HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG CDIT
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
Nội dung: IPSEC TRONG IPV6
Nơi thực tập : Viện Công nghệ Thông tin và truyền thông CDIT
Người hướng dẫn : Thầy Đỗ Đức Huy
: Phòng NCPT Dịch vụ Bưu chính Viễn thông
Người báo cáo : Đặng Tuấn Linh
Lớp : CN107A3
Đề tài thực tập IPsec trong IPv6
Hà Nội, tháng 5 năm 2012.
SV: Đặng Tuấn Linh _ CN107a3
2
Đề tài thực tập IPsec trong IPv6
LỜI CẢM ƠN
Sau thời gian 7 tuần thực tập tại viện công nghệ thông tin và truyền thông CDiT
Phòng NCPT Dịch vụ Bưu chính Viễn thông. Được sự giúp đỡ và hướng dẫn tận tình
của thầy Đỗ Đức Huy. Em được tìm hiểu, và nghiên cứu một số vấn đề liên quan đến
địa chỉ IPv6, được mở rộng kiến thức, được thử nghiệm và xem kết quả thực tế, được
tiếp xúc với môi trường làm việc chuyên nghiệp, thân thiện của phòng nghiên cứu dịch
vụ… em đã hoàn thành được đề tài Ipsec trong Ipv6. Em xin chân thành cảm ơn Ban
giám đốc Viện công nghệ thông tin và truyền thông, Phòng NCPT Dịch vụ Bưu chính
Viễn thông, Thầy Đỗ Đức Huy đã tận tâm chỉ bảo, hướng dẫn em hoàn đề tài này.
Trong quá trình thực tập, cũng như trong quá trình làm báo cáo khó tránh khỏi
sai sót. Em rất mong được sự tha thứ của thầy Đỗ Đức Huy! Một lần nữa em xin chân
thành cảm ơn!
SV: Đặng Tuấn Linh _ CN107a3
3
Đề tài thực tập IPsec trong IPv6
HỌC VIỆN
CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
VIỆN CÔNG NGHỆ
THÔNG TIN VÀ TRUYỀN THÔNG CDIT
Độc lập - Tự do - Hạnh phúc
KẾ HOẠCH ĐĂNG KÝ THỰC TẬP TỐT NGHIỆP
Họ và tên sinh viên: Đặng Tuấn Linh
Lớp: CN107A3 – Mã sv: 107202231
Địa chỉ liên hệ: Đình Cả - Nội Duệ - Tiên Du – Bắc Ninh
Điện thoại: 0975454268 email:
Đơn vị thực tập tốt nghiệp: Phòng NCPT Dịch vụ Bưu Chính Viễn Thông, CDiT.
Người hướng dẫn trực tiếp: Đỗ Đức Huy
Đề tài: IPsec trong IPv6
TT Nội dung thực tập Thời gian Mục tiêu
1 Tìm hiểu tổng quan về IPv6
2 tuần
Từ ngày 2/4 đến ngày 15/4
……
1.1
Khái quát chung địa chỉ IPv6 Từ ngày 2/4 đến ngày 6/4 Hiểu về cấu trúc tiêu đề IPv6
1.2
Cấu trúc địa chỉ Ipv6 Từ ngày 7/4 đến ngày 11/4
Không gian địa chỉ IPv4 và
IPv6
1.3
Các cách viết địa chỉ Ipv6 Từ ngày 12/4 đến ngày 15/4
Chỉ ra giao thức địa chỉ sử
dụng trong IPv4, IPv6
2
Tìm hiểu về IPsec trong IPv6
2 tuần
Từ ngày 16/4 đến ngày 29/4
2.1
Tổng quan, kiến trúc Ipsec, cấu trúc bảo
mật, hiện trạng
Từ ngày 16/4 đến ngày 22/4
Tìm hiểu tổng quan về Ipsec,
cấu trúc bảo mật, hiện trạng
2.2
Chi tiết, thực hiện, ưu khuyết điểm của
IPsec
Từ ngày 23/4 đến ngày 29/4
Tìm hiểu hoạt động của
IPsec trong Ipv6
Chỉ ra những ưu, nhược
điểm
3
Thử nghiệm IPv6 và IPsec trên IPv6
trên mạng nội bộ đơn vị
3 tuần
Từ ngày 30/4 đến ngày 20/5
3.1
Xây dựng mô hình thử nghiệm IPv6 Từ ngày 1/5 đến ngày 6/5
Xây dựng hệ thống mạng nội
bộ 2 máy
Sử dụng HDH Win Server,
2K
3.2
Không gian địa chỉ thử nghiệm Từ ngày7./5 đến ngày 13./5
Thiết lập địa chỉ IP cho các
Windows Server 2008
client: win 2k8, ipv6
3.3
Thử nghiệm trao đổi thông tin qua IPsec
Ipv6 và báo cáo kết quả.
