HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

--------------------------------------------

CHANTHASENG THANYPHONE

Xây dụng giải pháp an toàn mạng thông tin trên IPv6
tại LTC

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)

HÀ NỘI – 2017


HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-----------------------------------------

CHANTHASENG THANYPHONE

Xây dụng giải pháp an toàn mạng thông tin trên IPv6
tại LTC
CHUYÊN NGÀNH : KỸ THUẬT VIỄN THÔNG
MÃ SỐ: 60.52.02.08

LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. Nguyễn Chiến Trinh

HÀ NỘI - 2017

I

LỜI CAM ĐOAN
Học viên xin chân thành cảm ơn các thầy cô trong Khoa Quốc tế và Đào tạo
Sau Đại học và Khoa Kỹ thuật Viễn thông, Học viện Công nghệ Bưu chính Viễn
thông đã tạo điều kiện thuận lợi cho học viên trong quá trình học tập và nghiên cứu.
Học viên xin chân thành cảm ơn, TS.Nguyễn Chiến Trinh là người đã trực tiếp tận
tình hướng dẫn học viên hoàn thành luận văn này.
Học viên xin chân thành cảm ơn các bạn bè đã sát cánh giúp học viên có
được những kết quả như ngày hôm nay.
Đề tài nghiên cứu của luận văn có nội dung bao phủ rộng. Tuy nhiên, thời
gian nghiên cứu còn hạn hẹp. Vì vậy, luận văn có thể có những thiếu sót. Học viên
rất mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn.
Tôi xin cam đoan đây là công trình nghiên cứu khoa học độc lập của riêng
tôi dưới sự hướng dẫn của TS.Nguyễn Chiến Trinh các số liệu, kết quả nêu trong
luận văn do tôi tự tìm hiểu nghiên cứu một cách trung thực và chưa từng được ai
công bố trong bất kỳ công trình nào khác.
Xin chân thành cảm ơn!
Tác giả luận văn

CHANTHASENG THANYPHONE


II

MỤC LỤC
Trang
LỜI CAM ĐOAN .................................................................................................................I

MỤC LỤC ........................................................................................................................... II
DANH MỤC TỪ VIẾT TẮT........................................................................................... IV
DANH MỤC HÌNH VẼ ..................................................................................................VII
DANH MỤC BẢNG .......................................................................................................... X
MỞ ĐẦU ..............................................................................................................................1
CHƯƠNG I- TỔNG QUAN VỀ CÔNG NGHỆ IPV6...................................................3
1.1. Nguyên nhân phát triển IPv6 và sự khác biệt của IPv6 so với IPv4 ................3
1.1.1. Nguyên nhân phát triển IPv6 ........................................................................3
1.1.2. Sự khác biệt của IPv6 so với IPv4 ...............................................................8
1.2. Mục tiêu trong thiết kế IPv6............................................................................... 10
1.3. Cấu trúc địa chỉ IPv6........................................................................................... 13
1.1.3. Không gian địa chỉ IPv6 ............................................................................ 13
1.1.4. Biểu diễn địa chỉ IPv6. ............................................................................... 14
1.1.5. Định dạng gói tin trong IPv6. .................................................................... 15
1.4. Phân loại địa chỉ IPv6 ......................................................................................... 17
1.5. Một số quy trình hoạt động cơ bản của IPv6. .................................................. 18
1.5.1. Quy trình phân giải địa chỉ lớp hai (link layer) từ địa chỉ IPv6 lớp ba
(network layer) ......................................................................................................... 18
1.5.2. Kiểm tra trùng lặp địa chỉ trên một đường kết nối (Duplicate Address
Detection - DAD)..................................................................................................... 20
1.5.3. Kiểm tra tính có thể kết nối tới được của node lân cận (Neighbor
Unreachability Detection)....................................................................................... 21
1.5.4. Tìm kiếm router trên đường kết nối (Router Discovery)....................... 22
1.5.5. Đánh số lại thiết bị IPv6 ............................................................................. 24
1.6. Các giao thức liên quan đến IPv6. ..................................................................... 25
1.7. Kết luận chương.................................................................................................. 26
CHƯƠNG II-TỔNG QUAN VÀ CƠ CHẾ HOẠT ĐỘNG AN TOÀN MẠNG
THÔNG TIN TRÊN IPV6............................................................................................... 27
2.1. Tổng quan về giao thức bảo mật IPSec [4] ..................................................... 27
2.1.1. Các tính năng bảo mật của IPSec............................................................... 29

2.2. Các giao thức chính sử dụng trong IPSec [4]................................................... 31
2.2.1. IP Security Protocol (IPSec)....................................................................... 31
2.2.2. Cấu trúc IPSec: ............................................................................................. 31
2.2.3. Ưu điểm của IPSec ...................................................................................... 33
2.3. Sự khác biệt an toàn trên IPv4 và IPv6 [6]....................................................... 33


III

2.4. Mô hình cuối tới cuối [8] .................................................................................... 35
2.5. IPv6 Security ........................................................................................................ 36
2.5.1. ICMPv6 .......................................................................................................... 36
2.6. Phân tán tường lửa ............................................................................................... 41
2.6.1. Lọc tường lửa ................................................................................................ 43
2.7. Kết luận chương .................................................................................................... 46
CHƯƠNG III-MÔ HÌNH THỬ NGHIỆM VÀ ĐÁNH GIÁ GIẢI PHÁP AN TOÀN
MẠNG THÔNG TIN TRÊN IPV6 CHO LTC............................................................. 48
3.1. Giai đoạn lịch sử của công ty LTC [13] .......................................................... 48
3.2. Hướng dẫn thực hành tốt nhất để triển khai an toàn thông tin trên IPv6 ..... 48
3.3. Kế hoạch triển khai an toàn mạng thông tin tại LTC [13] ........................... 50
3.3.1. Mục tiêu yêu cầu .......................................................................................... 51
3.3.2. Nhiệm vụ công tác trọng tâm ..................................................................... 51
3.3.3. Tổ chức thực hiện ........................................................................................ 52
3.4. Giải pháp an toàn hệ thống mạng IPv6 tại LTC ............................................. 53
3.4.1. Giải pháp an toàn IPv6 tại LTC ................................................................. 53
3.4.2. Giải pháp tường lửa cho LTC..................................................................... 54
3.4.3. Để xuất mô hình triển khai an toàn mạng tại LTC .................................. 56
3.5. Thử nghiệm giải pháp an toàn tại LTC ........................................................... 57
3.5.1. Thử nghiệm IPSec IPv6 trên GNS3 .......................................................... 57
3.5.2. Thử nghiệm tường lửa trên phần mềm PFSense ...................................... 62

3.6. Đánh giá an toàn mạng ....................................................................................... 73
3.7. Kết luận chương................................................................................................... 74
KẾT LUẬN ....................................................................................................................... 76
TÀI LIỆU THAM KHẢO ............................................................................................... 77


IV

DANH MỤC TỪ VIẾT TẮT
Từ viết tắt

Tiếng Anh

6Bone

6Bone

Tiếng Việt
Một mạng Ipv6 thử nghiệm
Header trong Ipv6 nhằm bảo đảm

AH

Authentication Header

tính chân thực và toàn vẹn của gói tin
trong quá trình truyền

APNIC


ARP
BGP
CIDR

DAD

DHCP

DMZ
DNS

DSTM

ESP

ICMP

Asia Pacific Network

Tổ chức quản lý mạng khu vực châu

Information Center

Á–Thái Bình Dương

Address Resolution
Protocol

Giao thức phân giải địa chỉ


Border Gateway Protocol

Giao thức tìm đường nòng cốt

Classless Interdomain

Giao thức định tuyến liên miền

Pouting

không phân lớp

Duplicate Address
Detection
Dynamic Host Control
Protocol

Xác nhận trùng địa chỉ
Giao thức điều khiển host động

Dimiliterised Marginal

Chứa các thông tin cho phép người

Zone

dùng

Domain Name System


Hệ thống tên miền

Dual Stack Transition
Mechanism

Encapsulationg Security
Payload
Internet Control Message

Một cơ chế chuyển đổi giữa hai
mạng Ipv4 và IPv6 tách biệt với
nhau.
Một kiểu header trong IPv6 nhằm
cung cấp khả năng bảo mật cho gói
tin IPv6
Giao thức truyền tin điều khiển trên


V

Protocol
FQDN

IPSec

IGMP

IPng

Fully Qualified Domain

Name
Internet Protocol Security
Internet Group
Management Protocol
Internet Protocol Next
Generation

mạng
Địa chỉ tên miền toàn bộ
Một kiểu bảo mật trong IPv6 với hai
trường AH và ESP
Giao thức quản lí nhóm
Giao thức IP thế hệ tiếp theo

IPv4

Internet Protocol Version 4

Giao thức IP version4

IPv6

Internet Protocol Version 6

Giao thức IP version4

Intra-Site Automatic
ISATAP

Tunnel Addressing

Protocol

ISATAP là một cơ chế chuyển đôi
đường hầm IPv6 over IPv4 với các
điểm đầu cuối có thể là Host hoặc
Router
Giao thức thực hiện quá trình trao

IKE

Internet Key Exchange

LAN

Local Area Network

Mạng máy tính nội bộ

MAC

Media Address Controller

Địa chỉ vật lý

MTU

Maximum Transmission
Unit

đổi khóa


Kích thước gói tin lớn nhất
Tìm kiếm hàng xóm

ND

Neighbor Discovery

NTP

Network Time Protocol

RA

Router Advertisement

Quảng cáo bộ định tuyến

SLA

Site Level Aggregation

Giá trị định danh site

Simple Network

Giao thức được sử dụng rất phổ biến

Management Protocol


để giám sát

SNMP

Giao thức để đồng bộ đồng hồ của
các hệ thống máy tính


VI

TCP

Transmission Control
Protocol

Giao thức điều khiển kết nối

TTL

Time To Live

Thời gian tồn tại của gói tin

UDP

User Datagram Protocol

Giao thức cốt lõi

VPN


Virtual Private Network

Gạng riêng ảo

WAN

Wide Area Network

Mạng dữ liệu được thiết kế để kết nối
giữa các mạng


VII

DANH MỤC HÌNH VẼ

Hình 1.1: Sự biến đổi của Internet ..................................................................................... 4
Hình 1.2: Mô hình thực hiện NAT của địa chỉ IPv4 .......................................................... 6
Hình 1.3: Kiến trúc IPv6 (IPv6 Architecture) .................................................................. 13
Hình 1.4. Định dạng gói tin IPv6 (IPv6 Packet Fomat) ................................................... 15
Hình 1.5: Định dạng phần Header của gói tin IPV6 ........................................................ 16
Hình 1.6: Quy trình phân giải địa chỉ .............................................................................. 20

Hình 2.1: Cấu trúc của IPSec ...................................................................................... 31
Hình 2.3: End-to-End Security [4] ............................................................................. 35
Hình 2.4: Đóng gói ICMP ........................................................................................... 36
Hình 2.5: Tấn công địa phương [3] ............................................................................ 38
Hình 2.6: Cầu hình tự động IPv6 [3] ......................................................................... 42
Hình 2.7: Phân loại tường lửa ..................................................................................... 42

Hình 2.8: Kết nối mạng tường lửa .............................................................................. 43
Hình 3.1: Mẫu kiến trúc IPv6 [4] ............................................................................... 49
Hình 3.2: Hệ thông tường lửa mạng .......................................................................... 54
Hình 3.3: Tăng cường tường lửa ................................................................................ 55
Hình 3.4: Quy hoạch mạng firewall tại LTC ............................................................ 56
Hình 3.5: Mô hình triển khai an toàn mạng Tại LTC .............................................. 58


VIII

Hình 3.6: Lab cấu hình IPsec VPN ............................................................................ 59
Hình 3.7: Kết nối từ nút A đến B ............................................................................... 60
Hình 3.8: Kiểm tra trạng thái isakmp ......................................................................... 60
Hình 3.9: kiểm tra trạng thái IPSes ............................................................................ 61
Hình 3.10: Kiểm tra trạng thái Peer ........................................................................... 61
Hình 3.11: Lab mô hình t ấn công Host ...................................................................... 62
Hinh 3.12: IOS BT5r3 ................................................................................................. 63
Hình 3.13: Ping6 đến máy cần tấn công .................................................................... 63
Hình 3.14: Trước khi tấn công .................................................................................... 64
Hình 3.15: Sâu khi tấn công ........................................................................................ 64
Hình 3.16: Packet của LAN tấn công trên IPv6 ....................................................... 65
Hình 3.17: Hệ thống mạng tường lửa ........................................................................ 65
Hình 3.18: PFSense trên Web Browser ..................................................................... 67
Hình 3.19: Hiện thị trên Log IP .................................................................................. 67
Hình 3.20: Log Firewall .............................................................................................. 68
Hình 3.21: Cài đặt Snort trên PFSense ...................................................................... 69
Hình 3.22: Cấu hình giao diện trên Snort .................................................................. 70
Hình 3.23: Tạo giao diện trên Snort ........................................................................... 71
Hình 3.24: Cấu hình các chức năng ngăn chặn cho Snort ....................................... 71



IX

Hình 3.25: System Log ................................................................................................ 72
Hình 3.26: System Log trên NTP ............................................................................... 73
Hình 3.27: Gói tin bị chặn tấn công trên BT5r3 ....................................................... 73


X

DANH MỤC BẢNG
Bảng 1-1: So sánh IPv6 và IPv4 ................................................................................... 9
Bảng 1-2: Bảng giá trị trường Next Header ............................................................. 17
Bảng 2-1: Sự làm việc của AH với ESP ................................................................... 32
Bảng 2-2: giải mã giá trị ............................................................................................. 37
Bảng 2-3: xác định thông tin ICMPv6 cho NDP ..................................................... 40
Bảng 2-4: Thông tin ICMPv6 sử dụng cơ chế NDP ............................................... 40


1

MỞ ĐẦU
Một trong những vấn đề quan trọng mà công nghệ mạng trên thế giới đang
phải nghiên cứu giải quyết là sự phát triển với tốc độ quá nhanh của mạng lưới
Internet toàn cầu. Sự phát triển này cùng với sự tích hợp dịch vụ, triển khai những
dịch vụ mới, kết nối nhiều mạng với nhau, như mạng di động với mạng Internet đã
đặt ra vấn đề thiếu tài nguyên dùng chung. Việc sử dụng hệ thống địa chỉ hiện tại
cho mạng Internet là IPv4 sẽ không thể đáp ứng nổi sự phát triển của mạng lưới
Internet toàn cầu trong thời gian sắp tới.
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các

thống tin của các tổ chức, cá nhân đều được lưu trữ trên hệ thống mạng an toàn trên
IPv6, cùng với sự phát triển của tổ chức công ty doanh nghiệp, công ty LTC là
những đòi hỏi ngày càng cao của môi trường hoạt động cần phải chia sẻ thông tin
trên mạng của mình cho nhiều đối tượng khác nhau thông qua mạng. Việc bảo mật,
rò rỉ thông tin có thể ảnh hưởng nghiệm trọng đến tài nguyên thông tin tài chính,
danh tiếng tổ chức, cá nhân.
Các phương thức tấn công thông qua mạng IP ngày càng tinh vi, phức tạp có
thể đẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống an
toàn mạng thông tin của LTC. Vì vậy an toàn mạng thông tin là nhiệm vụ quan
trọng, năng nề và khó đoán đối với hệ thống thông tin.
Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một
số dịch vụ. Ngồi trước máy tính của mình có thể biết được thông tin trên toàn cầu,
nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất
kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống thông tin
là một vấn đề cần phải đảm bảo an toàn thông tin và trên công ty LTC đang triển
khai mạng IPv6 cũng bắt buộc phải có IPsec và tường lửa để bảo vệ hệ thống mạng
thông tin
Nhận thức rõ tầm quan trọng của vấn đề, em quyết định lựa chọn và nghiên
cứu đề tài “Xây dụng giải pháp an toàn mạng thông tin trên IPv6 tại LTC”.
Bài luận văn gồm ba chương chính với các nội dung chủ yếu như sau:


2

Chương 1. Tổng quan về công nghệ IPv6
Trong phần này, học viên trình bày các lý do ra đời không gian địa chỉ mới
IPv6 thay thế không gian địa chỉ hiện tại IPv4 cũng như các vấn đề liên quan đến
cấu trúc địa chỉ IPv6, các dạng địa chỉ IPv6, qua đó thấy được sự khác biệt và thay
đổi trong địa chỉ IPv6. Đây là phiên bản được thiết kế nhằm khắc phục những hạn
chế của IPv4 và bổ sung những tính năng mới cần thiết trong hoạt động và dịch vụ

mạng thế hệ sau.
Chương 2. Tổng quan và cơ chế hoạt động an toàn mạng thông tin trên IPv6
Trong chương 2 học viên đề cập đến các cơ chế bảo mật hoạt động của IPSec
trên IPv6, mô hình tấn công ICMPv6, hệ thống mạng tường lửa trên IPv6 và mô
hình End-to-End.
Chương 3. Mô hình thử nghiệm và đánh giá giải pháp an toàn mạng thông tin
trên IPv6 cho LTC
Xác định một mô hình mạng phù hợp với hệ thống mạng của LTC vừa là
một công ty Viễn thông tại Lào hiện nay, đồng thời triển khai các bước cấu hình
dựa trên các công nghệ phù hợp đã đề cập trong chưong 2 để triển khai an toàn
mạng thông tin trên IPv6 không làm gián đoạn hệ thống mạng hiện tại.


3

CHƯƠNG I- TỔNG QUAN VỀ CÔNG NGHỆ IPV6
Trong phần này, học viên trình bày các lý do ra đời không gian địa chỉ mới
IPv6 thay thế không gian địa chỉ hiện tại IPv4 cũng như các vấn đề liên quan đến
cấu trúc địa chi IPv6, các dạng địa chi IPv6, qua đó thấy được sự khác biệt và thay
đổi trong địa chỉ IPv6. Đây là phiên bản được thiết kế nhằm khắc phục những hạn
chế của IPv4 và bổ sung những tính năng mới cần thiết trong hoạt động và dịch vụ
mạng thế hệ sau.

1.1.

Nguyên nhân phát triển IPv6 và sự khác biệt của IPv6 so với IPv4

1.1.1. Nguyên nhân phát triển IPv6
1.1.1.1. Sự cạn kiệt không gian địa chỉ IPv4
Kể từ năm 2003, khi tốc độ tiêu thụ địa chỉ IPv4 bắt đầu tăng vọt do Internet

phát triển tại những khu vực dân cư đông đảo như Trung Quốc, Ấn Độ kết hợp với
sự phát triển của các loại hình dịch vụ và phương thức kết nối mạng tiêu tốn địa chỉ
(những dạng dịch vụ mới đòi hỏi không gian địa chỉ IP cố định và tỉ lệ sử dụng địa
chỉ khách hàng là 1:1 với kết nối dạng đầu cuối - đầu cuối như: dịch vụ xDSL, dịch
vụ Internet qua đường cáp truyền hình,...), khả năng cạn kiệt nguồn IPv4 toàn cầu
đã trở thành chủ đề nóng được bàn thảo nhiều trên các diễn đàn, thông tin về hoạt
động của mạng Internet [1].
Những năm tiếp theo, vùng địa chỉ IPv4 dự trữ cho hoạt động Internet toàn
cầu được quản lý bởi IANA ngày càng vơi đi nhanh, việc IPv4 sẽ hết trở nên rõ
ràng và tất yếu. Năm 2007, toàn bộ 5 tổ chức quản lý tài nguyên địa chỉ cấp vùng
(RIR) đã đồng loạt ban hành nghị quyết thông báo địa chỉ IPv4 sẽ cạn kiệt trong
khoảng 2 đến 4 năm sau đó[1].
Tại thời điểm cuối năm 2007, căn cứ trên tốc độ tiêu thụ IPv4 toàn cầu, các
tổ chức quốc tế đã dự báo thời điểm cạn kiệt IPv4 là giữa năm 2012. Tuy nhiên các
năm sau đó, tốc độ xin cấp địa chