LỜI CẢM ƠN
Để hoàn thành được đồ án tốt nghiệp, em đã nhận được rất nhiều sự giúp đỡ
của quý thầy cô, các anh chị khóa trên, các bạn ở trường ĐH CNTT &TT và các
anh, chị, cô, chú làm việc tại VNPT Thái Nguyên. Trước tiên cho em xin chân
thành cảm ơn Ban giám hiệu trường ĐH CNTT &TT đã giúp đỡ và tạo điều kiện
thuận lợi cho em trong quá trình thực hiện đồ án nghiên tốt nghiệp này.
Em xin bày tỏ lòng biết ơn sâu sắc về sự giúp đỡ tận tình của thầy cô trong
bộ môn Mạng và Truyền Thông, đặc biệt là thầy Ths. Trần Duy Minh đã định
hướng và giúp đỡ em rất nhiều trong quá trình thực hiện đồ án tốt nghiệp này.
Em xin cảm ơn ban lãnh đạo, các anh chị, cô chú làm việc tại VNPT Thái
Nguyên, đã nhiệt tình giúp đỡ, hướng dẫn em trong quá trình thực tập và tạo điều
kiện cho em hoàn thành đồ án tốt nghiệp này.
Mặc dù đã có nhiều cố gắng, song do kiến thức bản thân còn nhiều hạn chế
và kinh nghiệm thực tế còn ít, nên trong quá trình thiết kế đồ án em khó tránh
khỏi những sai sót nhất định. Vì vậy, em rất mong có được sự chỉ bảo và đóng
góp ý kiến của các thầy cô và các bạn để em có thể tích lũy kiến thức và kinh
nghiệm.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Nguyễn Đức Đại

1


LỜI CAM ĐOAN
Em xin cam đoan kết quả đạt được trong đồ án là sản phẩm của riêng cá
nhân em, không sao chép lại của người khác. Trong toàn bộ nội dung của đồ án,
những điều được trình bày là của cá nhân em hoặc là được tổng hợp từ nhiều
nguồn tài liệu tham khảo. Tất cả tài liệu tham khảo đều có xuất xứ rõ ràng và
được trích dẫn hợp pháp. Em xin chịu hoàn toàn trách nhiệm và chịu mọi hình
thức kỷ luật theo quy định cho lời cam đoan của mình.

Sinh viên thực hiện

Nguyễn Đức Đại

MỤC LỤC

2


DANH MỤC ẢNH

3


DANH MỤC CÁC TỪ VIẾT TẮT
AH
DA
DNS
DHCP
DoS
EIGRP
GRU
ICMP

Authentication Header
Destination Address
Domain Name System
Dynamic Host Configuration Protocol
Denial of Services

Enhanced Interior Gateway Routing
Protocol
Globally Routable Unicast
Internet Control Message Protocol

IETF

Internet Engineering Task Force

IPV6
IPSec
NA
NAT
LAN
MAC

Internet Protocol Version 6
Internet Protocol Security
Neighbor Advertisement
Network Address Translation
Local Area Network
Medium Access Control

NLA
NSAP

Next Level Aggregator
Network service Access Point

QoS

OSPF
RIP
SPI
SLA
TLA
TCP
TFTP
TLS
UDP
TTL

Quality of Service
Open Shortest Path First
Routing Information Protocol
Security Parameter Index
Service Level Agreement
Top Level Aggregator
Transmission Control Protocol
Trivial File Transfer Protocol
Transport Level Security
User Data Protocol
Time to Live

4

Giao thức tiêu đề xác thực
Địa chỉ đí
Hệ thống tên miền
Giao thức cấu hình Host hoạt động
Từ chối dịch vụ

Khả định tuyến toàn cầu
Giao thức điều khiển thông điệp
Internet
Lực lượng chuyên trách về kỹ thuật
liên mạng
Giao thức internet phiên bản 6
Quảng bá của nút mạng lân cận
Chuyển dịch địa chỉ mạng
Mạng cục bộ
Kiểm soát truy nhập môi trường
truyền thông
Địa chỉ điểm truy nhập dịch vụ
mạng
Chất lượng dịch vụ
Giao thức định tuyến thông tin
Chỉ số thông số an ninh
Cam kết về dịch vụ
Giao thức điều khiển truyền tải
Giao thức truyền file bình thường
An ninh mức truyền tải
Giao thức dữ liệu người dùng
Thời gian sống


LỜI NÓI ĐẦU
Sau hơn 15 năm chính thức kết nối Internet toàn cầu, Internet Việt Nam đã
có bước phát triển nhanh chóng và đóng vai trò ngày càng to lớn trong đời sống
xã hội, mang lại nhiều lợi ích cho người sử dụng, cho doanh nghiệp và góp phần
quan trọng nâng cao chất lượng cuộc sống người dân và phát triển kinh tế xã hội
của đất nước. Tuy nhiên, sự bùng nổ của Internet trong những năm gần đây đã

dẫn đến nguồn tài nguyên địa chỉ Internet IPv4 được tiêu thụ một cách nhanh
chóng. Với tổng số khoảng hơn 4 tỷ địa chỉ IPV4, cộng đồng Internet toàn cầu
đang đứng trước nguy cơ cạn kiệt địa chỉ IPV4 trong khoảng từ 2 đến 4 năm nữa
(theo số liệu công bố của Trung tâm Thông tin mạng Châu Á – Thái Bình
Dương).
Dựa vào tình trạng thực tế thì chuyển đổi giao thức IPV4 sang IPV6 là một
vấn đề cần thiết cho các doanh nghiệp hiện nay nhất là các nhà cung cấp mạng
như VNPT và VIETTEL. Và em chọn đề tài nghiên cứu và triển khai IPV6 cho
các doanh nghiệp làm đề tài cho đồ án tốt nghiệp của mình.
Em may mắn được thực tập tại trung tâm viễn thông VNPT Thái Nguyên,
có cơ hội được khảo sát trực tiếp hệ thống mạng từ cơ sở hạ tầng, cơ sở vật chất
và các thiết bị của hệ thống. Sau khi khảo sát và đánh giá hiện trạng hệ thống
mạng nghiệp vụ của VNPT Thái Nguyên, em đã đưa ra một số giải pháp cải tiến
mạng, sau đó đề xuất áp dụng IPv6 trong cấu hình hệ thống mạng trong tương lai.
Đây cũng là toàn bộ nội dung đồ án tốt nghiệp của em “Nghiên cứu về IPv6 và
đề xuất áp dụng trong cấu hình hệ thống mạng nghiệp vụ VNPT Thái
Nguyên”. Đồ án gồm các nội dung sau:
Chương 1: Tổng quan về mạng máy tính
Chương 2: Tổng quan về địa chỉ ipv6
Chương 3: Khảo sát và đề xuất giải pháp cải tiến, áp dụng cấu hình ipv6
trong triển khai hệ thống mạng nghiệp vụ VNPT Thái Nguyên.

5


CHƯƠNG 1
TỔNG QUAN MẠNG MÁY TÍNH

1.1 Giới thiệu mạng máy tính
1.1.1 Định nghĩa

Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một
cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau.

Hình 1.1: Mô hình mạng cơ bản
1.1.2 Kiến trúc mạng
Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm được nối vào
một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu
đến trạm đích với phương thức kết nối là “điểm - điểm”.

Hình 1.2: Cấu trúc mạng dạng sao
Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đều được
nối vào một đường dây truyền chính (bus). Đường truyền chính này được giới
hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là
đầu cuối để kết thúc đường truyền tại đây). Mỗi trạm được nối vào bus qua một
đầu nối chữ T (T_connector) hoặc một bộ thu phát (transceiver).

6


Hình 1.3: Cấu trúc mạng dạng tuyến
Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhau
thành một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi một trạm có
thể nhận và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng
gói một.

Hình 1.4: Cấu trúc mạng dạng vòng
Mạng dạng lưới (Mesh topology): một máy tính trong mạng có thể kết nối
tới nhiều máy tính.

Hinh 1.5: Cấu trúc mạng dạng lưới

1.1.3 Mô hình mạng
LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trong một
khu vực bán kính hẹp thông thường khoảng vài trăm mét. Kết nối được thực hiện
7


thông qua các môi trường truyền tốc độ cao, ví dụ cáp đồng trục hay cáp quang.
LAN thường được sử dụng trong nội bộ một cơ quan/tổ chức…, các LAN có thể
kết nối với nhau thành WAN.

Hình 1.6: Mô hình mạng LAN
MAN (Metropolitan Area Network) - Kết nối các máy tính trong phạm vi
một thành phố. Kết nối này được thực hiện thông qua các môi trường truyền
thông tốc độ cao (50-100 Mbit/s).

Hình 1.7: Mô hình mạng MAN
WAN (Wide Area Network) - Mạng diện rộng, kết nối máy tính trong nội
bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục. thông thường kết
nối này được thực hiện thông qua mạng viễn thông. Các WAN có thể được kết
nối với nhau thành GAN hay tự nó đã là GAN.

8


Hình 1.8: Mô hình mạng WAN
GAN (Global Area Network) - Kết nối các máy tính từ các châu lục khác
nhau. Thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệ
tinh.
1.1.4 Phương tiện truyền dẫn
a) Cáp

Cáp xoắn đôi (Twisted pair cable)
Dùng phổ biến cho mạng LAN, có hai loại:
-

STP (Shield Twised Pair): cáp xoắn đôi bọc kim.

Hình 1.9: Cáp xoắn đôi STP
+ UTP (Unshield Twised Pair): cáp xoắn đôi không bọc kim.

Hình 1.10: Cáp xoắn đôi UTP
-

Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hai loại
là cáp dày (Thick cable) và cáp mỏng (Thin cable).

9


Hình 1.11: Cáp đồng trục
-

Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễu
tốt.

Hình 1.12: Cáp quang
b) Thiết bị không dây
- Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps.
- Microwave: truyền dữ liệu với băng thông rộng hơn radio.
- Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu.


1.2 Mạng LAN và WAN
1.2.1 Giao thức và mô hình truyền thông
a) Khái niệm giao thức
Là một chuẩn của tổ chức mạng đưa ra cho phép các máy tính trên mạng
giao tiếp vơi nhau một cách thống nhất.
b) Mô hình OSI
Năm 1984, tổ chức Tiêu chuẩn hóa Quốc tế - ISO (International Standard
Organization) chính thức đưa ra mô hình OSI (Open Systems Interconnection), là
tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối các
thiết bị không cùng chủng loại.
Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động, thiết bị
và giao thức mạng khác nhau.

10


Hình 1.13: Mô hình OSI
-

Tầng vật lý (Physical): là tầng thấp nhất, có chức năng là truyền dòng bit

-

không có cấu trúc qua đường truyền vật lý.
Tầng liên kết dữ liệu (Data Link): cung cấp phương tiện để truyền thông

-

tin qua liên kết vật lý đảm bảo tin cậy.
Tầng mạng (Network): thực hiện việc chọn đường và chuyển tiếp thông


-

tin với công nghệ chuyển mạch thích hợp.
Tầng giao vận/vận tải (Transport): thực hiện truyền dữ liệu giữa hai đầu

-

mút, kiểm soát lỗi.
Tầng phiên (Session): cung cấp phương tiện quản lý truyền thông giữa các

-

ứng dụng.
Tầng trình diễn (Presentation): chuyển đổi cú pháp dữ liệu để đáp ứng yêu
cầu truyền dữ liệu của các ứng dụng qua môi trường OSI và nén, mã hóa

-

dữ liệu.
Tầng ứng dụng (Applications): xác định giao diện giữa người sử dụng và

môi trường OSI.
c) Các giao thức phổ biến
Giao thức TCP/IP: nằm ở tầng giao vận (Transport) của mô hình OSI. Ưu
thế chính của bộ giao thức này là khả năng liên kết hoạt động của nhiều loại máy
tính khác nhau. Giao thức này đã trở thành tiêu chuẩn thực tế cho kết nối liên
mạng cũng như kết nối Internet toàn cầu.

11



Hình 1.14: Giao thức TCP/IP
IPX/SPX: Đây là bộ giao thức sử dụng trong mạng Novell. Ưu thế chính là
nhỏ, nhanh và hiệu quả trên các mạng cục bộ đồng thời hỗ trợ khả năng định
tuyến.

Hình 1.15: Giao thức IPX/SPX
Giao thức ATP

Hình 1.16: Giao thức ATP
NetBEUI: Bộ giao thức thu nhỏ, nhanh và hiệu quả được cung cấp theo các
sản phẩm của hãng IBM, cũng như sự hỗ trợ của Microsoft. Bất lợi chính của bộ
giao thức này là không hỗ trợ định tuyến và sử dụng giới hạn ở mạng dựa vào
Microsoft.
12


1.2.2 Mạng LAN
a) Một số tiêu chí mạng LAN
- Phương tiện truyền dẫn.
- Quy tắc và chuẩn (giao thức).
- Phần mềm và quản lý ứng dụng.
b) Các thiết bị mạng
Bộ lặp (Repeater): làm việc trên tầng Physical.

Hình 1.17: Bộ lặp
Bộ tập trung (Hub): hoạt động ở tầng Data Link.

Hình 1.18: Bộ tập trung

Cầu nối (Bridge): làm việc trên tầng Data Link.

Hình 1.19: Cầu nối
Bộ chuyển mạch (Switch): có hai loại là Switch lớp 2 làm việc trên tầng
Data Link và Switch lớp 3 làm việc trên tầng Network của mô hình OSI.
13


Hình 1.20: Bộ chuyển mạch
c) Các chuẩn LAN
Chuẩn Viện công nghệ điện và điện tử (IEEE): Tiêu chuẩn IEEE LAN
được phát triển dựa vào Ủy ban IEEE 802.
-

IEEE 802.1
IEEE 802.2
...
IEEE 802.11

Chuẩn uỷ ban tư vấn quốc tế về điện báo và điện thoại (CCITT): V22, V28,
V35...
X series bao gồm các tiêu chuẩn OSI.
Chuẩn cáp và chuẩn giao tiếp EIA.
Các tiêu chuẩn EIA dành cho giao diện nối tiếp giữa modem và máy tính.
-

RS-232.
RS-449.
RS-422


1.2.3 Mạng WAN
a) Thành phần của WAN
+ Kỹ thuật chuyển mạch
Chuyển mạch kênh (Switching circuit): khi hai node mạng kết nối với
nhau giữa chúng sẽ được thiết lập một kênh truyền cố định, kênh truyền này sẽ
không thay đổi trong suốt quá trình liên lạc. Khi một trong hai ngừng kết nối thì
kênh truyền sẽ được giải phóng.
Chuyển mạch thông báo (Switching message): thông báo là một đơn vị
thông tin có đối tượng và nội dung. Đường đi của thông báo không cố định và
thông báo có thể chuyển đi trên nhiều đường.

14


Chuyển mạch gói (Switching packet): packet là những gói tin được chia
ra, mỗi gói đều có phần thông tin điều khiển (header, trailer) cho biết nguồn gửi
và đích nhận. Các gói tin có thể đến và đi theo những đường khác nhau, được lưu
trữ rồi chuyển tiếp khi đi qua nút trung gian.
Phương tiện truyền dẫn:
-

Bộ điều giải (Modems)

Hình 1.21: Bộ điều giải
-

Cổng ra vào (Gateway)

Hình 1.22: Cổng ra vào
-


Bộ định tuyến (Router)

Hình 1.23: Bộ định tuyến
b) Các chuẩn WAN
ISDN (Intergrated Services Digital Network): là một loại mạng viễn thông
số tích hợp đa dịch vụ cho phép sử dụng cùng một lúc nhiều dịch vụ trên cùng
15


một đường dây điện thoại thông thường. Người dùng cùng một lúc có thể truy
cập mạng WAN và gọi điện thoại, fax mà chỉ cần một đường dây điện thoại duy
nhất, thay vì 3 đường nếu dùng theo kiểu thông thường.
ATM (Asynchronous Tranfer Mode) hay Cell relay: hiện nay kỹ thuật Cell
Relay dựa trên phương thức truyền thông không đồng bộ (ATM) có thể cho phép
thông lượng hàng trăm Mbps. Đơn vị dữ liệu dùng trong ATM được gọi là tế bào
(cell). Các tế bào trong ATM có độ dài cố định là 53 bytes, trong đó 5 bytes dành
cho phần chứa thông tin điều khiển (cell header) và 48 bytes chứa dữ liệu của
tầng trên.
X.25: được CCITT công bố lần đầu tiên vào năm 1970. X.25 cung cấp quy
trình kiểm soát luồng giữa các đầu cuối đem lại chất lượng đường truyền cao cho
dù chất lượng mạng lưới đường dây truyền thông không cao. X.25 được thiết kế
cho cả truyền thông chuyển mạch lẫn truyền thông kiểu điểm nối điểm, được
quan tâm và triển khai nhanh chóng trên toàn cầu.
Frame Relay: công nghệ này ra đời có thể chuyển nhận các khung truyền
lớn tới 4096 byte và không cần thời gian cho việc hỏi đáp, phát hiện lỗi và sửa lỗi
ở lớp 3 (No protocol at Network layer) nên Frame Relay có khả năng chuyển tải
nhanh hơn hàng chục lần so với X.25 ở cùng tốc độ. Frame Relay rất thích hợp
cho truyền số liệu tốc độ cao và cho kết nối LAN to LAN và cho cả âm thanh,
nhưng điều kiện tiên quyết để sử dụng công nghệ Frame Relay là chất lượng

mạng truyền dẫn phải cao.

1.3 Cơ bản an toàn mạng
1.3.1 Các hiểm họa trên mạng
Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trên mạng
là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng.
Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là: sự
ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập
không hợp pháp vào hệ thống.
a) Các lỗ hổng loại C

16


Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo
DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh
hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không
làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
b) Các lỗ hổng loại B
Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà
không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy
hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng
trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
c) Các lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ
thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ
thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo
mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản
trị yếu kém hoặc không kiểm soát được cấu hình mạng.
1.3.2 Các phương pháp tấn công trên mạng

a) Virus
Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh) và có
thể phá hoại dữ liệu. Tính lây lan của Virus là khả năng tự sao chép của Virus từ
đối tượng bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng.
Đối tượng bị nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản,
macro…) và môi trường lan truyền bao gồm mạng, đường truyền và các loại bộ
nhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).
Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại khác nhau.
Virus máy tính có nhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan,
Worm, Polymorphic, Hoaxes.
Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biến
hiện nay. Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và tác
hại gây ra bởi virus là rất lớn và thật khó lường.
b) Treo cứng hệ thống

17


Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công qua
những giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giao
thức SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP. Trong đó,
tấn công "ngập lụt" là kiểu tấn công phổ biến.
c) Từ chối dịch vụ
Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống máy
chủ bị nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa. Kỹ thuật này
còn được cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS) khi
các cuộc tấn công đồng loạt xuất phát từ nhiều nơi trên mạng và được hứa hẹn
trước vào cùng một thời điểm nên rất khó chống đỡ.
d) Lợi dụng chương trình
Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵn

trong trong một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ.
Phần lớn các phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợi dụng.
e) Giả mạo địa chỉ IP
Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IP
spoofing) cho phép hacker gửi vào một máy tính những gói dữ liệu có vẻ đi đến
từ một địa chỉ IP khác với địa chỉ của hacker nhằm che đậy dấu vết. Kỹ thuật này
kết hợp với các kiểu tấn công chủ động khác như lặp lại hoặc thay đổi các thông
điệp.
1.3.3 Các phương pháp bảo mật
Xác thực (Authentication): là quá trình xử lý và giám sát người sử dụng
trong quá trình logon hay truy cập bất kỳ vào tài nguyên mạng. Ta có thể xác
thực bằng các phương pháp như sử dụng mật mã (password), khóa (key), dấu vân
tay (fingerprints),…
Điều khiển truy cập (Access Control): giới hạn quyền truy cập của người
dùng vào tài nguyên hệ thống và cho phép những ai có quyền truy cập vào.
Mã hóa dữ liệu (Data Encryption): nhằm mục đích không cho người khác
đánh cắp dữ liệu. Khi dữ liệu gửi đi thì có kèm theo một khóa (key), nếu ai có
khóa trùng với khóa đó mới đọc được nội dung của dữ liệu gửi tới.

18


Chính sách (Auditing): nhằm mục đích quản lý người sử dụng trong hệ
thống như giám sát quá trình đăng nhập vào hệ thống, chỉnh sửa dữ liệu và một
số vấn đề khác.

1.4 Tường lửa
1.4.1 Khái niệm cơ bản
Thuật ngữ Tường lửa(Firewall) có nguồn gốc từ một kỹ thuật thiết kế trong
xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin,

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập
trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không
mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ
mạng tin tưởng khỏi các mạng không tin tưởng.
Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ
bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra.
Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc
hay chỉ tiêu định trước.

Hình 1.24: Tưởng lửa
1.4.2 Các kiểu firewall
Firewall dựa trên Application level gateway

19


Hình 1.25: Application level gateway
Cổng vòng (Circuit level gateway)

Hình 1.26: Circuit level gateway
Proxy Server Firewall

Hình 1.27: Proxy Server Firewall

20


CHƯƠNG 2
TỔNG QUAN VỀ ĐỊA CHỈ IPV6
2.1 Những hạn chế của địa chỉ IPv4 và sự ra đời của địa chỉ IPv6

2.1.1 Những hạn chế của địa chỉ IPv4
Sự cạn kiệt địa chỉ IPv4: theo số liệu của những tổ chức quản lý địa chỉ
quốc tế thì không gian địa chỉ IPv4 đã được sử dụng trên 60%. Những công
nghệ góp phần giảm nhu cầu địa chỉ IP như NAT, DHCP cấp địa chỉ tạm thời
được sử dụng rộng rãi. Tuy nhiên, hiện nay nhu cầu địa chỉ tăng rất lớn do
những nguyên nhân như Internet phát triển tại những khu vực dân đông như
Trung Quốc, Ấn Độ; những dạng dịch vụ mới đòi hỏi không gian địa chỉ IP cố
định…
Cấu trúc định tuyến không hiệu quả: địa chỉ IPv4 có cấu trúc định tuyến
vừa phân cấp, vừa không phân cấp. Mỗi bộ định tuyến (router) phải duy trì
bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng bộ nhớ lớn.
IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin IPv4.
Ví dụ: thực hiện phân mảnh, điều này tiêu tốn CPU của router và ảnh
hưởng đến hiệu quả xử lý (gây trễ, hỏng gói tin ).
Những hạn chế về tính bảo mật và kết nối đầu cuối – đầu cuối: không
cung cấp phương tiện mã hóa dữ liệu, chủ yếu sử dụng bảo mật ở mức ứng
dụng. Nếu áp dụng IPSec (Internet Protocol Security) là một phương thức bảo
mật phổ biến tại tầng IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa
các mạng, việc bảo mật lưu lượng đầu cuối – đầu cuối được sử dụng rất hạn
chế. Mặc khác, để giảm nhu cầu sử dụng địa chỉ, hoạt động mạng IPv4 sử dụng
phổ biến công nghệ biên dịch NAT. Trong đó, máy chủ biên dịch địa chỉ can
thiệp vào gói tin truyền tải và thay thế trường địa chỉ để các máy tính gắn địa
chỉ riêng (private) có thể kết nối vào mạng Internet. Nhưng công nghệ biên
dịch NAT lại luôn tồn tại những nhược điểm như:
-

Khó thực hiện được kết nối điểm – điểm và gây trễ: làm khó khăn và ảnh
hưởng tới nhiều dạng dịch vụ (mạng riêng ảo - VPN, dịch vụ thời gian
thực). Đối với nhiều dạng dịch vụ cần xác thực cổng (port) nguồn
21



/đích, sử dụng NAT là không thể được. Trong khi đó, các ứng dụng mới
hiện nay, đặc biệt các ứng dụng khách - chủ ngày càng đòi hỏi kết nối
-

trực tiếp đầu cuối – đầu cuối.
Việc gói tin không được giữ nguyên tình trạng từ nguồn tới đích, có
những điểm trên đường truyền tải tại đó gói tin bị can thiệp, như vậy tồn
tại những lỗ hổng về bảo mật.