Từ ngày 14/5 đến ngày 20/5
Trao đổi thông tin qua IPsec
Ipv6
Xem kết quả
CÁN BỘ HƯỚNG DẪN
Hà Nội, ngày 30 tháng 3 năm 2012
SINH VIÊN
SV: Đặng Tuấn Linh _ CN107a3
Đặng Tuấn Linh
4
Đề tài thực tập IPsec trong IPv6
MỤC LỤC
Nội dung Trang
Lời cảm ơn 1
Bản đăng ký kế hoạch thực tập tốt nghiệp 2
Mục lục 3
Phần A : Giới thiệu đơn vị thực tập 4
Phần B : Nội dung thực tập 6
I. Phần giới thiệu chung 6
II. Phần trình bày 8
A. Tìm hiểu tổng quan về Ipv6 9
I/ Khái quát chung 9
II / Cấu trúc địa chỉ IPv6 9
1/ Unicast Address 10
2/ Anycast Address 12
3/ Multicast Address 14
4/ Các cách viết địa chỉ IPv6 16
B. Tìm hiểu về IPsec trong IPv6 10
1. Tổng quan 19
2. Kiến trúc IPSec: 20
3. Cấu trúc bảo mật 21
4. Hiện trạng 22
5. Technical details – chi tiết kỹ thuật 24
6. Implementations - thực hiện 27
7. Ưu khuyết điểm của IPSec 29
C. Thử nghiệm IPv6 và IPsec trên IPv6 qua mạng nội bộ đơn đơn vị 31
I/ Xây dựng mô hình thử nghiệm 31
1. Cấu hình thử nghiệm 31
2. Không gian mô hình 31
3. Dải địa chỉ IP thử nghiệm 32
II/ Cấu hình TCP/IPv6 32
III/ Cấu hình IP Sec 34
III. Phần kết luận 45
IV. Các thông tin nguyện vọng 49
Tài liệu tham khảo 50
SV: Đặng Tuấn Linh _ CN107a3
5
Đề tài thực tập IPsec trong IPv6
Phần A : GIỚI THIỆU ĐƠN VỊ THỰC TẬP
I. Chức năng
Viện Công nghệ Thông tin và truyền thông CDIT có nhiệm vụ: nghiên cứu,
phát triển, triển khai sản phẩm, chuyển giao công nghệ và đào tạo trong lĩnh vực Công
nghệ Thông tin phục vụ Ngành Bưu chính Viễn thông và xã hội.
II. Tổ chức
Được thành lập năm 1999 trong xu thế cạnh tranh và hội nhập toàn cầu, Viện
Công nghệ Thông tin và truyền thông CDIT, với vai trò là đơn vị nghiên cứu phát triển
hàng đầu trong lĩnh vực công nghệ thông tin, xác định: việc lĩnh hội, đúc kết và phát
huy tiềm năng, nội lực, làm chủ công nghệ là mục tiêu chiến lược nhằm thực hiện
thành công định hướng gắn kết Nghiên cứu - Đào tạo - Sản xuất Kinh doanh. CDIT đã
duy trì, phát triển và chiếm lĩnh thị trường trong nước với các sản phẩm đáp ứng tiêu
chí: Tiên tiến - Tương thích - Toàn cầu, thay thế sản phẩm nhập khẩu, nỗ lực đóng
góp cho sự phát triển của mạng lưới bưu chính viễn thông và công nghệ thông tin Việt
Nam, vươn mình hòa nhập với cộng đồng CNTT trong khu vực và trên thế giới.
Viện Công nghệ Thông tin và truyền thông CDIT được Tổng giám đốc Tổng
Công ty Bưu chính Viễn thông Việt Nam ký quyết định thành lập số 636/QĐ.TCCB-
LĐ ngày 22 tháng 3 năm 1999, trên cơ sở sắp xếp lại hai đơn vị thành viên của các
đơn vị trực thuộc Học viện Công nghệ Bưu chính Viễn thông :
1. Trung tâm Nghiên cứu Phát triển Phần mềm thuộc Viện KHKT Bưu điện;
2. Trung tâm Đào tạo Phát triển Phần mềm thuộc Trung tâm Đào tạo BCVT1
(cũ).
III. Các lĩnh vực hoạt động
Viện Công nghệ Thông tin và truyền thông CDIT hoạt động trên năm lĩnh vực
chính:
1. Nghiên cứu khoa học công nghệ;
2. Phát triển, triển khai công nghệ và sản phẩm;
3. Sản xuất phần mềm và thiết bị;
4. Tiếp nhận và chuyển giao công nghệ;
5. Đào tạo và bồi dưỡng nhân lực.
Sản phẩm tiêu biểu
SV: Đặng Tuấn Linh _ CN107a3
6
Đề tài thực tập IPsec trong IPv6
1. Nhóm các sản phẩm phục vụ khai thác mạng viễn thông và điều hành
SXKD
- Hệ thống tính cước và chăm sóc khách hàng BCSS
- Hệ thống quản lý mạng ngoại vi CABMAN/GIS
- Hệ thống khai thác và bảo dưỡng mạng OMC
- Hệ thống cắt mở dịch vụ tự động
- Hệ thống quản lý bảo dưỡng báo hỏng tự động 119
- Hệ thống phần mềm bảo mật ứng dụng công nghệ nhận dạng vân tay
- Hệ thống báo cáo số liệu VRS
2. Nhóm các sản phẩm cho mạng Viễn thông
- Hệ thống tổng đài VINEX 1000 (1024 số)
- Hệ thống máy chủ Thông tin đa phương tiện MUCOS
- Hệ thống Nhắn tin 1570 và nhắn tin ngắn qua mạng thông tin di động
SMSC
- Hệ thống nhắn tin đa phương tiện MMSC
- Hệ thống Thông tin giáo dục
- Hệ thống Tổng đài Thế hệ sau đa dịch vụ chuyển mạch mềm
3. Nhóm các sản phẩm phục vụ bưu chính
- Giải pháp tổng thể ứng dụng CNTT cho Bưu chính
- Hệ thống mạng và phần mềm phục vụ chuyển tiền CT2003
4. Nhóm sản phẩm trên nền Internet
- Giải pháp mạng Intranet COSA/ISP
- Hệ thống thanh toán qua ngân hàng INFOGATE
Thị trường chính
- Công ty mẹ - Tập đoàn Bưu chính Viễn thông Việt Nam
- Các công ty con, công ty liên kết của Tập đoàn Bưu chính Viễn thông Việt
Nam
- Tập đoàn Điện lực Việt Nam
- Các ngân hàng:VCB, TechComBank
- Các công ty viễn thông: VietTel, HanoiTelecom
SV: Đặng Tuấn Linh _ CN107a3
7
Đề tài thực tập IPsec trong IPv6
Phần B : NỘI DUNG THỰC TẬP
I. Phần giới thiệu chung
Địa chỉ IPv4 được thiết kế có chiều dài 32 bit và có thể cung cấp khoảng 4 tỉ địa
chỉ cho hoạt động mạng toàn cầu. Địa chỉ IPv4 đã đồng hành với việc phát triển như
vũ bão của hoạt động Internet trong hơn hai thập kỷ vừa qua. Song nguồn tài nguyên
IPv4 sắp cạn kiệt trước tốc độ tiêu thụ quá nhanh của toàn cầu trước nhu cầu phát triển
không ngừng các dịch vụ mới đòi hỏi kết nối băng thông rộng với địa chỉ IP cố định (tỉ
lệ sử dụng địa chỉ/khách hàng là 1:1), cũng như đòi hỏi tham gia kết nối mạng của đa
dạng thiết bị (thiết bị số dùng cho cá nhân PDA, điện thoại di động, đồ dùng điện tử, ô
tô, tàu thủy, xe lửa, máy bay ). Bên cạnh nguy cơ cạn kiệt nguồn IPv4, xu hướng hội
nhập mạng viễn thông và Internet với khái niệm mạng thế hệ mới “Next Generation
Network” đã khiến IPv4 bộc lộ một số hạn chế trong cấu trúc thiết kế , khiến những
nhà nghiên cứu, những tổ chức tiêu chuẩn hóa chịu trách nhiệm về hoạt động mạng
toàn cầu nhận thấy cần có sự phát triển lên một tầm cao hơn của giao thức Internet.
IPv6 (Internet protocol version 6) là phiên bản địa chỉ Internet mới, được thiết kế để
thay thế cho phiên bản IPv4, với hai mục đích cơ bản:
- Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet.
- Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4.
IPv6 được thiết kế với những tham vọng và mục tiêu như sau:
- Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ.
- Khôi phục lại nguyên lý kết nối đầu cuối-đầu cuối của Internet và loại bỏ hoàn
toàn công nghệ NAT
- Quản trị TCP/IP dễ dàng hơn: DHCP được sử dụng trong IPv4 nhằm giảm cấu
hình thủ công TCP/IP cho host. IPv6 được thiết kế với khả năng tự động cấu hình mà
không cần sử dụng máy chủ DHCP, hỗ trợ hơn nữa trong việc giảm cấu hình thủ công.
- Cấu trúc định tuyến tốt hơn: Định tuyến IPv6 được thiết kế hoàn toàn phân cấp.
- Hỗ trợ tốt hơn Multicast: Multicast là một tùy chọn của địa chỉ IPv4, tuy nhiên khả
năng hỗ trợ và tính phổ dụng chưa cao.
- Hỗ trợ bảo mật tốt hơn: IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết
rõ nhau kết nối với nhau. Do vậy bảo mật chưa phải là một vấn đề được quan tâm.
Song hiện nay, bảo mật mạng internet trở thành một vấn đề rất lớn, là mối quan tâm
hàng đầu.
- Hỗ trợ tốt hơn cho di động: Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm
SV: Đặng Tuấn Linh _ CN107a3
8
Đề tài thực tập IPsec trong IPv6
về thiết bị IP di động. Trong thế hệ mạng mới, dạng thiết bị này ngày càng phát triển,
đòi hỏi cấu trúc giao thức Internet có sự hỗ trợ tốt hơn.
-Tên chủ đề thực tập
IPsec trong IPv6
-Mục tiêu
- Chỉ ra được tổng quan về địa chỉ IPv6
- Chỉ ra được tính bảo mật trong IPv6
- Tạo được mô hình thử nghiệm Ipsec trong Ipv6
-Nội dung
1. Tìm hiểu tổng quan về IPv6
Cấu trúc địa chỉ IPv6
Các cách viết địa chỉ IPv6
2. Tìm hiểu về IPsec trong IPv6
Tổng quan
Kiến trúc IPSec
Cấu trúc bảo mật
Hiện trạng
Chi tiết kỹ thuật
Thực hiện
Ưu khuyết điểm của IPSec
3. Thử nghiệm IPv6 và IPsec trên IPv6 trên mạng nội bộ đơn vị
Xây dựng mô hình thử nghiệm IPv6
Không gian địa chỉ thử nghiệm
Thử nghiệm trao đổi thông tin qua IPsec Ipv6 và báo cáo kết quả
- Kết quả cần đạt:
1. Hiểu về tổng quan của Ipv6
2. Hiểu về Ipsec trong Ipv6
3. Sử dụng và bắt được bản tin trong Ipv6
SV: Đặng Tuấn Linh _ CN107a3
9
Đề tài thực tập IPsec trong IPv6
II. Phần trình bày
MỞ BÀI
Sự phát triển của khoa học kĩ thuật trên thế giới đã đạt được những thành tựu to
lớn trên nhiều lĩnh vực khác nhau. Trong đó phải kể đến là sự phát triển nhanh chóng
của công nghệ chế tạo điện tử và vi điện tử đã tạo ra được những thiết bị mạng, máy
tính với khả năng xử lý ngày càng cao.
Sự phát triển rất nhanh của mạng Internet toàn cầu. Mạng Internet đã tạo ra một
môi trường hoạt động toàn cầu cho tất cả mọi người tham gia, gần như xóa đi biên giới
giữa các quốc gia, thu ngắn lại khoảng cách địa lý
Một trong những vấn đề quan trọng mà kĩ thuật mạng trên thế giới đang phải
nghiên cứu giải quyết là đối mặt với sự phát triển với tốc độ quá nhanh của mạng lưới
Internet toàn cầu. Sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những dịch
vụ mới, kết nối nhiều mạng với nhau, như mạng di động với mạng Internet đã đặt ra
nhiều vấn đề trong đó việc bảo mật tài nguyên luôn luôn được nghiên cứu và phát triển
nhằm tránh rủi ro do khách quan hoặc chủ quan. Nhằm giải quyết vấn đề này, IPv6
được ra đời với mục đích thay thế hoàn toàn và khắc phục các nhược điểm của IPv4.
Sự ra đời của IPv6 đánh dấu một bước ngoặt lớn về hệ thống thông tin mạng toàn cầu.
Do đó em lựa chọn đề tài “ IPsec trong Ipv6”.
Và để hiểu rõ hơn về tính bảo mật trong IPv6, em xin trình bày kết quả tìm
kiếm, học hỏi của mình với sự hướng dẫn tận tình của thầy Đỗ Đức Huy, Viện công
nghệ thông tin và truyền thông CDIT.
SV: Đặng Tuấn Linh _ CN107a3
10
Đề tài thực tập IPsec trong IPv6
THÂN BÀI
A. TÌM HIỂU TỔNG QUAN VỀ IPv6
I/ KHÁI QUÁT CHUNG .
Địa chỉ thế hệ mới của Internet - IPv6 (IP address version 6) được Nhóm chuyên trách
về kỹ thuật IETF (Internet Engineering Task Force) của Hiệp hội Internet đề xuất thực
hiện kế thừa trên cấu trúc và tổ chức của IPv4 .
IPv4 có 32 bít địa chỉ với khả năng lý thuyết có thể cung cấp một không gian địa chỉ là
232 = 4 294 967 296 địa chỉ. Còn IPv6 có 128 bit địa chỉ dài hơn 4 lần so với IPv4
nhưng khả năng lý thuyết có thể cung cấp một không gian địa chỉ là 2™ = 340 282
366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều hơn không gian địa chỉ
của IPv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn số là 4.109 còn 2128 lấy tròn số là
340.10 36 ( khoảng 340 tỷ tỷ tỷ tỷ địa chỉ ). Số địa chỉ này nếu rải đều trên bề mặt quả
đất thì mỗi mét vuông có khoảng 665 570 tỷ tỷ địa chỉ (665 570 .10 18) vì diện tích bề
mặt quả đất khoảng 511 263 tỷ mét vuông .
Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho Internet màcòn cho
tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm chí cho
từng vật dụng trong gia đình. Người ta nói rằng từng chiếc điều hoà, tủ lạnh, máy giặt
hay nồi cơm điện v.v của từng gia đình một cũng sẽ mang một điạ chỉ IPv6 để chủ
nhân của chúng có thể kết nối và ra lệnh từ xa . Nhu cầu hiện tại chỉ cần 15% không
gian địa chỉ IPv6 còn 85% dự phòng cho tương lai .
II / CẤU TRÚC ĐỊA CHỈ IPV6 .
Địa chỉ IPv4 được chia ra 5 lớp A,B,C,D,E còn IPv6 lại được phân ra là 3 loại
chính sau .
1/ Unicast Address. Địa chỉ đơn hướng. Là địa chỉ dùng để nhận dạng từng
Node một ( Node - Điểm Nút là tập hợp các thiết bị chuyển mạch nằm ở trung tâm như
Router chẳng hạn ), cụ thể là một gói số liệu được gửi tới một địa chỉ đơn hướng sẽ
được chuyển tới Node mang địa chỉ đơn hướng - Unicast đó.
2/ Anycast Address. Địa chỉ bất kỳ hướng nào. Là địa chỉ dùng để nhận dạng
một "Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành, cụ thể là một gói số
SV: Đặng Tuấn Linh _ CN107a3
11
Đề tài thực tập IPsec trong IPv6
liệu được gửi tới một địa chỉ "Bất cứ hướng nào" sẽ được chuyển tới một Node gần
nhất trong Tập hợp Node mang địa chỉ anycast đó .
3/ Multicast Address. Địa chỉ đa hướng. Là địa chỉ dùng để nhận dạng một
"Tập hợp Node " bao gồm nhiều Node khác nhau hợp thành, cụ thể là một gói số liệu
được gửi tới một địa chỉ " đa hướng" sẽ được chuyển tới tất cả các Node trong Tập
hợp Node mang địa chỉ Multicast đó .
1. Unicast Address .
Trong loại địa chỉ này lại có rất nhiều kiểu, chúng ta hay xem một số kiểu chính sau
đây .
a / Local - use unicast address. Địa chỉ đơn hướng dùng nội bô, được sử dụng
cho một Tổ chức có mạng máy tính riêng ( dùng nội bô ) chưa nối với mạng Internet
toàn cầu hiện tại nhưng sẵn sàng nối được khi cần .
Địa chỉ này chia thành hai kiểu Link Local - nhận dạng đường kết nối nội bộ và
Site Local - nhận dạng trong phạm vi nội bộ có thể có nhiều nhóm Node - Subnet).
*/- Mẫu địa chỉ cho Link Local .
128 bit
10 Bit 54 Bit 64 Bit
1111111010
00000 . . .
. . 0000
Interface ID
Hình vẽ 1. Cấu trúc địa chỉ của Link Local .
*/- Mẫu địa chỉ cho Site Local
10 Bit
38 Bit
16 Bit
64 Bit
1111111011
00000 . .0
Subnet ID
Interface ID
Hình vẽ 2: Cấu trúc địa chỉ của Site Local .
Các bit đầu tiên (trường hợp này là 10 bit) tương tự như các bit nhận dạng lớp địa chỉ
(Class Bit) của IPv4 nhưng ở IPv6 được gọi là Prefix dùng để phân biệt các loại, các
kiểu địa chỉ khác nhau trong IPv6 .
Trong cả hai trường hợp nêu trên trường Interface ID để nhận dạng thiết bị như Node
hay Router nhưng đều sử dụng cùng tên Miền .
SV: Đặng Tuấn Linh _ CN107a3
12
Đề tài thực tập IPsec trong IPv6
b / IPX Address: Internework Packet eXchange, trao đổi các gói số liệu giữa
các mạng - giao thức cơ bản trong hệ điều hành Novell Netware. Địa chỉ IPX được
chuyển sang IPv6 theo dạng sau.
Hình vẽ 3: Cấu trúc địa chỉ IPX .
c/ IPv6 Address with embedded IPv4. Địa chỉ IPv6 gắn kèm IPv4 .
Đây là một cấu trúc quan trọng trong bước chuyển tiếp đổi từ địa chỉ cũ sang địa chỉ
mới trên Internet. Có hai kiểu sau .
*/- Kiểu địa chỉ "IPv4 tương thích với IPv6" . Những Node mang địa chỉ IPv6 sử dụng
kiểu địa chỉ này để tải địa chỉ IPv4 ở 32 bit sau như vậy mới kết nối được với các
Node mang địa chỉ IPv4 .
Hình vẽ 4: Cấu trúc địa chỉ IPv4 tương thích với IPv6
*/- Kiểu địa chỉ "IPv4 giả làm IPv6 ". Những Node mang địa chỉ IPv4 sử dụng kiểu
địa chỉ này để tương thích với IPv6 có vậy mới kết nối được với các Node mang địa
chỉ IPv6 .
Hình vẽ 5: Cấu trúc địa chỉ IPv4 giả làm IPv6
Sự khác nhau của hai kiểu địa chỉ này là 16 bit của kiểu thứ nhất giá trị tất cả các bit
đều = 0, còn kiểu thứ hai giá trị tất cả các bit đều = 1 (Mã Hexal là FFFF) .
d/ Aggregate Global Unicast Address . Địa chỉ đơn hướng trên mạng toàn cầu.
Kiểu địa chỉ này được thiết kế để cho cả ISP hiện tại và tương lai, ISP trong tương lai
SV: Đặng Tuấn Linh _ CN107a3
13
Đề tài thực tập IPsec trong IPv6
có quy mô lớn hơn, như là các Internet Carrier.Trường hợp này được gọi là các Trung
tâm chuyển đổi (Exchanges )trên Internet, cung cấp khả năng truy nhập và dịch vụ
Internet cho cả khách hàng (end user) lẫn ISP, hiện tại một số công ty lớn của Mỹ đã
có quy mô này .
3 Bit 13 Bit 32Bit 16 Bit 64 Bit
FP
TLA ID
NLA ID
SLA ID
Interface ID
Hình vẽ 6: Cấu trúc địa chỉ đơn hướng trên mạng toàn cầu.
FP: Format Prefix. Nhận dạng kiểu địa chỉ .
Interface ID. Nhận dạng Node .
SLA ID - Site Level Aggregate. Nhận dạng cấp vùng .
NLA ID - Next Level Aggregate. Nhận dạng cấp tiếp theo.
TLA ID - Top Level Aggregate. Nhận dạng cấp cao nhất.
2. Anycast Address.
Kiểu địa chỉ này cũng tương tự như Unicast, nếu địa chỉ phân cho một Node thì đó là
Unicast, cùng địa chỉ đó phân cho nhiều Node thì đó lại là Anycast. Vì địa chỉ Anycast
để phân cho một Nhóm Node bao gồm nhiều Node hợp thành (một Subnet). Một gói
số liệu gửi tới một địa chỉ Anycast sẽ được chuyển tới một Node (Router) gần nhất
trong Subnet mang địa chỉ đó.
Hình 7: Cấu trúc địa chỉ Anycast.
Địa chỉ đa hướng của IPv6 để nhận dạng một Tập hợp Node nói cách khác một nhóm
Node. Từng Node một trong nhóm đều có cùng địa chỉ như nhau. Hình 8 .
8 Bit
4 Bit
4 Bit
112 Bit
11111111
Flgs
Scop
Group ID
Hình 8: Cấu trúc địa chỉ đa hướng
8 bít Prefix đầu tiên để nhận dạng kiểu địa chỉ đa hướng, 4 bit tiếp (Flgs) cho 4 cờ với
giá trị .
SV: Đặng Tuấn Linh _ CN107a3
14
Đề tài thực tập IPsec trong IPv6
0 0 T ba bit đầu còn chưa dùng đến nên = 0, còn bit thứ 4 có giá trị T. Nếu T =0 có
nghĩa địa chỉ này đã được NIC phân cố định.
Nếu T = 1 có nghĩa đây chỉ là địa chỉ tạm thời. Bốn bit tiếp (Scop) có giá trị thập phân
từ 0 đến 15, tính theo Hexal là từ 0 đến F
Nếu giá trị của Scop = 1 . Cho Node Local .
= 2 . Cho Link Local .
= 5 . Cho Site Local .
= 8 . Organizition Local .
= E . Global scop - Điạ chỉ Internet toàn cầu .
Còn lại đều đang dự phòng .
Ví dụ: Các mạng LAN đang dùng theo chuẩn IEEE 802 MAC (Media Access Control)
khi dùng IPv6 kiểu đa hướng sẽ sử dụng 32 bit cuối trong tổng số 112 bit dành cho
nhận dạng nhóm Node (Group ID) để tạo ra địa chỉ MAC, 80 bit còn lại chưa dùng tới
phải đặt = 0.
Hình 9: Cấu trúc địa chỉ MAC của LAN
SV: Đặng Tuấn Linh _ CN107a3
15
Đề tài thực tập IPsec trong IPv6
3. Multicast Address.
Địa chỉ Multicast Ipv6 được thiết kế để thực hiện cả các chức năng broadcast và
multicast. Do vậy có nhiều dạng địa chỉ multicast Ipv6. Có những dạng địa chỉ
multicast mà bất kỳ Node Ipv6 nào cũng phải nhận lưu lượng. Những địa chỉ multicast
này phục vụ cho những quy trình hoạt động thiết yếu của Ipv6. Những dạng địa chỉ
multicast IPv6 khác sử dụng trong công nghệ truyền gói tin tới nhiều đích cùng lúc,
như công nghệ multicast của Ipv4
Mỗi dạng địa chỉ multicast IPv6 đều có phạm vi hoạt động nhất định. Lưu
lượng của địa chỉ multicast Ipv6 sẽ được chuyển tới toàn bộ các node trong một phạm
vị nào đó hay chỉ chuyển tới nhóm các node trong phạm vi là tùy thuộc vào dạng địa
chỉ multicast.
Hình 10: Cấu trúc địa chỉ IPv6 multicast
Bảng 1: Địa chỉ multicast mọi node
SV: Đặng Tuấn Linh _ CN107a3
16
Đề tài thực tập IPsec trong IPv6
Hình 11: Multicast trong phạm vi một đường kết nối
Bảng 2: Multicast tới mọi router
SV: Đặng Tuấn Linh _ CN107a3
Địachỉ IPv6
multicast
Têngọi Giátrị Scope
Giátrị Group
ID
Chú thích
FF01::2
Địa chỉ multicast
mọi router phạm
vi node
1 (Xác định
phạm vi trong
một thiết bị)
2 (Xác định
nhóm multicast
mọi router)
FF02::2
Địa chỉ multicast
mọi router phạm
vi link
2 (Xác định
phạm vi một
đường kết nối)
2 (Xác định
nhóm multicast
mọi router)
Xác định mọi
router IPv6 trong
phạm vi một
đường kết nối
FF05::2
Địa chỉ multicast
mọi router phạm
vi site
5 (Xác định
phạm vi một
mạng)
2 (Xác định
nhóm multicast
mọi router)
Xác định mọi
router IPv6 trong
phạm vi một
mạng
17
Đề tài thực tập IPsec trong IPv6
4. Các cách viết địa chỉ IPv6
Địa chỉ IPv6 có chiều dài 128 bit, nên vấn đề nhớ địa chỉ là hết sức khó khăn. Nếu viết
theo dạng thông thường của địa chỉ IPv4 thì một địa chỉ IPv6 có 16 nhóm số hê cơ số
10. Do vậy, các nhà thiết kế đã chọn cách viết 128 bit địa chỉ thành 8 nhóm, mỗi nhóm
chiếm 2 bytes, mỗi bytes biểu diễn bằng 2 số hê 16; mỗi nhóm ngăn cách nhau bởi dấu
hai chấm. Ví dụ: FEDL:BA98:7 654:FEDC:BA98:7 654:3210:ABCD Ký hiêu hexa có
lợi là gọn gàng và nhìn đẹp hơn. Tuy nhiên cách viết này cũng gây những phức tạp
nhất định cho người quản lý hê thống mạng. Nhìn chung, mọi người thường sử dụng
theo tên các host thay bằng các địa chỉ (điều này được áp dụng từ IPv4 khi mà địa chỉ
còn đơn giản hơn rất nhiều).
Một cách để làm cho đơn giản hơn là các qui tắc cho phép viết tắt. Vì khởi điểm ban
đầu chúng ta sẽ không sử dụng tất cả 128bit chiều dài địa chỉ do đó sẽ có rất nhiều số 0
(không) ở các bits đầu.
Một cải tiến đầu tiên là được phép bỏ qua những số không đứng trước mỗi thành phần
hê 16, viết 0 thay vì viết đầy đủ 0000, ví dụ viết 8 thay vì 0008, viết 800 thay vì 0800.
Qua cách viết này cho chúng ta những địa chỉ ngắn gọn hơn. Ví dụ:
1080:0:0:0:8:800:200C: 417A.
Ngoài ra, xuất hiên một qui tắc rút gọn khác đó là quy ước về viết hai dấu hai chấm
(double-colon). Trong một địa chỉ, một nhóm liên tiếp các số 0 có thể được thay thế
bởi hai hai dấu chấm. Ví dụ, ta có thể thay thế 3 nhóm số 0 liên tiếp trong ví dụ trước
và được một mẫu ngắn hơn. 1080::8:800:200C:417A
Từ địa chỉ viết tắt này, ta có thể viết lại địa chỉ chính xác ban đầu nhờ qui tắc sau:
Căn trái các số bên trái của dấu 2 chấm kép trong địa chỉ. Sau đó căn phải tất cả các số
bên phải dấu 2 chấm và điền đầy bằng các số 0.
Ví dụ : FEDC:BA98::7654:3210 có địa chỉ đầy đủ là: FEDC:BA98:0:0:0:0:7654:3210
FEDC:BA98:7654:3210: : có địa chỉ đầy đủ là : FEDC:BA98:7654:3210:0:0:0:0
::FEDC:BA98:7654:3210 có địa chỉ đầy đủ là: 0:0:0:0:FEDC:BA98:7654:32l0
Quy ước hai dấu chấm kép chỉ có thể được sử dụng một lần với một địa chỉ.
Ví dụ 0:0:0:BA98:7654:0:0:0 có thể được viết tắt thành ::BA98:7654:0:0:0 hoặc
0:0:0:0:BA98:7654:: nhưng không thể viết là ::BA98:7654:: vì như thế sẽ gây nhầm
lẫn khi dịch ra địa chỉ đầy đủ.
SV: Đặng Tuấn Linh _ CN107a3
18
Đề tài thực tập IPsec trong IPv6
Có một số địa chỉ IPv6 có được hình thành bằng cách gắn 96 bit 0 vào địa chỉ IPv4.
(Điều này dễ dàng nhận biết được vì không gian địa chỉ IPv4 chỉ là một tập con của
tập địa chỉ IPv6). Để giảm nhỏ nguy cơ nhầm lẫn trong chuyển đổi giữa ký hiêu chấm
thập phân của IPv4 và hai dấu chấm thập phân của ký hiêu IPv6, các nhà thiết kế IPv6
cũng đã đưa ra một khuôn mẫu đặc biêt cho cách viết những địa chỉ loại này như sau:
Thay vì viết theo cách của địa chỉ IPv6 là:
0:0:0:0:0:0:A00:1
ta có thể vẫn để 32 bit cuối theo mẫu chấm thập phân.
::10.0.0.1
Ngoài ra, còn có thể viết địa chỉ mạng theo các tiền tố, là các bit cao của địa chỉ IPv6;
Điều này có lợi trong viêc định tuyến: một địa chỉ IPv6 theo sau bởi một dấu chéo và
một số hệ 10 mô tả chiều dài các bit tiền tố. Ví dụ ký hiệu:
FEDC:BA98:7600::/40
mô tả một tiền tố dài 40 bit giá trị nhị phân tương ứng là:
1111111011100101110101001100001110110
SV: Đặng Tuấn Linh _ CN107a3
19
Đề tài thực tập IPsec trong IPv6
Phương thức gán đia chỉ IPv6
Theo đặc tả của giao thức IPv6, tất cả các loại địa chỉ IPv6 được gán cho các giao
diện, không gán cho các nodes (khác với IPv4). Một địa chỉ IPv6 loại Unicast (gọi tắt
là địa chỉ Unicast) được gán cho một giao diện đơn. Vì mỗi giao diện thuộc về một
node đơn do vậy, mỗi địa chỉ Unicast định danh một giao diện sẽ định danh một node.
Một giao diện đơn có thể được gán nhiều loại địa chỉ IPv6 (cho phép cả 3 dạng địa chỉ
đồng thời Unicast, anycast, multicast). Nhưng nhất thiết một giao diện phải được gán
một địa chỉ IPv6 dạng Unicast link-local. Các nhóm địa chỉ của dạng địa chỉ Unicast
sẽ được trình bày ở phần sau. Để thực hiện các kết nối Point - to - point giữa các giao
diện người ta thường gán các địa chỉ dạng Unicast link-local cho các giao diện thực
hiện kết nối.
Đồng thời, IPv6 còn cho phép một địa chỉ unicast hoặc một nhóm địa chỉ unicast sử
dụng để định danh một nhóm các giao diện. Với phương thức gán địa chỉ này, một
nhóm giao diện đó được hiểu như là một giao diện trong tầng IP.
Theo thiết kế của IPv6, một host có thể định danh bởi các địa chỉ sau:
Một địa chỉ link-local cho mỗi giao diện gắn với host đó
Một địa chỉ Unicast được cung cấp bởi các nhà cung cấp dịch vụ
Một địa chỉ loopback
Một địa chỉ Multicast, mà host đó là thành viên trong nhóm có địa chỉ Multicast
đó.
Một router nếu hỗ trợ IPv6 sẽ nhận biết được tất cả các loại địa chỉ mà host chấp
nhận kể trên, ngoài ra nó còn có thể được gán các loại địa chỉ như sau:
• Tất cả các địa chỉ Multicast được gán trên Router
• Tất cả các địa chỉ Anycast được cấu hình trên Router
• Tất cả các địa chỉ Multicast của về các nhóm thuộc về router quản lý.
SV: Đặng Tuấn Linh _ CN107a3
20
Đề tài thực tập IPsec trong IPv6
B. TÌM HIỂU VỀ IPSec TRONG IPv6
IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình
truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã
hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình
truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác
thực.
Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay.
Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống
mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa
chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của
mạng Internet.
1. Tổng quan
Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình
OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện
từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính
mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết
các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các
phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử
dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng
SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng
dụng đó sẽ bị thay đổi lớn.
SV: Đặng Tuấn Linh _ CN107a3
21
Đề tài thực tập IPsec trong IPv6
2. Kiến trúc IPSec:
IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau như
mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa trên
các thành phần cơ bản sau đây, mỗi thành phần được định nghĩa trong một tài liệu
riêng tương ứng:
- Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu
của IPSec.
- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và xác
thực thông tin trong IPSec.
- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gần giống
ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH,
mỗi giao thức có ưu và nhược điểm riêng.
- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trong
IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.
- Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng trong AH
SV: Đặng Tuấn Linh _ CN107a3
22
Đề tài thực tập IPsec trong IPv6
và ESP.
- Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong IPSec.
- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi
IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế,
giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ
hoạt động khác nhau. Việc xác định một tập các chế độ cần thiết để triển khai IPSec
trong một tình huống cụ thể là chức năng của miền thực thi.
Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với IP
nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác
thực gói dữ liệu. Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành
phần:
-Giao thức đóng gói, gồm AH và ESP
-Giao thức trao đổi khoá IKE (Internet Key Exchange)
3. Cấu trúc bảo mật
IPsec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographic
protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xác
thực và (3) thiết lập các thông số mã hoá.
Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp
bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá –
keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các
giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình
giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người
quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và
xác thực cho mỗi gói tin IP.
Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho
một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter
Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một
cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt
chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của
một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin. Một quá
trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện
quá trình giải mã và kiểm tra các khoá từ SADB.
Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và
thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo
SV: Đặng Tuấn Linh _ CN107a3
23
Đề tài thực tập IPsec trong IPv6
mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép
thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả
hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi
đi trong dữ liêu. Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa
chọn việc nhân bản từ group tới các cá nhân.
4. Hiện trạng
IPsec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng IPv4.
Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện
nay là áp dụng và triển khai trên nền tảng IPv4.
Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến
năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không
tương thích với chuẩn 1825 – 1929. Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn
IPSec, RFC 4301 – 4309. Cũng không khác nhiều so với chuẩn RFC 2401 – 2412
nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ mới này IP security
cũng được viết tắt lại là IPsec.
Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC
1825 – 1829 là ESP còn phiên bản mới là ESPbis.
IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa
các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal)
cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN.
IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiều trong
giao tiếp. Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa hai mode
này.
Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm và
phải chờ đợi rất lâu. Một phần bở lý do tính phổ thông của no không cao, hay không
thiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này.
IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:
1. Mã hoá quá trình truyền thông tin
2. Đảm bảo tính nguyên ven của dữ liệu
3. Phải được xác thực giữa các giao tiếp
4. Chống quá trình replay trong các phiên bảo mật.
5. Modes – Các mode
SV: Đặng Tuấn Linh _ CN107a3
24
Đề tài thực tập IPsec trong IPv6
Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode.
Transport Mode (chế độ vận chuyển)
- Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP, UDP
hoặc ICMP). Trong Transport mode, phần IPSec header được chèn vào giữa phần IP
header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP
sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được mã hóa
và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được dùng khi cả
hai host hỗ trợ IPSec. Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho
mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối
cùng của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung
gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã
hóa, làm giới hạn khả năng kiểm tra của gói.
- Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn
bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header
được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Toàn bộ gói IP ban
đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung
quanh gói dữ liệu. Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệu mới của gói
IP mới. Chế độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động
như một IPSec proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã
hóa các packets và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban
đầu và chuyển nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn chính là
gateway.
- Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể
SV: Đặng Tuấn Linh _ CN107a3
25