Đề tài Nghiên cứu IPv6 và thực nghiệm VPN trên IPv6

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN -----------o0o----------- ĐỒ ÁN CHUYÊN NGÀNH Đề tài Nghiên cứu IPv6 và thực nghiệm VPN trên IPv6 Sinh viên thực hiện: Đỗ Đình Xuân – MSSV:09b1020121 Phạm Hải Hòa – MSSV:105102164 THÀNH PHỐ HỒ CHÍ MINH 2010 LỜI CẢM ƠN Để thực hiện được đề tài này, chúng em xin chân thành cảm ơn quý thầy cô, các bạn, gia đình đã tạo điều kiện cho chúng em học tập và nghiên cứu. Đặc biệt chúng em cảm ơn thầy Nguyễn Văn Sinh đã nhiệt tình giúp đỡ hướng dẫn chúng em thực hiện đồ án này. Mặc dù chúng em đã cố gắng hết sức để nghiên cứu đề tài, nhưng do thời gian có hạn không thể tránh khỏi những thiếu sót, rất mong sự đóng góp của quý thầy cô và các bạn, để có những kiến thức hoàn thiện hơn. Cuối cùng chúng em xin cảm ơn, kính chúc quý thầy cô và các bạn dồi dào sức khỏe MỤC LỤC Lời mở đầu................................................................................trang 4 Chương 1: Tổng Quan về IPv6 Giới thiệu về IPv6............................................................trang 7 .Giới Thiệu.......................................................................trang 7 .Đặc Điểm........................................................................trang 8 Không gian địa chỉ lớn..............................................trang 8 Địa chỉ phân cấp, hạ tầng định tuyến hiệu quả.....................trang 9 Khuôn dạng Header đơn giản hóa.............................trang 9 Tự cấu hình địa chỉ...................................................trang 9 Khả năng sát thực và bảo vệ an ninh.......................trang 9 Hỗ trợ tốt hơn về QoS.............................................trang 9 Hỗ trợ tốt hơn về tính năng di động.........................trang 9 Khả năng mở rộng...................................................trang 10 Các cấu trúc địa chỉ IPv6................................................trang 10 .Địa chỉ IPv6..................................................................trang 10 .Không gian địa chỉ........................................................trang 12 .Cấp phát địa chỉ............................................................trang 14 .Định dạng gói tin..........................................................trang 21 .Vùng Header mở rộng.....................................................trang 28 Sự chuyển tiếp từ IPv4 sang IPv6......................................trang 39 .Đặt vấn đề.......................................................................trang 39 .Các phương thức chuyển đổi............................................trang 41 chồng giao thức.........................................................trang 41 Đường hầm ipv6 qua ipv4.....................................trang 42 6 over 4.......................................................................trang 45 6 to 4........................................................................trang 48 .Mô giới đường hầm.......................................................trang 50 .Dịch địa chỉ - dịch giao thức.............................................trang 52 .Một số cơ chế khác..........................................................trang 54 Chương 2: Tổng quan về VPN................................................trang 62 Giới Thiệu về VPN...............................................................trang 62 Giới thiệu.............................................................................trang 62 Một Số Khái Niệm..............................................................trang 62 Sự Phát Triển.....................................................................trang 64 Ưu Điểm/Khuyết Điểm........................................................trang 65 Các Dạng VPN.......................................................................trang 67 Remote access VPN............................................................trang 67 Intranet VPN........................................................................trang 70 Extranet VPN.....................................................................trang 72 Bảo Mật VPN........................................................................trang 74 Xác nhận người dùng và quản lý truy cập...........................trang 74 Mã hóa dữ liệu.................................................................trang 76 Cơ sở hạ tầng khóa chung..................................................trang 80 Các Giao Thức VPN............................................................trang 92 Kỹ thuật đường hầm..........................................................trang 92 Giao thức đường hầm.......................................................trang 93 Ipsec.................................................................................trang 94 L2TP (Layer 2 tuneling Protocal)......................................trang 101 PPTP ( Point to point tuneling protocal).........................trang 103 Chương 3: Xây Dựng VPN Trên IPv6.....................................trang 106 Ý Tưởng mô hình bài lab.................................................trang 106 Từng bước xây dựng và cấu hinh...................................trang 107 Phần mềm và thiết bị..........................................................trang 107 Mô tả mô hình mạng..........................................................trang 107 Từng bước cấu hình...........................................................trang 107 Kết quả...............................................................................trang 110 Chương 4: Kết Luận và Hướng Phát triển.......................................... Kết luận................................................................................................ Hướng phát triển............................................................................... MỞ ĐẦU Giới thiệu Ngày này, máy tính không đơn thần là công cụ làm việc của mọi người, nó còn là thiết bị lưu trữ dữ liệu, truyền tải thông tin...góp phần không nhỏ vào công viêc, học tập, nghiên cứu và các lĩnh kinh doanh, sản xuất....phát triển. Do đó lợi ích của công nghệ thông đối với xã hội là không nhỏ. Vì vậy xã hội càng phát triển thì nhu cầu về khoa hoc công nghệ càng cao vì lý do đó sự bùng nổ về công nghệ thông tin là tất yếu, giá trị của nó là rất lớn góp phần thúc đẩy mọi lĩnh vực phát triển, làm cho con người có thông tin kiến thức nhanh hơn, mọi người gần nhau hơn. Các chuyên gia về công nghệ thông tin đã không ngừng nghiên cứu nhằm đưa ra những sản phẩm, dịch vụ ngày càng tốt hơn, trong đó phải kể đến mạng máy tính, không thể thiếu với mỗi con người đặc biệt với các công ty và doanh nghiệp lớn. Đặt vấn đề Như đã nói internet là nhu cầu không thể thiếu đỗi với mỗi người trong thời đại hiện nay, nó không chỉ là nguồn cung cấp thông tin, quản cáo, ... nó còn kết nối các công ty và doanh nghiệp với nhau đặc biệt là với những công ty nhiều chi nhánh hay công ty đa quốc gia thì việc sử dụng internet giúp cho dữ liệu được thông suốt các chi nhánh có thể làm việc thống nhất đồng bộ, có rất nhiều giải pháp làm được điều này, nhưng trong đề tài này tôi chỉ nói đến là giải pháp VPN (vitual protacal network). Sự bùng nổ về công nghệ thông tin cũng góp phần làm cho nguồn tài nguyên địa chỉ IPv4 đang dần cạn kiệt, để khắc phục khó khăn này và đáp ứng nhu cầu xã hội thì IPv6 đã ra đời, sự ra đời của IPv6 với không gian địa chỉ gần như vô hạn và những tính năng vượt trội so với IPv4, nhưng trên thực tế IPv6 chưa thể thay thế hoàn toàn IPv4 cần có những giải pháp để đồng bộ IPv6 và IPv4 với nhau trong giờ gian chuyển giao công nghệ. Trong để tài này Tôi sẽ nói về IPv6, VPN và giải phát VPN trên IPv6 trong môi trường mạng internet vẫn còn IPv4. Nhiệm vụ đề tài Nghiên cứu về IPv6 và xây dựng VPN trên IPv6 Cấu trúc đề tài Gồm 3 chương: Chương 1: Tổng quan về IPV6 Chương 2: Tổng quan về VPN Chương 3: Thử nghiệm và ứng dụng VPN trên IPV6 Chương 4: kết luận và hướng phát triển TỔNG QUAN VỀ IPV6 Giới thiệu ipv6 Giới thiệu Phiên bản IPv6 là một phiên bản mới của Internet. Nó được xây dựng trên cơ sở của giao thức IPv4 nhằm tận dụng các ưu điểm và khắc phục hạn chế của IPv4. Thay đổi của IPv6 chủ yếu sau: Mở rộng không gia dia chi IPv6 có địa chỉ nguồn và đích dài 128 bít, không gian địa chỉ lớn của IPv6 được thết kế dự phòng đủ lớn cho phép phân bổ địa chỉ và mạng con từ trục xương sống Internet đến từng mạng con trong một tổ chức. Tính biến đổi được lộ trình nhiều sắc thái được cải thiện gần thêm một phạm vi giải quyết tới những địa chỉ nhiều sắc thái. Sự đơn giản hoa khuôn dạng đầu mục (Header): Header của IPv6 được thiết kế để giảm chi phí đến mức tối thiểu. Điều này đạt được bằng cách chuyển các trường không quan trọng và các trường lựa chọn sang các header mở rộng được đặt phía sau của IPv6 header. Khuôn dạng header mới của IPv6 tạo ra sự xử lý hiệu quả hơn tại các ruoter. Tiến bộ hỗ trợ cho những mở rộng và những tuỳ chọn: Thay đổi trong cách mà những tuỳ chọn đầu mục IP được mã hoá kể cả hiệu quả hơn đẩy tới ít hơn những giới hạn về khó khăn trên những tuỳ chọn mới trong tương lai. Khả năng ghi nhãn luồng: Một khả năng mới được thêm để cho phép sự ghi nhãn của những gói thuộc về tới giao thông “chảy” đặc biệt cho người gửi nào những yêu cầu đặc biết điều khiển, như không mặc định chất lượng của dịch vụ hoặc “ thời gian thực “ dịch vụ. Những khả năng chứng thự và riêng tư: Những mở rộng để chứng thực sự toàn vẹn dữ liệu được chỉ rõ cho IPv6 Đặc điểm Trong IPv6 giao thức Internet được cải tiến một cách rộng lớn để thích nghi được sự phát triển không biết trước được của Internet. Định dạng và độ dài của những địa chỉ IP cũng được thay đổi với những gói định dạng. Những giao thức liên quan, như ICMP cũng đựơc cải tiến. Những giao thức khác trong tầng mạng như ARP, RARP, IGMP đã hoặc bị xoá hoặc có trong giao thức ICMPv6. Những giao thức tìm đường như RIP, OSPF cũng được cải tiến khả năng thích nghi với những thay đổi này. Những chuyên gia truyền thông dự đoán là IPv6 và những giao thức liên quan với nó sẽ nhanh chóng thay thế phiên bản IP hiện thời. Thế hệ mới của IP hay IPv6 có những ưu điểm như sau: Không gian địa chỉ lớn IPv6 có địa chỉ nguồn và đích dài 128 bít. Mặc dù 128 bít có thể tạo hơn 3,4*10 tổ hợp, không gian địa chỉ của IPv6 được thiết kế dự phòng đủ lớn cho phép phân bổ địa chỉ và mạng con từ trục xương sống internet đến từng mạng con trong một tổ chức. Các địa chỉ hiện đang phân bổ để sử dụng chỉ chiếm một lượng nhỏ và vẫn còn thừa rất nhiều địa chỉ sẵn sàng cho sử dụng trong tương lai. Với không gian địa chỉ lớn này, các kỹ thuật bảo tồn địa chỉ như NAT sẽ không còn cần thiết nữa. Địa chỉ phân cấp, hạ tầng định tuyến hiệu quả Các địa chỉ toàn cục của Ipv6 được thiết kế để tạo ra một hạ tầng định tuyến hiệu qủa, phân cấp và có thể tổng quát hoá dựa trên sự phân cấp thường thấy của các nhà cung cấp dịch vụ Internet (ISP) trên thực tế. Trên mạng Internet dựa trên IPv6, các router mạng xương sống (backbone) có số mục trong bảng định tuyến nhỏ hơn rất nhiều. Khuôn dạng Header đơn giản hóa Header của IPv6 được thiết kế để giảm chi phí đến mức tối thiểu. Điều này đạt được bằng cách chuyển các trường không quan trọng và các trường lựa chọn sang các header mở rộng được đặt phía sau của IPv6 header. Khuôn dạng header mới của IPv6 tạo ra sự xử lý hiệu quả hơn tại các router. Tự cấu hình địa chỉ Để đơn giản cho việc cấu hình các trạm, IPv6 hỗ trợ cả việc tự cấu hình địa chỉ stateful như khả năng cấu hình server DHCP và tự cấu hình địa chỉ stateless (không có server DHCP). Với tự cấu hình địa chỉ dạng stateless, các trạm trong liên kết tự động cấu hình chúng với địa chỉ IPv6 của liên kết (địa chỉ cục bộ liên kết) và với địa chỉ rút ra từ tiền tổ được quảng bá bởi router cục bộ. Thậm trí nếu không có router, các trạm trên cùng một liên kết có thể tự cấu hình chúng với các địa chỉ cục bộ liên kết và giao tiếp với nhau mà không phải thiết lập cấu hình thủ công Khả năng xác thực và bảo mật an ninh Tích hợp sẵn trong thiết kế IPv6 giúp triển khai dễ dàng đảm bảo sự tương tác lẫn nhau giữa các nút mạng. Hỗ trợ tốt hơn về dich vụ QoS Lưu thông trên mạng được phân thành các luồng cho phép sử lý mức ưu tiên khác nhau tại các router. Hỗ trợ tốt hơn về tính năng di động Khả năng di động MobileIP tận dụng được các ưu điểm của IPv6 so với IPv4 Khả năng mở rộng Thiết kế của IPv6 có dự phòng cho sự phát triển trong tương lai đồng thời dễ dàng mở rộng khi có nhu cầu. Cấu trúc địa chỉ ipv6 Địa chỉ ipv6 Một địa chỉ gồm có 16 byte, đó là 128 bít độ dài. Kiểu ký hiệu dấu 2 chấm trong hệ đếm 16 ( Hexadecimal Colon Notation): Để làm cho những địa chỉ trở nên có thể đọc được nhiều hơn, IPv6 trình bầy rõ trong kiểu ký hiệu dấu 2 chấm trong hệ đếm 16. Trong kiểu ký hiệu này, 128 bít được chia thàng 8 phần, mỗi phần rộng 2 byte. 2 byte trong kiểu ký hiệ hệ đếm 16 yêu cầu 4 chữ số trong hệ đếm 16 này. Vì thế cho nên địa chỉ gồm có 32chữ số trong hệ đếm 16 với mỗi 4 chữ số một lại có một dấu : chấm(Hình1) 111111101111101100…………………………..111111111111 128 bít= 16 bytes= 32chữ số trong hệ đếm 16 FDEC : : 7654 3210 ADBF 2922 FFFF Hình 1: Địa chỉ IP phiên bản 6 ( IPv6 Address) *Su rút gọn: Mặc dù là địa chỉ IP ngay cả khi ở trong định dạnh hệ số đếm 16, vẫn rất dài, nhiều chữ số 0 trong một địa chỉ. Thí dụ: 1080:0000:0000:0000:0008:0800:200C:417A Do đó cơ chế nén địa chỉ được dùng để biểu diễn dễ dàng hơn các loại địa chỉ dạng này. Ta không cần viết các số 0 ở đầu các nhóm, nhưng những số 0 bên trong thì không thể xoá. Chưa rút gọn 1080:0000:0000:0000:0008:0800:200C:417A Đã rút gọn 1080: 0: 0: 0: 8: 800:200C:417A Hình 2 : Sự rút gọn địa chỉ (Abbreviated Address) Hơn nữa ta có thể sử dụng ký hiệu :: để chỉ một chuỗi các số 0. Tuy nhiên ký hiệu trên chỉ được sử dụng một lần trong một địa chỉ. Địa chỉ IP có độ dài cố định, ta có thể tính được số các bit 0 mà ký hiệu đó biểu diễn. Ta có thể áp dụng ở đầu hay ở cuối địa chỉ. Cách viết này đặc biệt có lợi khi biểu diễn các địa chỉ multicast, loopback hay các điạ chỉ chưa chỉ định. Chưa rút gọn 1080: 0: 0: 0: 8: 800:200C:417A Đã rút gọn 1080::8:800:200C:417A Hình 3: Sự rút gọn địa chỉ có số 0 liên tiếp (Abbreviated Address with consecutive zeros) Việc khôi phục lại sự rút gọn địa chỉ là rất đơn giản: thêm số 0 vào cho đến khi nhận được địa chỉ nguyên bản (4 chữ số trong 1 phần , 32 chữ số trong một địa chỉ) IPv6 cho phép giảm lớn địa chỉ và được biểu diễn theo ký pháp CIDR. Ví dụ: Biểu diễn mạng con có độ dài tiền tố 80 bít: 1080:0:0:0:8::/80 Hình 4 : Địa chỉ CIDR ( CIDR Address) Không gian địa chỉ ipv6 Không gian địa chỉ có độ dài lớn hơn IPv4( 128 bít so với 32 bít) do đó cung cấp không gian địa chỉ lớn hơn rất nhiều. Trong khi không gian địa chỉ 32 bít của IPv4 cho phép khoảng 4 tỉ địa chỉ, không gian địa chỉ IPv6 có thể có khoảng 6.5*10 địa chỉ trên mỗi mét vuông bề mặt trái đất. Địa chỉ IPv6 128 bít được chia thành các miền phân cấp theo trật tự trên Internet. Nó tạo ra nhiều mức phân cấp và linh hoạt trong địa chỉ hoá và định tuyến hiện không có trong IPv4. Không gian địa chỉ có nhiều mục đích khác nhau. Người ta thiết kế địa chỉ IP đã chia không gian địa chỉ thành 2 phần, với phần đầu được gọi là kiểu tiền tố. Phần giá trị tiền tố này cho bíêt mục đích của địa chỉ. Những mã số được thiết kế sao cho không có mã số nào giống phần đầu của bất kỳ mã số nào khác. Do đó không có sự nhập nhằng khi một địa chỉ được trao kiểu tiền tố có thể dẽ dàng xác định được. Hình 5 cho chúng ta thấy dạng của địa chỉ IPv6: 128 bít Biến Biến Kiểu tiền tố Phần cón lại của địa chỉ Hình 5 : Cấu trúc địa chỉ ( Address Structure) Không gian IPv6 được chia trên cơ sở các bít đầu trong địa chỉ. Trường có độ dài thay đổi bao gồm các bít đầu tiên trong địa chỉ gọi là Tiền tố định dạng ( Format Prefix) FP. Cơ chế phân bổ địa chỉ như sau: Phân bố Tiền tồ định dạng Tỷ lệ trong không gian địa chỉ Dự phòng 0000 0000 1/256 Dự phòng 0000 0001 1/256 Dự phòng cho địa chỉ NSAP 0000 001 1/128 Dự phòng cho địa chỉ IPX 0000 010 1/128 Chưa cấp phát 0000 011 1/128 Chưa cấp phát 0000 1 1/32 Chưa cấp phát 0001 1/16 Địa chỉ dựa trên vị trí địa lý ( Hiện đã loại bỏ) 001 1/8 Chưa cấp phát 101 1/8 Chưa cấp phát 110 1/8 Chưa cấp phát 1110 1/16 Chưa cấp phát 1111 0 1/32 Chưa cấp phát 1111 10 1/64 Chưa cấp phát 1111 110 1/128 Chưa cấp phát 1111 1110 0 1/512 Địa chỉ liên kết cục bộ 1111 1110 10 1/1024 Địa chỉ site cục bộ 1111 1110 11 1/1024 Địa chỉ multicast 1111 1111 1/256 Hình 6 : Cơ chế phân bổ địa chỉ Cấp phát địa chỉ Địa chỉ unicast Địa chỉ trên cơ sở người cung cấp được sử dụng chung bởi 1 host bình thường như 1 địa chỉ unicast. Định dạng địa chỉ được diễn tả như sau: Provider Indentifler Subscriber Indentifler Subnet Indentifler Node Indentifler 010 Registry 128 bits 8 bits 0000 Cố định 0001Tạm thời 3 bits 5 bits Hình 7: Địa chỉ trên cơ sở người cung cấp (Provider-based Address) Những trường cho địa chỉ người dùng trên cơ sở cung cấp như sau : + Chứng thực kiểu (Type indentifier): Trường 3 bít này định nghĩa những địa chỉ như là 1 địa chỉ trên cơ sở người cung cấp. + Chứng thực đăng ký (Registry indentifier) : Trường 5 bít này trình bày chi nhánh đã đăng ký địa chỉ. Hiện thời thì có 3 trung tâm địa chỉ được định nghĩa: RIPE- NCC (mã 01000): Tại Châu Âu. INTERNIC (mã 11000): Tại Bắc Mỹ. APNIC (mã 10100): Tại Châu á - Thái Bình Dương + Chứng thực hà cung cấp (Provider indentifier): Trường độ dài tuỳ biến này xác nhận nhà cung cấp (provider) cho truy cập Internet 16 bit độ dài là khuyến cáo đối với trường này. + Chứng thực thuê bao (Subscriber indentifier): Khi một tổ chức đặt mua Internet dài hạn thông qua 1 nhà cung cấp, nó được cấp phát 1 thẻ nhận dạng người đặt mua (Subscriber indentification). 24 bít độ dài là khuyến cáo đối với trường này. + Chứng thực Subnet (Subnet indentifier): Mỗi subscriber có thể có nhiều subnetwork khác nhau, và mỗi network có thể có nhiều chứng thực. Chứng thực. Chứng thực subnet định nghĩa một network cụ thể dưới khu vực của subscriber. 32 bít độ dài là khuyến cáo đối với trường này. + Chứng thực None (None indentifier): trường cuối cùng định nghĩa nhận dạng giao điểm kết nối tới subnet. Độ dài 8 bít là khuyến cáo với trường này để làm nó thích hợp với địa chỉ link 48 bít (Vật lý) được sử dụng bởi Ethernet. Trong tương lai địa chỉ link này có lẽ sẽ giống địa chỉ vật lý node. Chúng ta có thể nghĩ về một điạ chỉ cung cấp trung tâm như 1 đẳng cấp chứng thự có một số tiền tố. Như những gì thấy ở hình 8, mỗi tiền tố định nghĩa một cấp bậc của hệ thống. Kiểu tiền tố định nghĩa kiểu, tiền tố định nghiã 1 cách duy nhất về nhà cung cấp bậc đăng ký, tiền tố nhà cung cấp định nghĩa 1 cách duy nhất về nhà cung cấp, tiền tố subnet định nghĩa 1 cách duy nhất về subscriber, và tiền tố subnet định nghĩa 1 cách duy nhất về subnet. Subnet Provider Indentifier Subscriber indentifier Subnet Indentifier Node indentifier Subscriber Provider Hình 8 : Hệ thống địa chỉ (Address Hierarchy) Địa chỉ dự trữ Những địa chỉ mà sử dụng tiền tố dự trữ (0000 0000) sẽ được thảo luận một cách ngắn gọn tại đây. + Địa chỉ không xác định (Unspecified Address): Đây là một địa chỉ mà phần không phải tiền tố chỉ chứa chữ số 0. Nói một cách khác phần còn lại của địa chỉ gồm toàn zero. Địa chỉ này được sử dụng khi host không hiểu được địa chỉ của chính nó và gửi 1 câu hỏi thăm để tìm địa chỉ của nó. Tuy nhiên trong câu hỏi thăm phải định nghĩa 1 địa chỉ nguồn. Địa chỉ không xác định có thể được sử dụng cho mục đích này. Chú ý là địa chỉ không thể được sử dụng làm địa chỉ đích. Địa chỉ này được trình bày trong hình sau : 00000000 Tất cả toàn bít 0 8 bít 120 bit Hình 9 : Địa chỉ không rõ (Unspecified Address) + Địa chỉ vòng ngược (Loopback Address): Đây là một địa chỉ được sử dụng bởi 1 host để kiểm tr nó mà không cần vào mạng. Trong trường hợp này 1 thông điệp được tạo ra ở tầng ứng dụng nó gửi tới tầng chuyển tải và đi qua tầng mạng. Tuy nhiên thay vì đi đến mạng vật lý nó trở lại tầng chuyển tải và đi qua tầng ứng dụng. Địa chỉ này rất hữu dụng cho việc kiểm tra những gói phần mềm chức năng trong tầng này trước khi thậm chí cả việc kết nối máy tính vào mạng. Địa chỉ được mô tả trong hình dưới đây gồm có tiền tố 0000 0000 và theo sau là 119 bit 0 và 1 bit 1. 00000000 000000000000………….00000000000001 8 bít 120 bit Hình 10 : Địa chỉ vòng ngược ( Loopback Address) + Địa chỉ IPv4: Những gì chúng ta thấy được trong suốt quá trình chuyển đổi từ địa chỉ IPv4 và IPv6, host có thể sử dụng địa chỉ IPv4 của nó đã được nhúng vào địa chỉ IPv6. Có 2 định dạng địa chỉ được thiết kế cho mục đích này: thích ứng ( compatible) và hoạ đồ (mapped) + Địa chỉ thức ứng ( Compatile Address): Là một địa chỉ của 96 bit 0 theo sau 32 bit của địa chỉ IPv4. Địa chỉ này được sử dụng khi 1 máy tính sử dụng IPv6 muốn gửi một thông điệp sang 1 máy tính sử dụng IPv6. Tuy nhiên gói tin phải đi qua một miền mà ở đó mạng vẫn sử dụng IPv4. Người gửi sử dụng địa chỉ thích ứng IPv4 để làm cho thuận tiện việc chuyển gói tin qua miền sử dụng IPv4. Thí dụ: Địa chỉ IPv4 là 2.13.17.14 (định dạng dấu chấm trong hệ đếm 10) được chuyển thành 0::020D:110E (định dạng dấu 2 chấm trong hệ đếm 16). Địa chỉ IPv4 được thêm 96 bít 0 để tạo ra địa chỉ IPv6 128 bít. 8 bít 88 bít 32 bít 00000000 Tất cả toàn bít 0 Địa chỉ IPv4 0::020D:110E 2.13.17.14 Địa chỉ thích ứng Địa chỉ IPv6 Địa chỉ IPv4 b. Chuyển đổi địa chỉ Hình 11: Địa chỉ tuong ứng ( Compatible Address) Địa chỉ anh xa (Mapped Address): Gồm 80 bít o theo sau là 16 bít 1 sau nữa là 32 bít của địa chỉ IPv4. Địa chỉ này được sử dụng khi 1 máy tính vẫn sử dụng IPv4. Gói tin du lịch phần lớn qua mạng IPv6 nhưng sau hết được chuyển tới 1 host sử dụng IPv4. Địa chỉ IPv4 được thêm 16 bít 1 và 80 bít 0 để tạo địa chỉ IPv6 128 bít. 8 bít 72 bít 16 bit 32 bít 00000000 Tất cả bít 0 Tất cả bít 1 Địa chỉ IPv4 0::020D:110E 2.13.17.14 a.Địa chỉ anh xa Địa chỉ IPv6 Địa chỉ IPv4 b. Chuyển đổi địa chỉ Hình 12: Địa chỉ anh xa (Mapped Address) Một điều thú vị về địa chỉ thích ứng và địa chỉ hoạ đồ là chúng được thiết kế bằng một cách mà khi tính toán checksum chúng ta có thể sử dụng hoặc địa chỉ nhúng hoặc địa chỉ đầy đủ vì những bít 0 hoặc bít 1 thêm vào là bội của 16, không có bất kỳ một tác động nào lên việc tính toán checksum. Địa chỉ này quan trọng vì nếu địa chỉ của gói tin được chuyển tư IPv6 sang IPv4 bởi router, việc tính toán checksum sẽ không được tính toán. Địa chỉ cục bộ Nhũng địa chỉ mà sử dụng tiền tố dự trữ (1111 1110) sẽ được thảo kuận một cách ngắn gọn tại đây. + Địa chỉ link cục bộ ( Link local Address): Những địa chỉ này được sử dụng khi 1 mạng LAN muốn sử dụng giao thức Internet nhưng không kết nói Internet vì lý do an ninh. Kiểu địa chỉ này sử dụng tiền tố 1111 1110 10. Đại chỉ link cục bộ đựơc sử dụng trong mạng đôc lập và không có ảnh hưởng chung nào. Không ai ở ngoài mạng độc lập này có thể gửi thông điệp đến những máy tính gia nhập 1 mạng sử dụng những địa chỉ này. 10 bít 70 bít 48 bít 11111111010 Tất cả bít 0 Địa chỉ Node Hình 13 : Địa chỉ link cục bộ ( Link local Address) + Địa chỉ site cục bộ (Site Local Address): Những địa chỉ này được sử dụng nếu như 1 site có một số mạng sử dụng giao thức Internet nhưng không kết nối Internet vì những lý do an ninh. Kiểu địa chỉ này sử dụng tiền tố 1111 1110 11. Địa chỉ site cục bộ được sử dụng trong mạng độc lập và không có ảnh hưởng chung nào. Không ai ở ngoài mạng độc lập này có thể gửi thông điệp đến máy tính gia nhập mạng sử dụng những địa chỉ này. 10 bít 38 bít 32 bít 48 bít 11111111010 Tất cả bít 0 Địa chỉ Subnet Địa chỉ Node Hình 14 : Địa chỉ site cục bộ ( Site Local Address) Địa chỉ multicast Địa chỉ multicast được sử dụng để định nghĩa cho một nhóm các host thay vì chỉ 1. Tất cả đều sử dụng tiền tố 1111 1111 trong trường đầu tiên. Trường thứ hai là cờ (flag) định nghĩa 1 nhóm địa chỉ hoặc cố định hoặc tạm thời. Một nhóm địa chỉ cố định được định nghĩa bởi nhà cầm quyền Internet và có thể truy cập bất cứ lúc nào. Một nhóm địa chỉ tạm thời, nói một cách khác được sử dụng một cách tạm thời. Hệ thống tham dự vào một hội nghị từ xa có thể sử dụng một nhóm tạm thời. Trường thứ 3 định nghĩa phạm vi hoạt động của nhóm địa chỉ. Nhiều phạm vi đã được định nghĩa. 11111111 Cờ Phạm vi ID nhóm 8 bít 4 bít 4 bít 112 bít 0000 Dành trước 0001 Node cục bộ 0010 Link cục bộ 0101 Site cục bộ 1000 tổ chức cục bộ 1110 Chung 1111 Dành tiêng 0000 Cố định 0001 Tạm thời Hình 15 : Địa chỉ Multicast (multicast address) Định dạng gói tin Gói tin trong IPv6 được thấy như trong hình dưới đây. Mỗi gói tin bao gồm một vùng header nền tảng bắt buộc theo sau bởi payload. Payload gồm có 2 phần: những vùng Header mở rộng tuỳ ý chọn và dữ liệu từ tầng cao hơn. Vùng Header nền tảng chiếm giữ 40 byte, trong khi đó những vùng Header mở rộng và dữ liệu từ tầng cao hơn chứa đến 65535 byte thông tin. Đầu mục nền tảng Payload Đầu mục mở rộng (tuỳ ý lựa chọn) Gói dữ liệu từ tầng cao hơn 40 byte Có thể lên đến 65535 byte Å Hình 16 : Định dạng gói tin IPv6 (IPv6 Data Packet Format) Vùng nền tảng Vùng header nền tảng trong hình 17 cho ta thấy nó có 8 trường, những trường này mô tả như sau: VER PRI Flow lable Độ dài Payload Vùng Header kế tiếp Giới hạn nhảy Những địa chỉ nguồn Những địa chỉ đích Những đầu mục mở rộng Payload Gói dữ liệu từ tầng cao hơn Hình 17 : Định dạng của 1 đơn vị dữ liệu IPv6 ( Format of an IPv6 datagram) + Phiên bản (VER- version): Trường 4 bít này định nghĩa số phiên bản của IP. Với IPv6 giá trị là 6. + Quyền ưu tiên (PRI- prority): Trường 4 bít này định nghĩa sự ưu tiên của những gói tin đối với sự tắc nghẽn giao thông. + Nhãn lưu lượng (Flow lable): Nhãn lưu lượng là một trường 3 byte – 24 bit được thiết kế để cung cấp sự điều khiển đặc biệt đối với những lưu lượng đặc biệt của dữ liệu. + Độ dài Payload (Payload Length): Trường độ dài Payload 2 byte này được định nghĩa độ dài tổng cộng của đơn vị dữ liệu IP trừ vùng Header nền tảng. + Vùng Header kế tiếp (Next Header): Vùng Header kế tiếp là 1 trường 8 bít định nghĩa 1 đầu mục mà theo sau vùng Header nền tảng trong đơn vị dữ liệu. Vùng header kế tiếp là 1 trong những vùng mở rộng tuỳ ý lựa chọn được sử dụng bởi IP hoặc vùng Header cho 1 giao thức tầng cao hơn như UDP hay TCP. Mỗi vùng Header mở rộng lại có chứa trường này. Bảng sau cho chúng ta thấy những giá trị của vùng Header kế tiếp. Mã số Vùng Header kế tiếp 0 2 6 17 43 44 50 51 59 60 Tuỳ chọn nhảy từng bước một ICMP TCP UDP Routing nguồn Sự phân miếng Payload bảo mật mã hoá Sự chứng thực Trống ( Không vùng Header kế tiếp) Tuỳ chọn đích Ø Giới hạn nhảy ( Hot Limit): Trường giới hạn nhảy 8 bít này phục vụ cho mục đích tương tự trường TTL trong IPv4. Ø Địa chỉ nguồn ( Source Address): Trường địa chỉ nguồn là 1 điạ chỉ Internet 16 byte (128 bit) mà xác minh nguồn bản gốc của đơn vị dữ liệu Ø Địa chỉ đích ( Destination Address): Trường địa chỉ đích là 1 địa chỉ Internet 16 byte ( 128 bit) mà thường xác minh đích cuối cùng của đơn vị dữ liệu. Tuy nhiên nếu router nguồn được sử dụng thì trường này sẽ chứa địa chỉ của router kế tiếp. + Quyền ưu tiên (Priority): Trường quyền ưu tiên của gói tin IPv6 định nghĩa quyền ưu tiên của từng gói tin có quan hệ với những gói tin khác trong cùng 1 nguồn. Ví dụ khi 1 trong 2 đơn vị dữ liệu liên tiếp phải bị loại bỏ đi vì chật chội, đơn vị dữ liệu có quyền ưu tiên nhỏ hơn sẽ bị loại bỏ. IPv6 chia giao thông (traffic) làm 2 loại: điều khiển tắc nghẽn (congestion- controlled) và điều khiển không tắc nghẽn (nocongestion- controlled). Ø Giao thông điều khiển tắc nghẽn ( congestion- controlled traffic): Nếu 1 nguồn tự điều chỉnh giao thông chậm lại khi có tắc nghẽn, giao thông sẽ gán cho giao thông điều khiển tắc nghẽn. Ví dụ như giao thức TCP sử dụng giao thức cửa sổ trượt (Sliding window protocol), có thể dễ dàng đáp ứng giao thông. Trong giao thông điều khiển tắc nghẽn nó được hiểu là những gói tin có thể đến chậm hoặc thậm chí mất hoặc được nhận ngoài yêu cầu. Dữ liệu điều khiển tắc nghẽn được cấp phát quyền ưu tiên từ 0 đến 7 được thể hiện ở bảng sau: Quyền ưu tiên Mô tả 0 1 2 3 4 5 6 7 Không có giao thông cụ thể Dữ liệu nền Giao thông dữ liệu không được quan tâm Dự trữ Giao thông dữ liệu tham dự khối lới Dự trữ Giao thông tương giao Giao thông điều khiển Có thể mô tả quyền ưu tiên như sau: w Không có giao thông cụ thể ( No specific traffic): quyền ưu tiên 0 được cấp phát cho gói tin khi tiến trình không định nghĩa 1 ưu tiên nào. w Dữ liệu nền (Background data): nhóm này (quyền ưu tiên 1) định nghĩa dữl iệu thường xuyên được nhận ở nền. Sự nhận tin tức là 1 ví dụ. w Giao thông dữ liệu không được quan tâm (unattended data tranffic): Nếu người sử dụng đang không đợi dữ liệu sẽ được nhận, gói tin sẽ được quyền ưu tiên 2. Email thuộc nhóm này. Một người sử dụng gửi email cho người sử dụng khác, nhưng người nhận không biết email đó sẽ đến sớm. Thêm vào email thường được lưu trữ trước khi được gửi đi. w Giao thông dữ liệu tham dự khối lớn ( Attended bulk data tranffi): Giao thức mà chuyển phần lớn dữ liệu khi người sử dụng đang đợi nhận dữ liệu (có thể trì hoãn) được quyền ưu tiên 4. FTP và HTTP thuộc nhóm này. w Giao thông tương dao (Interactive tranffic): Giao thức dạng như TELNET cần sự tương giao với người sử dụng cấp sự tương giao với người sử dụng được cấp ưu tiên cao thứ 2 (6) trong nhóm. w Giao thông điều khiển (Control traffic): Giao thông diều khiển được quyền ưu tiên cao nhất (7) trong loại này. Giao thức routing như OSPF và RIP và giao thức quản trị SNMP sử dụng quyền ưu tiên này. Ø Giao thông điều khiển không tắc nghẽn ( Noncongestion- controlled tranffic): Kiểu này gán cho kiểu giao thông mà chờ đợi một sự hãon lại nhỏ nhất. Loại bỏ gói tin không phải là tốt. Sự chuyển giao lại trong hầu hết tình huống là có thể hti hành được. Nói 1 cách khác nguồn không sửa lại nó thích nghi với sự tắc nghẽn. Audio và video thời gian thực là những ví dụ điển hình cho dạng giao thông này. Quyền ưu tiên từ 8 đến 15 được cấp phát cho giao thông điều khiển không tắc nghẽn. Mặc dù ở đây không có bát kỳ một sự cấp phát chuẩn đặc biệt nào cho loại dữ liệu này, quyền ưu tiên thường được cấp phát dự vào số lượng cảu dữ liệu nhận có thể bị tác động bởi việc loại bỏ gói tin. Dữ liệu chứa ít sự rườm rà (như audio và video chất lượng thấp) có thể được đưa 1 quyền ưu tiên cao hơn (15). Dữ liệu chứa nhiều sự rườm rà (như video và audio chất lượng cao) có thể bị đưa 1 quyền ưu tiên thấp hơn (8). Quyền ưu tiên Mô tả 8 . . . 15 Dữ liệu với nhiều sự rườm rà nhất Dữ liệu với ít sự rườm rà nhất + Nhãn lưu lượng ( Flow Lable): Ø Một dãy các gói tin được gửi từ 1 nguồn riêng đến đích riêng, cần sự điều khiển đặc biệt từ router gọi là lưu lượng của những gói tin. Sự kết hợp của địa chỉ nguồn và giá trị của nhãn lưu lượng định nghĩa 1 cách duy nhất 1 lưu lượng của những gói tin. Ø Đối vơ router 1 lưu lượng là 1 dãy các gói tin chia sẻ cùng đặc tính như là việc di chuyển cùng 1 đường, sử dụng cùng một nguồn, có cùng kiểu an toàn vv… Một router mà hỗ trợ sự điều khiển của nhãn lưu lượng có 1 bảng nhãn lưu lượng. Bảng này có 1 mục vào cho mỗi nhãn lưu lượng hoạt động, mỗi mục định nghĩa 1 dịch vụ được yêu cầu bởi nhãn lưu lượng tương ứng. Khi router nhận được 1 gói tin nó tra cứu bảng nhãn lưu lượng của nó để tìm mục vào tương ứng cho giá trị nhãn lưu lượng được định nghĩa trong gói tin. Sau đó nó cung cấp cho gói tin những dịch vụ đã đề cập trong mục vào. Tuy nhiên chú ý là nhãn lưu lượng tự nó không cung cấp thông tin cho những mục vào của bảng nhãn lưu lượng, thông tin được cung cấp bởi những thứ khác như là tuỳ chọn nhảy từng bước một hay những giao thức khác. Ø Trong hình thức đơn giản nhất của nó, 1 nhãn lưu lượng có thể được sử dụng để tăng tốc 1 tiến trình của 1 gói tin bởi 1 router. Khi router nhận được gói tin thay vì xem bảng tìm đường và đi đến thuật toán tìm đường để định nghĩa địa chỉ cảu bước nhảy kế tiếp, nó có thể dễ dàng được nhìn thấy trong 1 bảng nhãn lưu lượng cho bước nhảy kế tiếp. Ø Trong hình thức rắc rối hơn của nó 1 nhãn lưu lượng có thể được sử dụng để hỗ trợ quá trình chuyển giao audio và video thời gian thực. Audio và video thời gian thực một cách đặc biệt trong hình thức kĩ thuật số đòi hỏi những nguồn như băng thông rộng, buffer lớn, thời gian tiến trình dài vv… Một tiến trình có thể đặt trước chỗ cho những nguồn này trước để đảm bảo là dữ liệu thời gian thực sẽ không bị tạm hoãn do thiếu nguồn. Sự sử dụng dữ liệu thời gian thực và chỗ đặt trước của những nguồn đòi hỏi những giao thức khác như là giao thức thời gian thực ( Real- Time Protocol- RTP) hay giao thức đặt trước nguồn (Resource Reservation Protocol- RRP) trong bổ sung của IPv6. Ø Để cho phép những hiệu quả sử dụng của nhãn lưu lượng 3 điều luật được đưa ra : w Nhãn lưu lượng được cấp phát cho 1 gói tin bởi 1 host gốc. Nhãn là một số bất kì từ 1 đến 2-1. Nó sẽ không sử dụng lại một nhãn lưu lượng cho 1 lưu lượng mới khi lượng dang tồn tại vẫn hoạt động. w Nếu như 1 host không hỗ trợ nhãn lưu lượng, nó sẽ đặt trường này là 0. Nếu như 1 router không hỗ trợ nhãn lưu lượng, nó đơn giản sẽ phớt lờ đi . w Tất cả những gói tin thuộc cùng 1 lưu lượng có thể có cùng nguồn, cùng đích, cùng sự ưu tiên và cùng nhưng tuỳ chọn. So sánh Header ipv4 & Header ipv6 Trường độ dài vùng header đã bị loại đi trong IPv6 vì độ dài vùng header đã được xử lý trong phiên bản này. Trường kiểu dịch vụ đã bị loại đi trong IPv6. Trường quyền ưu tiên và nhãn lưu lượng cùng kiểm soát chức năng của trường kiểu dịch vụ. Trường độ dài tổng cộng đã bị loại đi trong IPv6 và được thay thế bằng trường độ dài payload. Những Trường chứng thực ( identification ), Trường cờ ( flag ), và những Trường offset đã bị loại bỏ từ vùng header nền tảng trong IPv6. Chúng được đi kèm trong vùnh header mở rộng từng miếng. Trường TTL được gọi là Giới hạn nhày trong IPv6. Trường giao thức dược thay thế bởi Trường vùng header kế tiếp. Vùng header checksum bị loại đi vì checksum được cung cấp bởi giao thức của tầng cao hơn nó vì thế không cần thiết ở đây. Những Trường tuỳ chọn trong IPv4 được trang bị như những vùng header mở rộng trong IPv6. Vùng Header mở rộng Độ dài của vùng header được bố trí 40 byte. Tuy nhiên, để đem đến nhiều chức năng hơn cho đơn vị dữ liệu IP vùng header nền tảng có thể cho theo sau đến 6 vùng header mở rộng. Nhiều vùng header này là những tuỳ chọn trong IPv4. VER PRI Flow label Độ dài Payload Vùng Header kế tiếp Giới hạn nhảy Địa chỉ nguồn Địa chỉ đích Vùng Header kế tiếp Độ dài vùng Header Vùng Header kế tiếp Độ dài vùng Header Vùng Header kế tiếp Độ dài vùng Header Hình 18 : Định dạng vùng header mở rộng ( Extenion header format ) Sáu loại vùng header đã được định nghĩa. Chúng là tuỳ chọn nhảy từng bước, lộ trình nguồn, sự phân mảnh, sự chứng thực, Payload bảo mật mã hoá và tuỳ chọn đích (Xem hinh 19). Những vùng Header mở rộng Tuỳ chọn nhảy từng bước Nguồn tìm đường Sự phân miếng Sự chứng thực Bảo mật Payload mã hoá Tuỳ chọn đích Hình 19 : Những loại vùng header mở rộng (Extension header types) Tùy chon bước nhảy (Hop – by - Hop option) Tuỳ chọn nhảy từng bước được sử dụng khi nguồn cần chuyển thông tin qua tất cả các router được thăm bởi đơn vị dữ liệu. Ví dụ, không chừng những router sẽ phải bị gây ra bởi sự quản trị, sự gỡ rối hay những chức năng điều khiển nào đó.Hay,nếu như độ dài của đơn vị dữ liệu rộng hơn thông thường là 65,535 byte, nhưng router phải có thông tin này. Hình 20 cho thấy định dạng của vùng header kế tiếp trong một chuỗi vùng header. Độ dài vùng header định nghĩa số byte trong vùng headerbao gồm cả trường vùng header kế tiếp). Phần còn lại của vùng header chứa những tuỳ chọn khác nhau. Vùng header nền tảng Vùng header kế tiếp Độ dài vùng header Những tuỳ chọn Phẫn còn lại của Payload Hình 20 : Định dạng vùng header tuỳ chnj nhảy từng bước (Hop – by – hop option header format) Xa hơn, chỉ có 3 tuỳ chọn được định nghĩa: Pad1, PadN và jumbo payload (Xem hình 21). Mã số (8 bít) Độ dài (8 bít) Dữ liệu (Độ dài có thể thay đổi) Hành C Kiểu 2 bít 1 bít 5 bít Hành động : sẽ thực hiện nếu tuỳ chọn không được xác nhận 00 Bỏ qua tuỳ chọn Kiểu 01 Loại bỏ đơn vị dữ liệu không có hành động nào nữa 00000 Pal1 10 Loại bỏ đơn vị dữ liệu và gửi 1 thông điệp lỗi 00001 PadN 11 Như mã 10, nhưng nếu đích không phải địa chỉ munlticast C: (change) giá trị thay đổi tuỳ chọn 00010 jumbo payload 0 : không bị thay đổi trong vận chuyển 1 : Có thể bị thay đổi trong vận chuyển Hình 21 : Định dạng của những tuỳ chọn của vùng header tuỳ chọn nhảy từng bước (Format of options in a hop–by–hop option header) Ø Pad1: Tuỳ chọn này dài 1 byte và nó được thiết kế cho những mục đích sắp nhóm. Một số tuỳ chọn cần phải băt đầu ở 1 bit riêng biệt trong 32 bit (xem mô tả jumbo payload). Nếu một tuỳ chọn của sự yêu cầu này rớt chính xác là 1 byte, Pad1 sẽ được thêm vào để làm nên sự khác biệt. Pad1 không chứa trường độ dài tuỳ chọn mà còn không cả chứa trường dữ liệu tuỳ chọn. Nó gồm có duy nhất trường mã tuỳ chọn với tất cả các bít được đặt là 0 ( hành động là 00, C là kiểu 00000). Pad1 có thể được chèn vào bất kỳ chỗ nào trong vùng header tuỳ chọn nhảy từng bước. Mã 00000000 Những tuỳ chọn Pad1 ~ Dữ liệu ~ a. Pad1 b. Sử dụng làm đệm Hình 22 : Pad1 Ø PadN: PadN giống Pad1 về ý tưởng. Sự khác nhau là PadN được sử dụng khi 2 hay nhiều bít được cần cho việc sắp nhóm. Tuỳ chọn này gồm có 1 byte mã tuỳ chọn, 1 byte độ dài tuỳ chọn, và một biến số những số 0 làm byte đệm. Giá trị của mã tuỳ chọn là 1 (hành động là 00, C là 0 và kiểu là 00001). Độ dài tuỳ chọn chứa số byte đệm. Mã Độ dài Dữ liệu 00000001 Tất cả bít 0 1 byte 1 byte số byte có thể thay đổi Hình 24: Jumbo Payload Lộ trình nguồn ( Resource rourting Vùng header mở rộng lộ trình nguồn kết hợp với ý tưởng của những tuỳ chọn lộ trình nguồn chính xác và lộ trình nguồn không chính xác của IPv4. Vùng header lộ trình nguồn chứa một số nhỏ nhất của 7 trường. Hai trường đầu tiên, vùng header kế tiếp và độ dài vùng header, là đúng với vùng header mở rộng nhảy từng bước. w Trường kiểu định nghĩa lộ trình là chính xác hoặc không chính xác. Trường những địa chỉ còn lại chỉ ra số bước nhảy cần để tới đích. Trường mặt nạ tuyệt đối/ tương đối xác định sự chắc chắn của lộ trình. Nếu mặt nạ là tuyệt đối, lộ trình phải theo chính xác những gì được chỉ ra bởi nguồn. Nếu thay vào mặt nạ tương đối những router khác có thể thêm vào trong vùng header. Vùng header nền tảng Vùng header kế Độ dài vùng Kiểu Những địa chỉ Dự trữ Mặt nạ tuyệt đối/ tương đối Địa chỉ thứ nhất Địa chỉ thứ hai Địa chỉ cuối cùng Phần còn lại của Payload Hình 25 : Lộ trình nguồn (Source Routing) w Địa chỉ đích trong lộ trình nguồn không tuân theo sự định nghĩa trước đó của chúng ta (địa chỉ cuối cùng trong đơn vị dữ liệu). Thay vào đó nó thay đổi từ router sang router. Thí dụ : Host muốn gửi tới 1 đơn vị dữ liệu sang host B sử dụng 1 lộ trình riêng: A đến R1 đến R2 đến R3 đến B. Chú ý là địa chỉ đích nằm trong những vùng header nền tảng. Nó không liên tiếp như bạn mong đợi. Thay vào đó nó thay đổi theo từng router. Những địa chỉ trong vùng header mở rộng cũng thay đổi theo từng router. Nguồn: A Đích: R1 Còn lại: 3 R2 R3 B Nguồn: A Đích: R1 Còn lại: 3 R2 R3 B Nguồn: A Đích: R1 Còn lại: 3 R2 R3 B Nguồn: A Đích: R1 Còn lại: 3 R2 R3 B A B : : £ R1 £ R3 £ R3 Hình 26: Ví dụ lộ trình nguồn (Source Routing Example) Sự phân miếng Ý tưởng về sự phân miếng như ở trong IPv4. Tuy nhiên nơi mà sự phân miếng chiếm giữ không giống nhau. Ở IPv4 nguồn hoặc router cần phân miếng nếu cỡ của đơn vị dữ liệu lớn hơn MTU của mạng vơi nhóm đơn cị dữ liệu sẽ được đưa đi. Ở IPv6 chỉ những nguồn nguyên thuỷ mới được phân miếng. Một nguồn phải sử dụng 1 kỹ thuật khám phá quỹ đạo MTU (Path MTU Discovery) để tìm MTU nhỏ nhất được hỗ trợ bởi bất kỳ một mạng nào trong quỹ đạo. Nguồn sau đó phân miếng sự khám phát này. w Nếu nguồn không sưe dụng kỹ thuật khám phá quỹ đạo MTU nó có thể phân miếnh đơn vị dữ liệu thành những miếng cỡ 576 byte hoặc nhỏ hơn. Đây là cỡ nhỏ nhất MTU yêu cầu cho mỗi mạng kết nối vào Internet. Hình dưới đây cho ta thấy định dạng của vùng header mở rộng sự phân miếng: Vùng Header nền tảng Vùng header kế tiếp Độ dài vùng header Sự phân miếng bù đắp 0 M Địa chỉ thứ nhất Phần còn lại của Payload Hình 26: Ví dụ lộ trình nguồn (Source Routing Example) Sự chứng thực Vùng header mở rộng sự chứng thực có một mục đích kép: nó làm cho thông điệp gửi có giá trị và đảm bảo sự nguyên vẹn của dữ liệu. Đầu tiên cần để người nhận có thể chắc chắn là từ người gửi thật và không phải là từ 1 kẻ mạo danh. Điều cuối cùng cần kiểm tra là dữ liệu không bị thay đổi trong vận chuyển bởi hacker. w Định dạng của vùng Header mở rộng sự chứng thực được trình bày ở hình 28 . Trường chỉ mục tham gia số bảo mật định nghĩa thuận toán được sử dụng cho sự chứng thực. Trường chứng thực chứa dữ liệu chứa những dữ liệu thật được sinh ra bởi thuật toán. Vùng Header nền tảng Chỉ mục tham số bảo mật Sự chứng thực dữ liệu Phần còn lại của Payload Hình 28 : Sự chứng thực (Authentication) w Nhiều thuật toán khác nhau có thể được sử dụng cho sự chứng thực. Hình 29 phác hoạ những phương thức tính toán trường chứng thực dữ liệu. Khoá bảo mật 128 bít Đơn vị dữ liệu IP với những trường sự thay đổi và sự chứng thực được đặt là 0 Khoá bảo mật 128 bít Thuật toán sự chứng thực Sự chứng thực dữ liệu 128 bít Hình 29 : Sự tính toán của sự chứng thực dữ liệu (Calculation Of Authentication Data) Người gửi đi qua khoá bảo mật 128 bít, toàn bộ đơn vị dữ liệu IP và khoá bảo mật 128 bít lần nữa để đến thuật toán. Những trường này trong đơn vị dữ liệu với những giá trị có thay đổi trong quá trình vận chuyển (Ví dụ như bước nhảy) sẽ được đặt là 0. Đơn vị dữ liệu qua được thuật toán sẽ chứa vùng header sự chứng thực, với trường sự chứng thực dữ liệu được đặt là 0. Thuật toán tạo ra sự chứng thực dữ liệu với những thứ đã được đưa vào trong vùng header mở rộng trước khi tới quá trình vận chuyển đơn vị dữ liệu. Những chức năng người nhận trong 1 phương pháp tương tự. Nó nhận mang đi khoá bảo mật và nhận lấy đơn vị dữ liệu ( lần nữa với những trường thay đổi được đặt là 0) và đi qua chúng để đến thuật toán sự chứng thực. Nếu kết quả giống sự chứng thực dữ liệu, đơn vị dữ liệu được chứng thực nếu không chúng sẽ bị loại. Playload bảo mật mã hóa Payload bỏ mật mã hoá là phần mở rộng mà cung cấp một cách tín nhiệm và bảo vệ chống lại sự nghe lén. Hình 30 trình bày sự định dạng. Trường chỉ mục tham số bảo mật 32 bít định nghĩa kiểu mã hoá / không mã hoá được sử dụng. Vùng Header nền tảng Chỉ mục tham số bảo mật Dữ liệu mã hoá Hình 30 : Payload bảo mật mã hoá Trường khác chứa những dữ liệu đang mã hoá với bất kỳ những tham số thêm nào được cần bởi thuật toán. Sự mã hoá có thể được trang bị trong 2 cách : w Mode vận chuyển (Transport Mode): Trong mode vận chuyển một TCP hay đơn vị dữ liệu người sử dụng UDP là cái đầu tiên được mã hoá và được gói vào trong 1 gói IPv6. Sự mã hoá trong mode vận chuyển được sử dụng đa số để mã hoá dữ liệu từ host sang host. Vùng header nền tảng và những vùng header khác Chỉ mục Dữ kiệu mã hoá Dữ liệu thô Sự mã hoá Hình 31 : Sự mã hoá mode vận chuyển (Transport Mode Encryption) Mode tunnel (Tunnel Mode): Trong mode tunnel toàn bộ dữ liệu IP với những vùng Header nền tảng của nó và những vùng Header mở rộng được mã hoá và gói vào trong 1 gói IP mới sử dụng vùng Header mở rộng Paylaod bảo mật mã hoá. Nói cách khác chúng ta có 2 vùng Header nền tảng: 1 đã mã hoá, 1 chưa mã hoá. Tùy chọn đính Tuỳ chọn đích được sử dụng khi nguồn chỉ cần chuyển thông tin đến đích. Những router không ngay lập tức trao quyền truy cập cho những thông tin này. Định dạng của tuỳ chọn đích tương tự như tuỳ chọn nhảy từng bước. Xa hơn chỉ có Pad1 và PadN được định nghĩa. So sánh giữa IPv4 và IPv6: Chúng ta hãy thực hiện một số sự so sánh giữa những vùng Header mở rộng của IPv4 và IPv6:   Tuỳ chọn không hoạt động (no-operetion) và kết thúc tuỳ chọn ( end- of - option) trong IPv4 được thay bằng Pad1 và PadN trong IPv6.   Tuỳ chọn bản ghi tìm đường không được trang bị trong IPv6 vì nó không được sử dụng.   Tuỳ chọn ten thời gian (timestamp) không được trang bị vì nó không được sử dụng.   Tuỳ chọn nguồn tìm đường (source route) được gọi là vùng Header mở rộng tuỳ chọn nguồn tìm đường trong IPv6.   Những trường sự phân miếng (fragmentation) trong khu vực vùng Header nèn tảng của IPv4 được chuyển đến vùng Header mở rộng tuỳ chọn sự phân miếng của IPv6.   Vùng Header sự chứng thực là mới trong IPv6.   Vùng Header mở rộng Payload bảo mật mã hoá là mới trong IPv6. Sự chuyển tiếp từ ipv4 sang ipv6 Đặt vấn đề Giao thức IPv6 có nhiều ưu điểm vượt trội so với IPv4, đáp ứng được nhu cầu phát triển của mạng Internet hiện tại và trong tương lai. Do đó, giao thức IPv6 sẽ thay thế IPv4. Tuy nhiên, không thể chuyển đổi toàn bộ các nút mạng IPv4 hiện nay sang IPv6 trong một thời gian ngắn. Hơn nữa, nhiều ứng dụng mạng hiện tạichưa hỗ trợ IPv6. Theo dự báo của tổ chức ISOC, IPv6 sẽ thay thế IPv4 vào khoảng 2020- 2030. Vì vậy, cần có một quá trình chuyển đổi giữa hai giao thức để tránh hiện tượng tương tự như sự cố Y2K. Các cơ chế chuyển đổi (Transition mechanism) phải đảm bảo khả năng tương tác giữa các trạm, các ứng dụng IPv4 hiện có với các trạm và ứng dụng IPv6. Ngoài ra, các cơ chế cũng cho phép chuyển tiếp các luồng thông tin IPv6 trên hạ tầng định tuyến hiện có. Trong giai đoạn chuyển đổi, điều quan trọng là phải đảm bảo sự hoạt động bình thường của mạng IPv4 hiện tại. Yêu cầu đối với các cơ chế chuyển đổi: + Việc thử nhiệm IPv6 không ảnh hưởng đến các mạng IPv4 hiện đang hoạt động. + Kết nối và các dịch vụ IPv4 tiếp tục hoat động bình thường. + Hiệu năng hoạt động của mạng IPv4 không bị ảnh hưởng. Giao thức IPv6 chỉ tác động đến các mạng thử nghiệm. + Quá trình chuyển đổi diễn ra từng bước. Không nhất thiết phải chuyển đổi toàn bộ các nút mạng sang giao thức mới. Các cơ chế chuyển đổi được phân thành 2 nhóm với hai chức năng khác nhau: + Kết nối các mạng và các nút mạng IPv6 qua hạ tầng định tuyến IPv4 hiện có. Các cơ chế này bao gồm: Đường hầm (tunnel), 6to4, 6over4. + Kết nối các nút mạng IPv4 với các nút mạng IPv6. Các cơ chế này bao gồm: SIIT, NAT- PT, ALG, DSTM, BIS, BIA, SOCK64. - Mối cơ chế đều có ưu, nhược điểm và phạm vi áp dụng khác nhau. Tùy từng thời điểm trong giai đoạn chuyển đổi, mức độ sử dụng của các cơ chế chuyển đổi sẽ khác nhau. Giai đoạn đầu: Giao thức IPv4 chiếm ưu thế. Các mạng IPv6 kết nối với nhau trên nền hạ tầng IPv4 hiện có thông qua các đường hầm IPv6 qua IPv4. Giai đoạn giữa: Giao thức IPv4 và IPv6 được triển khai về phạm vi ngang nhau trên mạng. Các mạng IPv6 kết nối với nhau qua hạ tầng định tuyến IPv6. Các mạng IPv4 kết nối với các mạng IPv6 sử dụng các phương pháp chuyển đổi địa chỉ giao thức như NAT- PT, ALG… Giai đoạn cuối: Giao thức IPv6 chiếm ưu thế. Các mạng IPv4 còn lại kết nối với nhau trên hạ tầng định tuyến IPv6 thông qua các đường hầm IPv4 qua IPv6 khi chuyển hoàn toàn sang IPv6. Các phương thức chuyển đổi Chồng giao thức Đây là cơ chế đơn giản nhất cho phép nút mạng đồng thời hỗ trợ cả hai giao thức IPv6 và IPv4. Có được khả năng trên do một trạm Dual Stack càI đặt cả hai giao thức, IPv4 và IPv6. Trạm Dual Stack sẽ giao tiếp bằng giao thức IPv4 với các trạm IPv4 và băng giao thức IPv6 với các trạm IPv6. UDP Data link (Ethernet) TCP Ipv6 Ipv4 Application Hình 32. Chồng hai giao thức Do hoạt động với cả hai giao thức, nút mạng kiểu này cần ít nhất một địa chỉ IPv4 và một địa chỉ IPv6. Địa chỉ IPv4 có thể được cấu hình trực tiếp hoặc thông qua cơ chế DHCP. Địa chỉ IPv6 được cấu hình trực tiếp hoặc thông qua khẳ năng tự cấu hình địa chỉ. Nút mạng hỗ trợ các ứng dụng với cả hai giao thức. Chương trình tra cứu tên miền có thể tra cứu đồng thời cả các truy vấn kiểu A lẫn kiểu AAAA(A6). Nếu kêt quả trả về là bản ghi kiểu A, ứng dụng sẽ sử dụng giao thưc IPv4. Nếu kêt quả trả về là bản ghi AAAA(A6), ứng dụng sẽ sử dụng giao thức IPv6. Nếu cả hai kết quả trả về, chương trình sẽ lựa chọn trả về cho ứng dụng một trong hai kiểu địa chỉ hoặc cả hai. - Ưu điểm: + Đây la cơ chế cơ bản nhất để nút mạng có thể hoạt động đồng thời với cả hai giao thứ do đó, nó được hỗ trợ trên nhiều nền tảng khác nhau như FreeBSD, Linux, Windows và Solaris. + Cho phép duy trì các kết nối bằng cả hai giao thức IPv4 và IPv6. Nhược điểm: + Khả năng mở rộng kém vì phảI sử dụng địa chỉ IPv4. Đường hầm ipv6 qua ipv4 Đường hầm cho phép kết nối các nút mạng IPv6 qua hạ tầng định tuyến IPv4 hiện có. Các trạm và các router IPv6 thực hiện bằng cách đóng các gói tin IPv6 bên rong gói tin IPv4.Có 4 cách thực hiện đường hầm: + Đường hầm từ router dến router. + Đường hầm từ trạm đến router. + Đường hầm từ trạm đến trạm + Đường hầm từ router đến trạm. Ipv4 host host Hình 33. Đường hầm Ipv6 qua Ipv4 - Các cách thực hiện đường hầm khác nhau ở vị trí của đường hầm trong tuyến đường giữa hai nút mạng. Trong hai cách đầu, gói tin được định đường hầm tới một router trung gian sau đó, router này sẽ chuyển tiếp gói tin đến đích. Với hai cách sau, gói tin được định đường hầm thẳng tới địa chỉ đích. - Để thực hiện đường hầm, hai điểm đầu đường hầm phải là các nút mạng hỗ trợ cả hai giao thức. Khi cần chuyển tiếp một gói tin IPv6, điểm đầu đường hầm sẽ đóng gói gói tin trong một gói tin IPv4 bằng các thêm phần mở đầu header IPv4 phù hợp. - Khi gói tin IPv4 đến điểm cuối đường hầm, gói tin IPv6 sẽ được tách ra để xử lý tùy theo kiểu đường hầm IPv4 header IPv6 header Data IPv6 header Data IPv6 header Data Gói tin ban đầu: Gói tin đường hầm: Gói tin ra klhỏi đường hầm - Có hai loại đường hầm chính là đường hầm có cấu hình và đường hầm tự động. Đường hầm có cấu hình (Configured tunnel) Đặc điêm của đường hầm có cấu hình là địa chỉ điểm cuối đường hầm không được xác định tự động mà dựa trên những thông tin cấu hình trước tai điểm đầu đường hầm. 3ff:b00:a:1::111 Src=3ffe:b00:a:1::1 192.168.1.1 192.168.2.1 IPv4 IPv66 Ipv44 IPv6 IPv6 Header Data header IPv6 IPv6 Header data IPv4 IPv6 IPv6 Header header data 3ffe:b00:a::3::2 Dst=3ffe:b00:a:3::2 Dst=192.168.2.1 Src=192.168.1.1 Hình 34: Đường hầm có cấu hình. Đường hầm tự động (Automatic tunnel) Đặc điểm của đường hầm tự động là địa chỉ điểm cuối đường hầm được xác định một cách tự động. Đường hầm được tạo ra một cách tự động và cũng tự động mất đi. Mô hình đầu tiên là dùng địa chỉ IPv6 có khuôn dạng đặc biệt: địa chỉ IPv6 tương thích IPv4 để mã hóa thông tin về địa chỉ IPv4 trong địa chỉ IPv6. 96 bit 32 bit 0:0:0:0:0:0: IPv4 ADDR Hình 45: Địa chỉ IPv6 tương thích địa chỉ IPv4 - Tại điểm đầu đường hầm, nút mạng đóng gói sẽ tách phần địa chỉ IPv4 làm địa chỉ điểm cuối đường hầm để đóng gói gói tin. Ưu điểm: + Đường hầm tự động đơn giản, cho phép hai nút mạng IPv6 dễ dàng kết nối với nhau qua kết nối IPv4 hiện có mà không cần các cấu hình đặc biệt. Nhược điểm: + Hạn chế về không gian địa chỉ do phụ thuộc vào không gian địa chỉ IPv4. + Nguy cơ bị tấn công phá hoại bởi các tin tặc. - Do địa chỉ cuối đường hầm được xác định hoàn toàn tự động và gói tin đường hầm sẽ được giử đến địa chỉ IPv4 đó. Nếu không có cơ chế kiểm tra đặc biệt, giả sử có một gói tin được giửi dén router của mạng (203.162.7.0) với địa chỉ IPv6 đích ::203.162.7.255. Địa chỉ IPv4: 203.162.7.255 là địa chỉ broadcast của mạng do đó, các gói tin đường hầm sẽ được giử tới mọi trạm trong mạng. - Do đó, các đường hầm tự động thường được han chế sử dụng. Sau này người ta đề xuất một số phương pháp cải tiến như 6over, 6to4… 6 over 4 Cơ chế cho phép các trạm IPv6 cô lập trên các liên kết vật lý không có các router IPv6 hoạt động dựa trên các gói tin multicast IPv4 như một liên kết cục bộ ảo. Cơ chế này còn gọi là mạng Ethernet ảo. Để hỗ trợ các cơ chế Phát hiện láng giềng và tự cấu hình địa chỉ stateless, một số các địa chỉ có phạm vi quản trị được sử dụng. Các nhóm multicas để giả lập một tầng liên kết Ethernet. Do đó, cơ chế phat hiện láng giềng (ND) giữa các trạm IPv6 với các trạm 6over4 giống như trong tầng Ethernet thông thường. Cách tiếp cận này tạo ra liên kết IPv6 thật trên một mạng LAN ảo. Điểm khác biệt là các trạm 6over4 vào cùng một miền IPv4 multicast thay vì một mạng chia sẻ đường truyền. IPv6 IPv6 over IPv4 IPv4 Hình 36. 6over4 - Việc ánh xạ địa chỉ IPv6 sang địa chỉ tầng liên kết được thực hiện giống giao thức ND. Trong trường hợp này, tùy chọn Địa chỉ tầng liên kết nguồn/đích sử dụng IPv4 làm tầng liên kết. Do đó, toàn bộ mạng IPv4 được coi như một tầng liên kết chia sẻ đường truyền thông qua việc sử dụng các địa chỉ multicast sau đây: +Địa chỉ multicast tất cả các nút mạng (239.X.0.1): Địa chỉ quản trị này được dùng để đến mọi nút mạng trong miền IPv4 hỗ trợ cơ chế này. + Địa chỉ multicast tất cả các rouuter (239.X.0.2): Địa chỉ quản trị này được dùng để đến mọi router trong miền IPv4 hỗ trợ cơ chế này. + Địa chỉ multicast solicited-node (239.X.C.D): Địa chỉ quản trị này được dùng để xác định địa chỉ nút láng giềng (C và D là hai byte thấp trong địa chỉ IPv4). - Trong tấ cả các địa chỉ này, X chỉ định danh cục bộ liên kết (thường bằng 192). - Sử dụng tầng IPv4 làm tầng liên kết loại bỏ cá hạn chế của tầng vật lý đối với kế hoạch chuyển đổi. Các trạm có thể trải trên nhiều miền và thậm chí cách nhiều bước so với router IPv6. - Các trạm 6over4 nhận cấu hình (địa chỉ liên kết cục bộ và tiền tố, địa chỉ IPv4 của router hỗ trợ IPv6) sử dụng giao thức ND trên các địa chỉ multicast IPv4. - Sau đó các gói dữ liệu IPv6 được giử trong các gói dữ liệu IPv4 với kiểu giao thức 41. Chính các trạm sẽ thực hiện đường hầm. - Ưu điểm: + Các trạm IPv6 không đòi hỏi có địa chỉ tương thích hay đường hầm cấu hình. Chính các trạm sẽ thực hiện đường hầm. Kiến trúc cơ sở bao gồm một router với kết nối IPv6 và hỗ trợ 6over4, một mạng có khả năng multicast kết nối các trạm và router. Trong môi trường đó, các trạm 6over4 có thể kết nối với các trạm IPv6 khác. + Có tính mở rộng như IPv6 trên hầu hết các phương tiện truyền. - Nhược điểm: + Suy giảm MTU của gói tin dẫn đến giảm thông lượng. + Trong quá trình chuyển đổi, các router phải quảng bá ít nhất hai tiền tố IPv6, một cho liên kết LAN thực sự và một cho miền 6over4. Ngoài ra, độ dài tiền tố phải là 128 để phân biệt hai loại tìên tố cùng có kiẻu FE80::/64. 6 to 4 Ipv4 Ipv6 network Ipv6 network 6 to 4 router 6 to 4 router 192.168.99.1 192.168.30.1 Network Preix: Network Preix: 2002: c0a8:6301::/48 2002: c0a8:6301::/48 Hình 37 : 6 to 4 Khuôn dạng của một địa chỉ 6to4 như sau: FP TLA IPv4ADDR SLAID Interface ID Hình 38:Khuôn dạng địa chỉ 6to4 Cơ chế hoạt động: Ipv6 IPv6 Ipv4 IPv6 IPv6 network Ipv4 IPv6 network Type: native IPv6 Type: IPv6 in IPv4 2002:c0a8:1e01::1 Dst:2002:c0a8:1e01::1 Dst:192.168.30.1 192.168.30.1 Hình 39 : Cơ chế hoạt động 6 to 4 Khi có một gói tin IPv6 với địa chỉ đích có dạng 2002::/16 được giử đến một router 6to4, router 6to4 tách địa chỉ IPv4 (địa chỉ Ipv4 vừa tách được chính là địa chỉ IPv4 của 6to4 router đích), bọc gói tin IPv6 trong gói tin IPv4 với địa chỉ đích là địa chỉ IPv4 vừa tách được. Sau đó, các gói tin sẽ được chuyển tiếp trên hạ tầng IPv4. Khi router 6to4 đích nhận được gói tin, gói tin IPv6 sẽ được tách ra và chuyển đến nút mạng IPv6 đích. - Ưu điểm: + Các nút mạng không bắt buộc phải dùng địa chỉ IPv6 kiểu tương thích IPv4 như đường hầm tự động. + Không cần nhiều cấu hình đặc biệt như đường hầm có cấu hình. + Không bị ảnh hưởng bởi các hệ thống tường lửa của mạng, chỉ cần routercủa mạng có địa chỉ IPv4 toàn cục có thể định tuyến. - Nhược điểm: + Chỉ thực hiện với một lớp địa chỉ mạng đặc biệt. + Có nguy cơ bị tấn công theo kiểu của đường hầm tự động nếu phần địa chỉ IPv4ADDR trong địa chỉ đích của gói tin 6to4 là địa chỉ broadcast hay multicast. - Triển khai: + 6to4 được hỗ trợ trên nhiều hệ điều hành như Linux, Windows 2000. + Linux: radvd có thể cấu hình để quảng bá tiền tố địa chỉ 6to4. + Windows 2000: chương trình 6to4cfg dùng để cấu hình mạng 6to4. Mô giới đường hầm Hiện nay, mạng IPv6 sử dụng rất nhiều đường hầm trên hạ tầng IPv4. Tunnel Broker được đưa ra để giảm nhẹ chi phí cấu hình và duy trì các đường hầm này. - Cơ chế này sử dụng một tập các server chuyên dụng gọi là Tunnel Broker để cấu hinh và duy trì các đường hầm. Chúng có thể xem như các ISP IPv6 ảo cho các người dùng đã kết nối vào Internet IPv4. Cơ chế này phù hợp cho các trạm (hoặc site) IPv6 nhỏ cô lập muốn kết nối dễ dàng vào mạng IPv6. - Cấu trúc của TUnnel broker bao gồm: + Một server tunnel broker. + Một DNS server. + Một số các server đường hầm. IPv6 IPv4 host IPv4 network IPv4 network IPv6 network Hình 40: Môi trường đường hầm - Cách thức thực hiện: + Các khách hàng của dịch vụ Tunnel broker là các nút mạng IPv6 stack kép (host hoặc router) đã kết nối vào Internet IPv4. Trước khi thiết lập đường hầm, cần có sự trao đổi thông tin giữa Tunnel broker với khách hàng như xác thực, quản lý và thông tin tài khoản. + Khách hàng kết nối tới tunnel broker để đăng kí và kích hoạt các đương hầm. Tunnel broker có thể chia sẻ tại các điểm cuối đường hầm trên các server đường hầm. Nó cũng có thể đăng kí tên và địa chỉ IPv4 của đầu đường hầm phía họ, tên đăng kí trong DNS và đó là một trạm hay một router. + Tunnel broker chọn một server đường hầm làm điểm cuối đường hầm thực sự. Nó chọn tiền tố cấp phát cho khách hàng (từ 0 đến 128) và cố định thời gian tồn tại của đường hầm. + Tunnel broker đăng kí địa chỉ IPv6 cấp cho các điểm cuối đường hầm trong DNS. + Tunnel broker cấu hình đường hầm phía server và thông báo các thông tin liên quan cho khách hàng. - Sau đó, khách hàng có thể kết nối vào mạng IPv6 thông qua cơ chế đường hầm như bình thường. - Ưu điểm: + Quản lý tập trung các đường hầm phía server, giảm bớt chi phí. + Có thể sử dụng các ISP ảo trên IPv6. - Các Tunnel Broker trên mạng Internet: + Freenet6 www.freenet6.net + Hurriane Electric www.ipv6tb.he.net Dịch địa chỉ dịch giao thức Dịch địa chỉ và dịch giao thức được phát triển trên cơ sở cơ chế NAT trong IPv4 nhằm cho phép các nút mạng IPv4 và IPv6 kết nối với nhau. Cơ chế này hoạt động trên cơ sở chuyển đổi các khác biệt giữa các gói tin IPv4 và IPv6. - Khác biệt về địa chỉ: Dịch địa chỉ IPv4- IPv6. - Khác biệt về phần mở đầu header: Dịch giao thức thay đổi header gói tin. Thiết bị NAT- PT được cài đặt tại biên giới giữa mạng IPv4 với Ipv6. Cơ chế này không đòi hỏi các cấu hình dặc biệt tai các máy trạm và các sự chuyển đổi gói tin tại thiết bị NAT- PT hoàn toàn trong suốt với người dùng. - Mỗi thiết bị NAT- PT duy trì một tập các địa chỉ IPv4 dùng đẻ ánh xạ các yêu cầu với địa chỉ IPv6. - NAT- PT có thê mở rộng thành NAPT- PT cho phép sử dụng một địa chỉ - - IPv4 cho nhiều phiên làm việc khác nhau. NAT- PT cũng như NAT cũng như IPv4 không có khả năng hoạt động với các gói tin có chứa địa chỉ trong phần tải tin. Do đó, NAT- PT thường đi kèm với cơ chế Cửa khẩu tầng ứng dụng ALG. Cơ chế này cho phép xử xý các gói tin ứng với từng dịch vụ nhất định như DNS hay FTP, ... - Ưu điểm: + Quản trị tập trung tại thiết bị NAT- PT. + Có thể triển khai nhiều thiế bị NAT- PT để tăng hiệu năng hoạt động. - Nhược điểm: + Tạo lên một điểm gây lỗi loạn single poin of failure tại thiết bị NAT- PT. - Các triển khai của NAT- PT: NAT- PT đã được thử nghiệm trên các hệ điều hành mạng như: + Linux, Free BSD, Microsoft Windows 2000. + Ngoài ra, nó cũng là một phần của hệ điều hành Cisco IOS IPv6 bản beta với hai phiên bản dựa trên IOS v11.3 và IOS v12.0. Các triển khai này có cho nhiều loại router khác nhau. IPv4 IPv4 Internet Hình 41: NAI- PT - SIIT (Stateless IP/ICMP Translation Algorithm) là một chuẩn của IETF (RFC2765) mô tả bộ dịch IPv6/IPv4 không lưu trạng thái (Stateless). - Tương tự cơ chế NAT- PT ngoại trừ nó không cấp phát động địa chỉ IPv4 cho các trạm IPv6. Chức năng chuyển đổi thực hiện giữa header IPv6 và IPv4. SIIT không bao gồm các tùy chọn IPv4 và header mở rộng trong IPv6. SIIT cũng thực hiện chuyển đổi các thông điệp điều khiển ICMP giữa hai giao thức. - Đối với quá trình chuyển đổi IPv4 sang IPv6, một địa chỉ IPv4 tạm thời được gán cho nút mạng IPv6. - Các gói tin đến thiết bi SIIT sẽ được chuyển đổi header và địa chỉ từ IPv4 sang các địa chỉ IPv4-dịch (IPv4- translated) và IPv4- ánh xạ (IPv4- mapped). Một địac hỉ IPv4-dịch tương ứng với một nuts mạng IPv6 còn địa chỉ IPv4- ánh xạ tương ứng một nút mạng IPv4. Đối với chiều ngược lại, các địa chỉ này sẽ được chuyển đổi ngược lại thành địa chỉ IPv4. - Do quá trình chuyển đổi không lưu trạng thái, có thể tồn tại nhiều bộ chuyển đổi giữa hai mạng IPv4 và IPv6. Không có sự ràng buộc mỗi phiên truyền phải đi qua một thiết bị duy nhất như trong NAT- PT. Một số cơ chế khác. BIS (Bump Into the Stack) BIS là sự kết hợp của hai cơ chế NAT- PT và DNS- ALG nhưng được cài đặt ngay tại các nút mạng IPv6. Qua đó, các ứng dụng trên các trạm IPv4 có thể kết nối với các trạm IPv6. Ưu điểm: + Hỗ trợ nhanh chóng và đơn giản các ứng dụng IPv4 có thể kết nối với các nút mạng IPv6 khác. + Cài đặt ngay trên từng trạm nên không phụ thuộc vào một thiết bị trung gian như NAT- PT. Nhược điểm: + Không hỗ trợ khả năng tự cấu hình. + Cần cài đặt và cấu hình riêng rẽ trên từng nút mạng: card mạng, cấu hình IP, NAT. Các thông số cấu hình này cần được thực hiện lại mỗi khi có sự thay đổi về topo và địa chỉ mạng. + Về lâu dài và với các mạng có kích thước lớn, hoạt động không hiệu quả và chi phí quản trị cao. - Triển khai: +Phần mềm Tôlnet6 hỗ trợ BIS hạn chế với một số card mang họ 3Com, NE2000 dưới dạng driver cho card mạng do công ty Hitachi cung cấp. Chương trình hoạt động với Win9x và NT cho phép kết nối với các trạm IPv6. +Sau7 khi cài đặt phần driver của card mạng, cần cấu hình các ánh xạ địa chỉ IPv6- IPv4 trước khi có thể thực hiện kết nối thông qua chương trình NAT MAnager. BIA (Bump Into the API Phương pháp này áp dụng cho các dual- stack host (các host hỗ trợ cả IPv4 và IPv6), cho phép các host IPv6 khác với các ứng dụng IPv4 hiện có. Mục đích của phương pháp cũng giống như cơ chế Bump-in-the-stack (BIS) nhưng nó đưa ra cơ chế dịch giữa các API IPv4 và IPv6. DO vậy, quá trình đơn giản không cần dịch header gói tin IP và không phụ thuộc vào các giao thức tầng dưới và trình điều khiển của giao diện mạng. Host Translatorr( BIA) IPv6 hative host (API) IP v6 network IPv4 Applications IPv6 hative host Hình 42: BIA Phương pháp BIA không sủ dụng được trong các host chỉ hỗ trợ IPv4 như phương pháp BIS. Nó chỉ được sử dụng trên các host IPv6/Ipv4 nhưng có một số trình ứng dụng IPv4 không thẻ hoặc khó chuyển đổi sang hỗ trợ IPv6. Do BIA hoạt động tại mức API socket nên ta có thể sử dụng các giao thức an ninh tại tầng mạng (IPsec). BIA hiện nay chỉ áp dụng được cho các trao đổi kiểu Unicast, chưa áp dụng được cho kiểu Multicast. Các tính năng mới của socket IPv6 không thể sử dụng. Phương thức hoạt động: + Phương pháp BIA chèn thêm một bộ dịch API vào giữa module socket API và module TCP/IP trên dual-stack host và dịch các hàm API socket IPv4 thành các hàm API socket IPv6 và ngược lại. Để áp dụng phương pháp này, host hỗ trợ cả TCP(UDP)/IPv4 và TCP(UDP)/IPv6. + Khi một ứng dụng IPv4 giao tiếp với một host IPv6 khác, bộ dịch API phát hiện các hàm APG socket mà ứng dụng sử dụng và gọi tương ứng các hàm API socket IPv6 để giao tiếp với host IPv6 và ngược lại. + Quá trình chuyển đổi IPv6 sang một tập các địa chỉ IPv4 được thực hiện trong module ánh xạ tên (name resolver). - Kiến trúc của dual-stack host sử dụng BIA. - Module BIA gồm 3 phần: + Module tra cứu tên (Name resolver): Đáp ứng các yêu càu tra cứu tên miền của các ứng dụng IPv4. Khi một ứng dụng giửi một truy vấn các bản ghi kiểu A tới name server, module này sẽ nhận truy vấn này, phân tích và tạo ra truy vấn tương ứng với tên máy đó cho cả các bản ghi kiểu A và AAAA rồi giửi cho name server. IPv4 Applications Socket API (IPv4 , IPv6) API Translator Address Mapper Name Resolver Function Mapper TCP(UDP)/IPv4 TCP(UDP)/IPv6 Hình 43. Kiến trúc của dual- stack host sử dụng BIA Nếu trả lời từ name server chỉ có bản ghi kiểu AAAA, module này sẽ yêu cầu module ánh xạ địa chỉ gán một địa chỉ IPv4 tương ứng với địa chỉ IPv6 này rồi tạo ra một trả lời kiểu A chứa địa chỉ IPv4 trả về cho ứng dụng + Module ánh xạ địa chỉ (Address mapper). Duy trì một bảng các cặp địa chỉ IPv4 và IPv6. Các địa chỉ IPv4 được gán từ một tập các địa chỉ này và cập nhật thêm một mục trong bảng. Quá trình cập nhật xảy ra trong hai trường hợp: Khi module ánh xạ tên chỉ nhận được trả lời về bản ghi kiểu AAAA và không có mục nào trong bảng chứa địa chỉ IPv6 tương ứng. Khi module ánh xạ hàm nhận được một lời gọi hàm API socket từ dữ liệu thu nhận mà không có mục nào trong bảng tương ứng với địa chỉ IPv6 nguồn. + Module ánh xạ hàm (Function mapper): Chuyển đổi các hàm API socket IPv4 thành các hàm API socket IPv6 và ngược lại. - Các vấn đề liên quan + Chuyển đổi API socket. Các hàm API socket IPv4 được chuyển đổi tương ứng sang các hàm API socket IPv6. Quá trình này chuyển đổi cả các địa chỉ IP nhúng trong các giao thức tầng ứng dụng (FTP, DNS,...). Sự tương thích giữa các hàm API socket là không hoàn toàn do các hàm API socket IPv6 có nhiều tính năng hơn. Các hàm API socket được chuyển đổi: bind() connect() sendmsg() sendto() accept() rrecvfrom() recvmsg() getpeername() gétockname() gétocketopt() sétocketopt() recv() send() Bảng 3- 1. Các hàm API socket được chuyển đổi Các cấu trúc và hàm API cơ bản AF_ INET AF- INET6 sockaddr_in sockaddr_in6 gethostbyname() getaddrinfo() gethosbyaddr() getnameinfo() inet_ntoa()/inet_addr() inet_pton()/inet_ntop() INADDR_ANY in6addr_any Bảng 3- 2. Các cấu trúc và hàm API cơ bản - Các thông điệp ICMPv4 được chuyển thành ICMPv6 và ngược lại giống trong phưong pháp SIIT. + Tập các địa chỉ IPv4 và bảng ánh xạ địa chỉ. Để tránh hiện tượng dùng hết tập địa chỉ IPv4 dẫn đến không thể tiếp tục đáp ứng các yêu cầu trao đổi với bên ngoài, BIA đưa ra các cơ chế để loại bỏ các mục tồn tại lâu nhất trong bảng để sử dụng trong các yêu càu mới. + Các địa chỉ IPv4 nội bô. Để tránh đụng độ về địa chỉ, BIA sử dụng các địa chỉ không được cấp phát (0.0.0.0 đến 0.0.0.255). + Vấn đề không phù hợp giữa kết quả DNS (AAAA) với phiên bản ứng dụng (v4). - Nếu server ứng dụng chưa hỗ trợ IPv6 nhưng chạy trên một máy có hỗ trợ IPv6 và có tên dưới kiểu bản ghi AAAA trong DNS, ứng dụng client có thể không kết nối được với server do có sự không phù hợp giữa bản ghi kết quả DNS (AAAA) với phiên bản ứng dụng server (IPv4). - Một trong các giải pháp là thử tất cả các địa chỉ trong DNS và không kết thúc ngay sau lần thử đầu tiên. Điều này có thể ứng dụng bởi sự mở rộng module tra cứu tên và bộ dich API trong BIA. BIA thực hiện lặp công việc tìm kiếm các địa chỉ hoạt động sử dụng bởi các ứng dụng khác bên ngoài các địa chỉ trả về từ name server. Cơ chế chuyển đổi hai giao thức (DSTM) Cơ chế này cho phép kết nối các nút mạng stack kếp (IPv6/IPv4) trên một mạng IPv6 với các nút mạng IPv4 ở xa. DSTM không áp dụng được cho các nút mạng chỉ hỗ trợ IPv6. - DSTM cấp một địa chỉ IPv4 toàn cục tạm thời cho nút mạng IPv6 và sử dụng đường hầm IPv4-in-IPv6 để truyền gói tin IPv4 trên mạng IPv6. - Đây là cơ chế hai chiều, quá trình truyền thông có thể bắt đầu từ nút mạng IPv6 hoặc nút mạng IPv4. - Cách thức hoạt động: + DSTM được cài đặt trên tất cả các nút mạng trong mạng IPv6 và router biên giới giữa hai miền IPv6 và IPv4. Nó cũng sử dụng DHCPv6. Do vậy, DSTM cần một server DHCPv6 và các client tại mỗi nút mạng. DHCP Border router(Y) IPv4 IPv6 IPv4 only node (Z) Dual stack node (X) DNS Bảng 3- 3. Cơ chế chuyển đổi hai giao thức (DSTM) - Chức năng các bộ phận như sau: + DHCPv6 Server: Cấp địa chỉ IPv4 tạm thời cho các nút mạng muốn giao tiếp với nút mạng IPv4 ở xa. Nó cũng duy trì sự ánh xạ giữa địa chỉ IPv4 và IPv6. Để hỗ trợ DSTM, DHCPv6 phải hỗ trợ một tùy chọn mới cho phép nút mạng IPv6 nhận địa chỉ IPv4 tạm thời và thông báo cho phía client biết địa chỉ IPv6 của cuối đường hầm. + DSTM daemon: Sử dụng DHCPv6 client trên nút mạng để yêu cầu địa chỉ IPv4 toàn cục mỗi khi khởi tạo truyền thông. + Giao diện đường hầm động (DTI): Đây là một giao diện IPv4 ảo trongnut stack kép để cho phép truyền các gói tin IPv4 một cách trong suốt trên mạng IPv6. Các gói tin chuyển đến giao diện này được bọc trong gói tin IPv6 và được giửi thông qua giao diện IPv6 đến router biên mạng. + Router biên mạng: Đây là một router stack kép kết nối miền IPv4 với IPv6. Đây là nơi kết thúc đường hầm 4 trong 6. Router cũng lưu các ánh xạ giữa địa chỉ IPv6 với địa chỉ IPv4 tạm thời. - Ưu điểm: + Trong suốt đối với mạng, chỉ cần duy trì định tuyến IPv6 trên mạng, giảm chi phí quản trị mạng. + Trong suốt đối với ứng dụng, cho phép các ứng dụng chỉ cho IPv4 hoạt động bình thường trên nút mạng IPv4/IPv6. + Khắc phuc sự thiếu hụt địa chỉ IPv4 bằng cách sử dụng DHCPv6. - Nhược điểm: + Đòi hỏi nhiều cơ chế đặc biệt. + Sử dụng các địa chỉ IPv4 toàn cục. - Triển khai: +Hiên mới chỉ có trên hệ điều hành Free BSD. Chương 2: Tổng quan về VPN Giới Thiệu về VPN Giới thiệu Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau... Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet. Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức. Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPNs). Chính điều này là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay. Trong chương này, chúng ta sẽ đề cập đến những vấn đề cơ bản của kĩ thuật VPN Một Số Khái Niệm Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPNs. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPNs là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý. Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng. Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point. Hình 1: VPN setup Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau: v Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa: Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực thể đó. Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó. Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (DES). v Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption) v Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công. Sự Phát Triển VPNs không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô hình VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành như hiện nay. Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng. Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPNs. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn. Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR này. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN. Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPNs hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM Ưu Điểm/Khuyết Điểm a. Ưu điểm: Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP). Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng. Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin. Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt. Trong kĩ thuật VPNs thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông. Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng. b. Khuyết điểm: Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs. Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng. Các Dạng VPN Remote access VPN Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống. Hệ thống bao gồm các thành phần chính: Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và ủy quyền của yêu cầu truy cập từ xa. Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà khoảng cách xa Nhân sự: những người có trách nhiệm cấu hình hệ thống, bảo trì và quản lý RAS và hỗ trợ người dùng ở xa. hình 2: VPN remote access Để nâng cấp Remote Access VPNs, người dùng xa và các văn phòng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết nối với mạng trung tâm thông qua Internet. Mô hình thiết lập Remote Access VPN được mô tả ở hình 1-3 Hình 3: VPN remote access setup v Ưu khuyết điểm của Remote Access VPNs so với Remote Access truyền thống: Không có thành phần RAS và các thành phần modem liên quan Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương. Do đó chi phí vận hành giảm rất nhiều. Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa. VPNs cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất. Bên cạnh những ưu điểm của VPNs thì vẫn tồn tại một số khuyết điểm còn tồn tại của Remote Access truyền thống: Remote Access VPNs không đảm bảo chất lượng của dịch vụ QoS. Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khá nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt. Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền. Intranet VPN Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mô hình được mô tả như hình 1-4: Hình 4: VPN intranet Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối. Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet. Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống. Giải pháp VPNs được mô tả như hình 1-5: Hình 5: VPN extranet v Ưu điểm: Giảm chi phí cho router được sử dụng ở WAN backbone. Giảm số nhân sự hỗ trợ ở các nơi, các trạm Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-to-peer mới. Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp với kĩ thuật chuyển mạch nhanh như FR Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn. Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rất nhiều. v Khuyết điểm: Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet - mạng chia sẻ công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ (denial-of-service) Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao. Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet. Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo Extranet VPN Không giống như giải pháp của intranet VPNs và remote access VPNs, extranet VPNs không tách riêng với thế giới ngoài. Extranet VPNs cho phép điều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong hoạt động thương mại của tổ chức Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở hình1-6 Mô hình truyền thống có chi phí rất cao do mỗi mạng phân chia của intranet phải có bộ phận kết nối (tailoring) tương xứng các mạng ngoài. Do đó sẽ vận hành và quản lý rất phức tạp các mạng khác nhau. Ngoài ra yêu cầu nhân sự để bảo trì và quản lý hệ thống phức tạp này trình độ cao. Ngoài ra, với thiết lập dạng này sẽ không dễ mở rộng mạng do phải cài đặt lạu cho toàn bộ intranet và có thể gây ảnh hưởng đến các kết nối mạng ngoài khác. Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extraner VPNs được mô tả như hình 1-7: v Ưu điểm: Giảm chi phí rất nhiều so với phương pháp truyền thống Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn. Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải pháp tailoring phù hợp với nhu cầu tổ chức Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống. v Khuyết điểm: Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức. Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet. Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo. Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs đã thõa mãn rất tốt nhu cầu của các doanh nghiệp. Bảo Mật VPN Xác nhận người dùng và quản lý truy cập Xác nhận người dùng Cơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn truy xuất tài nguyên trong mạng thì phải được xác nhận cho phép truy cập. Do đó chỉ có những người sử dụng được cho phép mới truy xuất tài nguyên mạng, giảm thiểu sự truy xuất trái phép các tài nguyên mạng. Sự xác nhận có thể bao gồm các thành phần sau hoạt động riêng biệt hay kết hợp với nhau: Đăng nhập ID và password: Người sử dụng dùng ID và password để xác nhận truy cập từ các nút VPN. S/Key password: Người dùng thiết lập S/KEY bằng cách chọn một password bí mật và một số nguyên n. Số nguyên này có ý nghĩa là số lần mà hàm mã hóa ( hiện tại là MD4) được áp dụng đối với password. Kết quả được lưu lại trên server tương ứng. Khi người sử dụng đăng nhập tạm thời, server yêu cầu. Phần mềm trên máy người sử dụng sẽ yêu cầu password bí mật và áp dụng lặp lại n-1 lần hàm mã hóa và gửi kết quả về server. Server sẽ áp dụng hàm này thêm 1 lần nữa lên kết quả vừa nhận được. Nếu kết quả nó đưa ra trùng lặp với giá trị được lưu trước đó thì người sử dụng xác nhận thành công. Người sử dụng được cho phép truy cập mạng, server sẽ thay thế và lưu giữ giá trị nhận được từ máy khách và giảm password counter. Remote Access Dial-In User Service (RADIUS). RADIUS là giao thức bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu. RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP). Two-factor token-based technique. Yêu cầu xác nhận bằng dấu hiệu (token) và password. Trong quá trình xác nhận, phần cứng (thiết bị điện) được sử dụng như các dấu hiệu và duy nhất như Personal Identification Number (PIN) được sử dụng làm password. Theo truyền thống thì các dấu hiệu là các thiết bị phần cứng (có thể là card), nhưng hiện nay thì một số nhà cung cấp sử dụng dấu hiệu dựa trên phần mềm Quản lý truy cập Sau khi người sử dụng xác nhận thành công thì mặc định người đó có thể truy cập đến tất cả các tài nguyên, dịch vụ và các ứng dụng trong nội bộ mạng. Nó có thể tăng các nguy cơ bảo mật cho người sử dụng bởi vì người sử dụng có thể cố ý hay không cố ý xáo trộn dữ liệu trên các thiết bị khác nhau. Bằng cách phân loại các loại dữ liệu quan trọng và các dữ liệu không quan trọng mà người sử dụng làm việc hằng ngày, bạn có thể ngăn chặn hiệu quả điều đó. Kết quả là sự truy cập có thể bị ngăn cấm đến thiết bị lưu trữ những thông tin quan trọng này Phân quyền quản lý truy cập cũng là 1 phần của quản lý truy cập. Nguy cơ bảo mật này có thể được giảm bằng cách giới hạn quyền truy cập của người sử dụng. Ví dụ, dữ liệu có thể được bảo vệ bằng cách cho phép các người sử dụng bình thường chỉ được phép đọc dữ liệu. Và một số người sử dụng đặc biệt mới có khả năng thay đổi hay xóa dữ liệu đó. Quản lý truy cập dựa trên mã xác nhận người sử dụng (ví dụ ID). Tuy nhiên một số thông số khác như địa chỉ IP nơi gửi hay nơi đến, địa chỉ cổng, và các nhóm có thể đóng vai trò quan trọng trong phương pháp quản lý truy cập truyền thống. Cơ chế quản lý truy cập hiện đại cũng dựa trên các thông số như thời gian, ngày, phần mềm ứng dụng, dịch vụ hay phương pháp xác nhận URL và cơ chế mã hóa Mã hóa dữ liệu Mã hóa dữ liệu hay mật mã là một phần quan trọng trong vấn đề bảo mật VPN và đóng vai trò quan trọng khi truyền dữ liệu quan trọng. Đó là cơ chế chuyển đổi dữ liệu sang định dạng khác mà không có khả năng đọc được gọi là ciphertex, do đó các truy xuất trái phép vào dữ liệu có thể ngăn được khi dữ liệu truyền qua môi trường trung gian không an toàn. Mã hóa dữ liệu có thể ngăn được các nguy cơ sau: Xem dữ liệu trái phép Thay đổi dữ liệu Dữ liệu giả Ngắt dịch vụ mạng Ở dữ liệu nhận được, người nhận phải giải mã trở lại định dạng ban đầu. Trong trường hợp ciphertext bị ngăn chặn trong quá trình truyền đi thì người có dữ liệu đó cũng không thể biết phương pháp để chuyển đổi nó về dạng ban đầu, do đó nó cũng trở nên vô dụng với người đó. Hình 3-2 mô phỏng mô hình phương pháp mã hóa truyền thống: Người gửi và nhận trong tiến trình mã hóa gọi là hệ thống mã hóa(cryptosystem). Cryptosystem thuộc một trong 2 dạng sau: Đồng bộ Không đồng bộ Cryptosystem được phân loại dựa theo số khóa (key) được sử dụng. Khóa có thể là số, từ hay đoạn cú pháp được sử dụng nhằm mã hóa và giải mã Hệ thống mã hóa đồng bộ Hệ thống mã hóa đồng bộ dựa trên một khóa duy nhất, đó là một chuỗi bit cố định độ dài. Nên cơ chế mã hóa này cũng được gọi là mã hóa khóa duy nhất. Khóa là cá nhân (bi mật) và được sử dụng cho mã hóa cũng như giải mã. Symmetric cryptosystems are based on a single key, which is a bit string of fixed length. Therefore, this encryption mechanism is also referred to as single-key encryption. The key is private (or secret) and is used for encryption as well as decryption. Trước khi truyền tải thông tin giữa 2 thành phần, khóa phải được chia sẻ với nhau. Người mã hóa thông tin gốc sử dụng khóa cá nhân và gửi đến cho người nhận. Khi nhận được dữ liệu đã được mã hóa, người nhận sử dụng cùng khóa đó để giải mã. Quá trình mã hóa đồng bộ được mô tả như hình 3-3 Như đã đề cập ơ trên, người nhận và nguời gửi cần phải chia sẻ cùng một khóa. Một phương pháp chia sẻ khóa là người nhận cung cấp khóa bí mật hóa đối với người nhận bằng cách gặp trực tiếp. Tuy nhiên điều này làm lãng phí thời gian và cũng mất đi ý nghĩa của truyền thông tin bằng mạng. Một phương pháp khác để chuyển khóa cho người nhận là bằng cách điện thoại. Nhưng phương pháp này có thể bị nghe trộm. Một cách khác nữa là gửi bằng thư hay email. Và cũng như các phương pháp trước, nguy cơ bị lấy mất thông tin là rất lớn. Bởi vì các phương pháp gửi khóa đều không an toàn, một giải pháp khả thi cho vấn đề này là làm cho độ dài khóa đủ lớn. Bất cứ người nào cũng cần phải “phá vỡ” hay giải mã khóa trước nếu muốn xem thông tinh gốc. Tuy nhiên với khóa có độ dài lớn thì việc giải mã khóa sẽ rất khó khăn. Phụ thuộc vào độ dài khóa, nhiều thuật toán mã hóa đồng bộ đã được phát triển qua nhiều năm, một số thuật toán phổ biến sử dụng mã hóa đồng bộ trong VPN là: Data Encryption Standard (DES). DES đề xuất độ dài khóa đến 128bit. Tuy nhiên kích thước khóa đã giảm xuống còn 56bits bởi chính phủ Mĩ nhằm tăng tốc độ thuật toán. Tuy nhiên với độ dài khóa được rút ngắn như vây thì thuật toán mã hóa này bảo mật không tốt, có thể bi tấn công ví dụ như tấn công Brute Force. Tong tấn công Brute Force thì khóa sẽ được tạo ra ngẫu nhiên và được ghép vào file text cho đến khi khóa đúng được xác định. Với độ dài khóa nhỏ hơn có thể dễ dàng tạo ra khóa đúng và hệ thống mã hóa mất tác dụng Triple Data Encryption Standard (3DES). Giống như hệ thống DES, 3DES cũng sử dụng khóa 56bit. Tuy nhiên, nó bảo mật tốt hơn do sử dụng 3 khóa khác nhau để mã hóa dữ liệu. Tiến trình thực hiện: Sử dụng khóa thứ nhất để mã hóa dữ liệu, sử dụng khóa thứ 2 để giải mã dữ liệu mã hóa bước 1 và cuối cùng sử dụng khóa 3 để mã hóa lần 2. Do đó nó tăng tính bảo mật nhưng cũng đồng thời do tính phức tạp của thuật toán nên chậm hơn gấp 3 lần so với DES. Ron's Code 4 (RC4). Phát triển bởi Ron Rivest, sử dụng khóa có độ dài thay đổi đến 256bit. Vì độ dài của khóa nên RC4 được xếp vào một trong các cơ chế mã hóa tốt nhất, nhưng cũng hoạt động nhanh. RC4 tạo một chuỗi byte ngẫu nhiên và XOR chúng với file văn vản gốc. Vì byte được tạo ngẫu nhiên nên RC4 yêu cầu khóa mới cho mỗi lần gửi đi thông tin. Hệ thống mã hóa xuất hiện 2 vấn đề chính. Đầu tiên là chỉ sử dụng một khóa cho mã hóa và giải mã. Nếu một người ngoài mà biết được khóa này thì tất cả thông tin truyền đạt sử dụng khóa này đều gặp nguy hiểm, nguy cơ mất mát cao. Di đó khóa cần được thay đổi theo chu kì. Vấn đề thứ 2 là số lượng thông tin lớn, quản lý khóa trở nên nhiệm vụ phức tạp. Thêm vào đó tổng chi phí cho thiết lập khóa ban đầu, phân phối hay thay thế các khóa chu kì là rất đắt và lãng phí thời gian. Hệ thống mã hóa không đồng bộ có thể giải quyết các vấn đề của hệ thống mã hóa đồng bộ. Hệ thống mã không đồng bộ Thay thế cho khóa duy nhất của hệ thống mã hóa đồng bộ, hệ thống mã hóa không đồng bộ sử dụng một cặp khóa liên quan toán học với nhau. Một khóa là cá nhân và chỉ được biết bởi chủ của cặp khóa này. Khóa thứ 2 là khóa chung và được phân phối tự do. Khóa chung được sử dụng cho mã hóa còn mã cá nhân được sử dụng cho giải mã thông tin. Trong giải pháp VPN, 2 hệ thống mã hóa không đồng bộ được sử dụng phổ biến nhất là Diffie-Hellman (DH) algorithm và the Rivest Shamir Adleman (RSA) algorithm. Thuật toán Diffie-Hellman Trong thuật toán Diffie-Hellman, mỗi thực thể giao tiếp cần 2 khóa, một để phân phối cho các thực thể khác và một khóa cá nhân b. Thuật toán The Rivest Shamir Adleman (RSA) RSA là cơ chế mã hóa mạnh, là chuẩn trong hệ thống mã hóa không đồng bộ. Không giống như Diffie-Hellman, thông tin gốc được mã hóa sử dụng khóa chung của người nhận, Người nhận sẽ khôi phục lại thông tin ban đầu bằng khóa chung của người gửi. Cơ sở hạ tầng khóa chung (Public Key Infrastructure - PKI) PKI là một bộ khung của các chính sách dể quản lý các khóa và thiết lập mộ phương pháp bảo mật cho việc trao đổi dữ liệu. Các sự trao đổi dữ liệu sử dụng PKI có thể xảy ra trong một tổ chức, một quốc gia, một khu công nghiệp hay một vùng. Để nâng cao sự quản lý khóa và bảo đảm các giao dịch dữ liệu có độ an toàn cao, một khung dựa trên PKI bao gồm các chính sách và thủ tục được hỗ trợ bởi các tài nguyên phần cứng và phần mềm. Chức năng chính của PKI như sau : Tạo ra các cặp khóa cá nhân và công cộng cho khách hàng PKI Tạo và xác nhận chữ ký số Đăng ký và xác nhận người sử dụng mới Cấp phát các sự chứng nhận cho người sử dụng Bám theo các khóa đã được cấp phát và lưu trữ lịch sử của mỗi khóa ( dùng để tham khảo trong tương lai) Thu hồi rút lại các giấy chứng nhận không hợp lệ hoặc quá hạn Xác nhận người sử dụng PKI Trước khi cố tìm hiểu công việc của PKI, chúng ta hãy tìm hiểu các thành phần tạo thành khung PKI Các thành phần PKI Các thành phần chính tạo thành khung PKI là Khách hàng PKI Người cấp giấy chứng nhận (CA) Người cấp giấy đăng ký (RA) Các giấy chứng nhận số Hệ thống phân phối các giấy chứng nhận (CDS) a. Khách hàng PKI Một khách hàng PKI là thực thể mà yêu cầu giấy chứng nhận số từ CA hoặc RA. Trườc khi một khách hàng PKI tham gia cvào các sự giao dịch dữ liệu, nó phải có được một giầy chứng nhận số. Để làm được điều này, khách hàng phát ra một yêu cầu về một giầy chứng nhận từ CA hoặc RA được chỉ định cho tổ chức. Khi một khách hàng được xác nhận thành công, nó nhận được giấy xác nhận mà nó yêu cầu. Sau khi nhận được giấy xác nhận, khách hàng sử dụng nó để nhận dạng mình. Tuy nhiên trách nhiệm duy nhất của khách hàng là bảo vệ giữ gìn giấy chứng nhận b. Certification Authority (CA) CA là một người thứ ba tin cậy cấp phát các gấiy chứng nhận số đến khách hàng PKI. Trườc khi cấp phát một xác nhận số, CA kiểm tra tính đồng nhất và tính xác thực của khách hàng PKI CA sử dụng các thủ tục và các nguyên tắc thực hiện riêng của nó để cấp phát các giấy chứng nhận số. NHư bạn kỳ vọng, quá trình cấp giấy chứng nhận thay đổi phụ thuộc vào cơ sở hạ tầng hợp lệ được hỗ trợ bởi CA, các chính sách tổ chức của nó, mứ độ của giấy chứng nhận được yêu cầu. Quá trình có thể yêu cầu một vài thông tin, như bằng lái xe, notarization hoặc dấu vân tay. Một ví dụ của một CA nổi tiếng là Verisign,Inc c. Registration Authority ( RA) Trước khi thỏa mãn một yêu cầu về giấy chứng nhận số, CA phải xác nhận và kiểm tra tính hợp lệ của yêu cầu. Tuy nhiên, bởi vì số lượng lớn các yêu cầu cho giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ của yêu cầu cho RA. RA nhận tất cả các yêu cầu cấp giấy chứng nhận và kiểm tra chúng Sau khi một RA kiểm tra một yêu cầu thành công, nó chuyển yêu cầu tới CA. CA phát giấy chứng nhận yêu cầu và chuyển nó tới cho RA. Ra sau đ1o chuyển giấy chứng nhận tới khách hàng yêu cầu. Trong cách thực hiện này, RA đóng vai trò như một gnười trung gian giữa các khách hàng PKI và CA. d. Các giấy chứng nhận số Một giấy chứng nhận số là một tương đương về mặt điện tử của một thẻ xác nhận và được sử dụng để xác định duy nhất một thực thể trong suốt quá trình truyền. Bên cạnh việc xác định định dan của người chủ, các giấy chứng nhận số cũng loại bỏ cơ may của sự làm giả, vì thế giảm được nguy cơ của sự tạo ra dữ liệu, các giấy chứng nhận số cũng ngăn chặn có hiệu quả người gởi từ các thông tin không xác nhận Một giấy chứng nhận số bao gồm các thông tin giúp xác nhận tính hợp lệ của người gửi và bao gồm các thông tin sau : Dãy số của giấy chứng nhận Hạn sử dụng của giấy chứng nhận Chữ ký số của CA Khóa công cộng của khách hàng PKI Trong suốt một giao dịch, người gửi phải gửi giấy chứng nhận số của anh ấy hoặc cô ấy theo với tín hiệu đã mã hóa để xác nhận anh ấy hay cô ấy. Người nhận sử dụng khóa công cộng của CA để xác nhận tính hợp lệ của khóa công cộng của người gửi, cái mà được gắn vào thông tin gửi. Như trong trường hợp các khóa công cộng, khóa công công của CA được phổ biến rộng rãi và sẵn sàng cho tất cả. Khi người nhận đã đảm bào được định danh đúng của người gửi, người sử dụng dùng khóa công cộng của người gửi để giải mã thông tin thực sự e. Hệ thông phân phối giấy chứng nhận Hệ thống phân phối giấy chứng nhận là một kho chứa các giấy chứng nhận được cấp cho người sử dụng và tổ chức. Thêm nữa CDS sinh ra và lưu trữ các cặp khóa, mật hiệu các khóa công cộng sau khi đã xác nhận chúng, lưu trữ và thu hồi các khóa bị mất hay hết hạn.CDS cũng chịu trách nhiệm cho việc xuất các khóa công cộng tới các server dịch vụ thư mục Các giao dịch dựa trên PKI Như đã đề cập phía trên, PKI cung cấp bốn chức năng bo mật chính : sự cẩn mật, sự toàn vẹn, sự xác nhận và không có sự từ chối. Mỗi bước trong một giao dịch VPN được lặp lại một hay nhiều trong số các tính năng bảo mật này. Các bước trong một giao dịch dựa trên PKI là : Sự sinh ra cặp khóa. Trườc khi người gởi chuyển dữ liệu đến người nhận mong muốn, nó báo cho người nhận biết mục đích của nó về việc trao đổi dữ liệu. Như vậy thì, cà hai đầu sinh ra một cặp khóa tạo bởi khóa riw6ng và khóa công cộng. Đầu tiên, khóa cá nhân được tạo ra. Sau đó, khóa công cộng tương ứng được tạo bằng cách áp dụng một hàm băm một chiều đối với khóa riêng Sự tạo ra chữ ký số. Sau khi cặp khóa được tạo ra, một chữ ký số duy nhất được tạo ra. Chữ ký số này dùng để định danh người gửi dữ liệu. Để tạo ra chữ ký số, đầu tiên thông tin gốc bị băm. Nói một cách khác, một hàm băm được áp dụng vào tín hiệu gốc. Quá trình băm cho kết quả là một tập thông tin, cái mà sau đó được mã hóa với khóa các nhân của người gửi. Kết quả được gọi là chữ ký số Áp dụng mã hóa dữ liệu và chữ ký số.Sau khi một chữ ký số được tạo ra, thông tin gốc được mã hóa với khóa công cộng củ