Hình 2.1: Mô hình thực hiện NAT của địa chỉ IPv4
2.1.2 Nguyên nhân ra đời địa chỉ IPv6
Như đã biết, IPv4 có khá nhiều nhược điểm, trong đó quan trọng nhất là
việc không gian địa chỉ IPv4 đang cạn kiệt. Điều này dẫn đến tất yếu phải ra đời
một thế hệ địa chỉ mới giải quyết được những nhược điểm của IPv4, đó là IPv6.
Thế hệ địa chỉ IPv6 không những giải quyết được những vấn đề của IPv4 mà
còn cung cấp thêm một số ưu điểm:
-

Không gian địa chỉ lớn.
Khả năng mở rộng về định tuyến.
Hổ trợ tốt hơn truyền thông nhóm (truyền thông nhóm là một tùy chọn

-

của địa chỉ IPv4, tuy nhiên khả năng hổ trợ và tính khả dụng chưa cao).
Hỗ trợ end to end dễ dàng hơn và loại bỏ hoàn toàn công nghệ NAT.
Không cần phải phân mảnh, không cần trường kiểm tra phần đầu.
Bảo mật: do IPv6 hỗ trợ IPsec, nó làm cho các nút mạng IPv6 trở nên an


-

toàn hơn (thực ra IPsec có thể hoạt động được với cả IPv4 và IPv6).
Tự động cấu hình: Đơn giản hơn trong việc cấu hình địa chỉ IP cho
các thiết bị bằng việc sử dụng địa chỉ IPv6. IPv6 có khả năng tự động
22


cấu hình mà không cần máy chủ DHCP như trong mạng sử dụng địa chỉ
-

IPv4.
Tính di động: cho phép hỗ trợ các nút mạng sử dụng địa chỉ IP di
động (thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về IP di
động. Nhưng thế hệ mạng mới thì dạng thiết bị này ngày càng phát triển,

-

đòi hỏi cấu trúc giao thức Internet phải hổ trợ tốt hơn.).
Hoạt động: trường phần đầu IPv4 làm thay đổi kích thước của gói tin IP
và thường bị bỏ đi không tính đến. Do các bộ đính tuyến thường chuyển
hướng hoặc từ chối các gói khi nó bận. Đây chính là lý do ta không
triển khai IPsec trên nền IPv4. Các bộ định tuyến IPv6 hoạt động khác
dựa trên cách xử lý khác đối với địa chỉ IP và các tuyến. Gói tin IPv6 có
hai dạng phần đầu: phần đầu cơ bản (basic phần đầu) và phần đầu mở
rộng (extension phần đầu). Phần đầu cơ bản có chiều dài cố định 40
bytes, chứa những thông tin cơ bản trong xử lý gói tin IPv6, thuận tiện
hơn cho việc tăng tốc xử lý gói tin. Những thông tin liên quan đến dịch
vụ mở rộng kèm theo được chuyển hẳn tới một phân đoạn khác gọi là


-

phần đầu mở rộng.
Chi phí : giảm giá thành về công tác quản lý, tăng độ an ninh, hoạt
động tốt hơn, cần ít tiền hơn để đăng ký địa chỉ IP. Các chi phí này sẽ
cân bằng chi phí cho việc chuyển từ địa chỉ IPv4 sang địa chỉ IPv6.

23


Hình 2.2: Sự phát triển của địa chỉ IP
2.2 Giới thiệu về địa chỉ IPv6
Trong IPv6 giao thức Internet được cải tiến một cách rộng lớn để thích nghi
được sự phát triển không biết trước được của Internet. Định dạng và độ dài của
những địa chỉ IP cũng được thay đổi với những gói định dạng. Những giao thức
liên quan, như ICMP cũng đựơc cải tiến. Những giao thức khác trong tầng mạng
như ARP, RARP, IGMP đã hoặc bị xoá hoặc có trong giao thức ICMPv6. Những
giao thức tìm đường như RIP, OSPF cũng được cải tiến khả năng thích nghi với
những thay đổi này. Những chuyên gia truyền thông dự đoán là IPv6 và những
giao thức liên quan với nó sẽ nhanh chóng thay thế phiên bản IP hiện thời.
2.2.1 Cấu trúc địa chỉ IPv6
Địa chỉ thế hệ mới của internet là IPV6 được nhóm chuyên trách về kỹ thuật
IETF của hiệp hội INTERNET đề xuất thực hiện kế thừa trên cấu trúc và tổ chức
của địa chỉ IPV4. Địa chỉ IPv4 có cấu trúc 32 bit, trên lý thuyết có thể cung cấp
không gian 232 = 4.294.967.296 địa chỉ. Đối với IPv6, địa chỉ IPv6 có cấu trúc
128 bit, dài gấp 4 lần so với cấu trúc của địa chỉ IPv4. Trên lý thuyết, địa chỉ IPv6
mở ra không gian 2128 = 340,282,366,920,938,463,463,374,607,431,768,211,45 6

24



địa chỉ. Số địa chỉ này nếu trãi đều trên diện tích 511,263 triệu m 2 của quả đất,
mỗi m2 mặt đất sẽ được cấp 665570´1018 địa chỉ.
Đây là một không gian địa chỉ cực kỳ lớn, với mục đích không chỉ cho
Internet mà còn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều
khiển và thậm chí còn dành cho từng vật dụng trong gia đình. Người ta nói rằng
từng chiếc máyđiều hòa, tủ lạnh… trong gia đình đều có thể mang một địa chỉ
IPv6 và chủ nhân củanó có thể kết nối, ra lệnh từ xa. Với nhu cầu hiện tại, chỉ có
khoảng 15% không gian địa chỉ IPv6 được sử dụng, số còn lại dành để dự phòng
trong tương lai.
2.2.2 Sơ lược đặc điểm của IPv6
Khi phát triển phiên bản mới, IPv6 hoàn toàn dựa trên nền tảng IPv4. Nghĩa
là tất cả những chức năng của IPv4 đều được tích hợp vào IPv6. Tuy nhiên, IPv6
cũng có một vài đặc điểm khác biệt.
a) Tăng kích thước của tầm địa chỉ
IPv6 sử dụng 128 bit địa chỉ trong khi IPv4 chỉ sử dụng 32 bit; nghĩa là IPv6
có tới 2128 địa chỉ khác nhau; 3 bit đầu luôn là 001 được dành cho các địa chỉ khả
định tuyến toàn cầu (Globally Routable Unicast –GRU). Nghĩa là còn lại 2125 địa
chỉ. Một con số khổng lồ. Điều đó có nghĩa là địa chỉ IPv6 sẽ chứa 1028 tầm địa
chỉ IPv4.
b) Tăng sự phân cấp địa chỉ
IPv6 chia địa chỉ thành một tập hợp các tầm xác định hay boundary: 3 bit
đầu cho phép biết được địa chỉ có thuộc địa chỉ khả năng định tuyến toàn cầu
(GRU) hay không, giúp các thiết bị định tuyến có thể xử lý nhanh hơn. Top Level
Aggregator (TLA) ID được sử dụng vì 2 mục đích: thứ nhất, nó được sử dụng để
chỉ định một khối địa chỉ lớn mà từ đó các khối địa chỉ nhỏ hơn được tạo ra để
cung cấp sự kết nối cho những địa chỉ nào muốn truy cập vào Internet; thứ hai, nó
được sử dụng để phân biệt một đường (Route) đến từ đâu. Nếu các khối địa chỉ
lớn được cấp phát cho các nhà cung cấp dịch vụ và sau đó được cấp phát cho

khách hàng thì sẽ dễ dàng nhận ra các mạng chuyển tiếp mà đường đó đã đi qua
cũng như mạng mà từ đó Route xuất phát. Với IPv6, việc tìm ra nguồn của 1
Route sẽ rất dễ dàng. Next Level Aggregator (NLA) là một khối địa chỉ được gán
25