóa cӫa mã
RSA RC4. Khóa này sӁ đưӧc sӱ dөng đӇ mã hóa dӳ liӋu truyӅn trong đưӡng hҫm
PPTP. Tuy nhiên khóa 40 bits ngҳn và không đӫ đӇ chӕng đӥ ký thuұt hacking hiӋn
nay, nên ngưӡi ta có thӇ sӱ dөng khóa 128 bits. ĐӇ giҧm các nguy cơ liên quan bҧo
mұt, Microsoft đӅ nghӏ tҥo lҥi mã mӟi sau khi gói thӭ 256 đưӧc truyӅn đi .

b. Chӭng thӵc dӳ liӋu PPTP


PPTP hӛ trӧ các cơ chӃ chӭng thӵc cӫa Microsoft:

 MS-CHAP (Microsoft Challenge Handshake Authentication


Protocol).
 PAP (Password Authentication Protocol).

c. KiӇm soát truy cұp PPTP


Sau khi máy khách PPTP tӯ tӯ xa đưӧc chӭng thӵc thành công thì nó có thӇ
truy cұp nhӳng nguӗn lӵc bên trong cӫa mҥng, điӅu này có thӇ hҥn chӃ mөc đích
tăng cưӡng bҧo mұt. Tuy nhiên ngưӡi ta vүn có thӇ thӵc hiӋn mөc tiêu bҧo mұt
bҵng các phương tiұn kiӇm soát truy cұp:
Ë Access rights ( QuyӅn truy cұp)
Ë Permissions ( Cho phép truy cұp)
Ë Workgroups ( Truy cұp theo nhóm)

d. Lӑc gói PPTP


Lӑc gói PPTP cho phép máy chӫ cӫa mҥng riêng chҩp nhұn và đӏnh tuyӃn
gói chӍ tӯ các máy khách đã đưӧc đӏnh quyӅn. Do vұy chӍ các máy khách đã đưӧc
kiӇm quyӅn mӟi có thӇ truy cұp đưӧc đӃn các máy xác đӏnh cӫa mҥng tӯ xa.. Như

GVHD: NguyӉn Văn Sinh - 105 -


Xây Dӵng VPN Trên IPv6

vұy PPTP không chӍ cung cҩp các dӏch vө chӭng thӵc user, kiӇm soát truy cұp, các
phương pháp mã hóa mà còn tăng khҧ năng bҧo mұt cӫa mҥng.

e. PPTP vӟi tưӡng lӱa và các bӝ đӏnh tuyӃn


Các thiӃt bӏ PPTP ( chӫ và khách) nhұn dӳ liӋu TCP và IP ӣ cәng 1723 và
cәng 47. Tuy nhiên khi kӃt hӧp vӟi tưӡng lӱa và bӝ đӏnh tuyӃn, lưu lưӧng đӃn các
cәng này đưӧc đӏnh tuyӃn thông qua tưӡng lӱa và bӝ đӏnh tuyӃn. Tưӡng lӱa và bӝ
đӏnh tuyӃn sӁ lӑc dũ liӋu dӵa trên danh sách kiӇm soát truy cұp và các cơ chӃ bҧo
mұt khác. Trong trưӡng hӧp này PPTP có thӇ tăng cưӡng khҧ năng bҧo mұt mà nó
cung cҩp.

GVHD: NguyӉn Văn Sinh - 106 -


Xây Dӵng VPN Trên IPv6

Chương Z: Xây Dӵng VPN Trên IPv6

1. Ý tưӣng xây dӵng mô hình bài Lab

Ngày nay, IPv6 đã và đang dҫn đưӧc triӇn khai áp dөng trong mӝt sӕ mô hình
mҥng, sӵ ra đӡi và triӇn khai IPv6 là rҩt cҫn thiӃt nhưng cũng không thӇ phӫ bӓ hӋ
thӕng mҥng IPv4 đưӧc, do đó đӇ đáp ӭng nhu cҫu thӵc tӃ chúng ta xây dӵng hӋ
thӕng mҥng IPv6 vӟi nhӳng đưӡng hҫm qua IPv4 ma không ҧnh hưӣng gì đӃn hӋ
thӕng mҥng.

Chúng ta có hai mҥng LAN đang sӱ dөng thuҫn IPv6 đó là site HANOI và site
SAIGON, hai site này kӃt nӕi VPN vӟi nhau thông qua mҥng internet đang sӱ dөng
IPv4, chúng ta xây dӵng tunnel mã hóa bҵng Ipsec.

ü. Tӯng bưӟc xây dӵng và cҩu hình

ü.1.Phҫn mӅn và các thiӃt bӏ yêu cҫu


3 router, dùng GNS3 đӇ cҩu hình router
Router HANOI:
Cisco router 3660.
Ram of router: 256Mb.
IOS router: c3660-jk9o3s-mz.123-17a.bin
Router ISP:
Cisco router 3660.
Ram of router: 256Mb.
IOS router: c3660-jk9o3s-mz.123-17a.bin
Router SAIGON:
Cisco router 3660
Ram of router: 256Mb.

GVHD: NguyӉn Văn Sinh - 107 -


Xây Dӵng VPN Trên IPv6

IOS router: c3660-jk9o3s-mz.123-17a.bin


2 pc chҥy hӋ điӅu hành XP và windown server

!#846i

Ta có 2 site HANOI và SAIGON kӃt nӕi vӟi nhau qua ISP

Site HANOI có đӏa chӍ: 2100::/64

Cәng Ethennet có đӏa chӍ 2100::1/64

Cәng serial có đӏa chӍ 20.0.0.2/24

Tunnel có đӏa chӍ: 4000::1/64

Site SAIGON có đӏa chӍ: 3100::/64

GVHD: NguyӉn Văn Sinh - 108 -


Xây Dӵng VPN Trên IPv6

Cәng Ethenet có đӏa chӍ: 3100::1/64

Cәng serial có đӏa chӍ 30.0.0.2/24

Tunnel có đӏa chӍ: 4000::2/64

ü.Z.Các bưӟc cҩu hình


ü.Z.1. Cҩu hình windown XP
Cài đҹt ipv6
C:\>netsh interface ipv6 install
C:\>netsh intterface ipv6 add address
³local Area connetion´ 3001::2/64
KiӅm tra ip
C:\>ipconfig/all

ü.Z.ü. Cҩu hình window Server


Cài đҹt ipv6
C:\>netsh interface ipv6 install
C:\>netsh intterface ipv6 add address
³local Area connetion´ 2001::2/64
KiӅm tra ip
C:\>ipconfig/all

ü.Z.Z. Cҩu hình Router HANOI


Cҩu hình đӏa chӍ ip cho các interface
HANOI(config)#interface Ethenet1/0
HANOI(config-if)#ip address 2100::1/64
HANOI(config-if)#no shutdown
HANOI(config)#interface serial2/0

GVHD: NguyӉn Văn Sinh - 109 -


Xây Dӵng VPN Trên IPv6

HANOI(config-if)#ip address 20.0.0.2 255.255.255.0


HANOI(config-if)# clock rate 64000

Cҩu hình isakmp policy


HANOI(config)#ctypto isakmp policy 1
HANOI(config-isakmp)#encrypto 3des
HANOI(config-isakmp)#hash sha
HANOI(config-isakmp)#authentication pre -shared
HANOI(config-isakmp)#group 2
HANOI(config-isakmp)#exit
HANOI(config)#crypto isakmp key 123 address 30.0.0.2

Cҩu hình ipsec


HANOI(config)#ctypto ipsec transform -set myset esp-3des esp-sha-
hmac
HANOI(config)#ipv6 access-list dinhxuan
HANOI(config-access-list)#permit ipv6 2100::/64 3100::/64
HANOI(config-crypto-transform-set)#exit
HANOI(config)#crypto map mymap 1 ipsec -isakmp
HANOI(config-crypto)#math address 100
HANOI(config-crypto)#set transform-set myset
HANOI(config-crypto)#set peer 30.0.0.2

Cҩu hình tunnel


HANOI(config)#interface tunnel 1
HANOI(config-interface)#ipv6 enable
HANOI(config-interface)#ipv6 address 4000::1/64
HANOI(config-interface)#tunnel source serial2/0
HANOI(config-interface)#tunnel destination 30.0.0.2
HANOI(config-interface)#tunnel mode ipv6 ip
HANOI(config-interface)#crypto map mymap

GVHD: NguyӉn Văn Sinh - 110 -


Xây Dӵng VPN Trên IPv6

ü.Z.4. Cҩu hình Router ISP


Cҩu hình ip các interface trên Router ISP
ISP(config)# interface Serial1/0
ISP(config-interface)# ip address 20.0.0.1 255.255.255.0
ISP(config-interface)# clock rate 64000
ISP(config-interface)# no shutdown
ISP(config)# interface Serial1/1
ISP(config-interface)# ip address 30.0.0.1 255.255.255.0
ISP(config-interface)# clock rate 64000
ISP(config-interface)# no shutdown

ü.Z.5. Cҩu hình Router SAIGON


Cҩu hình đӏa chӍ ip cho các interface
SAIGON(config)#interface Ethenet1/0
SAIGON(config-if)#ip address 3100::1/64
SAIGON(config-if)#no shutdown
SAIGON(config)#interface serial2/0
SAIGON(config-if)#ip address 30.0.0.2 255.255.255.0
SAIGON(config-if)# clock rate 64000

Cҩu hình isakmp policy


SAIGON(config)#ctypto isakmp policy 1
SAIGON(config-isakmp)#encrypto 3des
SAIGON(config-isakmp)#hash sha
SAIGON(config-isakmp)#authentication pre -shared
SAIGON(config-isakmp)#group 2
SAIGON(config-isakmp)#exit
SAIGON(config)#crypto isakmp key 123 address 20.0.0.2

GVHD: NguyӉn Văn Sinh - 111 -


Xây Dӵng VPN Trên IPv6

Cҩu hình ipsec


SAIGON(config)#ctypto ipsec transform -set myset esp-3des esp-
sha-hmac
SAIGON(config)#ipv6 access-list dinhxuan
SAIGON config-access-list)#permit ipv6 3100::/64 2 100::/64
SAIGON(config-crypto-transform-set)#exit
SAIGON(config)#crypto map mymap 1 ipsec -isakmp
SAIGON(config-crypto)#math address 100
SAIGON(config-crypto)#set transform-set myset
SAIGON(config-crypto)#set peer 30.0.0.2

Cҩu hình tunnel


SAIGON(config)#interface tunnel 1
SAIGON(config-interface)#ipv6 enable
SAIGON(config-interface)#ipv6 address 4000::2/64
SAIGON(config-interface)#tunnel source serial2/0
SAIGON(config-interface)#tunnel destination 20.0.0.2
SAIGON(config-interface)#tunnel mode ipv6 ip
SAIGON(config-interface)#crypto map mymap

Z. KӃt quҧ

Cҩu hình đӏa chӍ ipv6 winxp

GVHD: NguyӉn Văn Sinh - 112 -


Xây Dӵng VPN Trên IPv6

Cҩu hình đӏa chӍ win server

GVHD: NguyӉn Văn Sinh - 113 -


Xây Dӵng VPN Trên IPv6

Cҩu hình router HANOI

Cҩu hình router ISP và SAIGON

GVHD: NguyӉn Văn Sinh - 114 -


Xây Dӵng VPN Trên IPv6

KӃt quҧ Win Server ping đӃn Win XP và ngưӧc lҥi

GVHD: NguyӉn Văn Sinh - 115 -


Xây Dӵng VPN Trên IPv6

GVHD: NguyӉn Văn Sinh - 116 -


Xây Dӵng VPN Trên IPv6

Chương 4: kӃt luұn và hưӟng phát triӇn


1. KӃt luұn
Sӵ phát triӇn cӫa ngành công nghӋ thông tin nói chung và ngành mҥng máy tính
nói riêng, nhiӅu công nghӋ mӟi đã đưӧc áp dөng thành công và mang lҥi nhiӅu lӧi
ích đáng kӇ, giҧm thiӇu đưӧc chi phí, tăng cưӡng tính an toàn trên toàn hӋ thӕng
mҥng, đҧm bҧo tính toàn vҽn cӫa dӳ liӋu trên hӋ thӕng mҥng. Sӵ bùng nә vӅ
internet và cҥn kiӋt nguӗn tài nguyên IPv4 dүn đӃn rӵ ra đӡi cӫa IPv6 vӟi đӅ tài này
sӁ cung cҩp mӝt sӕ kiӃn thӭc cơ bҧn vӅ IPv6 và VPN thêm vào đó là giҧi pháp phù
hӧp khi IPv6 ra đӡi mà vүn chung sӕng không ҧnh hưӣng gì đӃn IPv4 trong khi
IPv6 đang dҫn đưӧc thây thӃ. IPv6 ra đӡi sӁ không làm mҩt đi nhӳng tính năng và
các dӏnh vө, công nghӋ, giao thӭc... mà IPv4 đã mang lҥi ví dө như VPN, MPLS,
RADIUS..không dӯng lҥi ӣ đây IPv6 còn có nhӳng tính năng vưӧt trӝi khăc thúc
đҭy nhӳng công nghӋ khác pháp triӇn đӇ đáp ӭng n hu cҫu cӫa con ngưӡi.
VPN là cӝng nghӋ không thӃ thiӃu đӕi vӟi nhӳng công ty đa quӕc gia hay công
ty nhiӅu chi nhánh, sӵ ra đӡi cӫa IPv6 không ҧnh hưӣng gì đӃn mҥng VPN ngưӧc
lҥi nó còn có mӝt sӕ tính năng giúp hӋ thӕng VPN tӕt hơn, như bҧo mұt hơn, n hanh
hơn, giҧm chi phí... Ngoài ra, còn có thӇ tҥo ra mҥng VPN mang đӏa chӍ IPv6 có thӇ
xuyên qua internet sӱ dөng IPv4
ü. Hưӟng phát triӇn
HiӋn nay, trên thӃ giӟi các nưӟc có nӅn công nghӋ thông tin phat triӇn như
Mӻ, Nhұt ... đã và đang triӇn khai các dӏch vө, công nghӋ mang tính thuҫn
IPv6, nhӳng thiӃt bӏ, nhӳng phҫn mên.. sӁ dҫn dҫn ra đӡi đáp ӭng nhu cҫu cӫa
con ngưӡi, vӟi tính năng và tài nguyên đӏa chӍ IP gҫn như là vô hҥn IPv6
không nhӳng phát triӇn ӣ công nghӋ thông tin, mà còn phát triӇn rӝng l ӟn ӣ
các lĩnh vӵ khác.
Ӣ ViӋt Nam hiӋn nay mҥng IPv6 đang trong giai đoҥn nguyên cӭu và thӱ
nghiӋp trong mҥng lõi. Vӟi nhӳng gì mà lӧi ích cӫa IPv6 mҥng lҥi viӋc phát
triӇn mҥng IPv6 là tҩt yӃu nhưng viӋc triӇn khai vүn còn gһp nhӳng khó khăn

GVHD: NguyӉn Văn Sinh - 117 -


Xây Dӵng VPN Trên IPv6

do còn khan hiӃm vӅ thiӃt bӏ phҫn cӭng, phҫn mӅm hӛi trӧ IPv6 và chi phí
cho cơ sӣ hҥ tҫng mҥng IPv4 là rҩt lӟn khó có thӇ bӓ đưӧc. Tuy nhiên IPv6
vүn phát triӇn mҥnh và các thiӃt bӏ phҫn cӭng và phҫn mӅm cũng tӯ tӯ đưӧc
tҥo ra hӛ trӧ cho IPv6, IPv6 vүn tӯ tӯ thây thӃ IPv4 và phát triӇn sang lĩnh
vӵc khác.

GVHD: NguyӉn Văn Sinh - 118 -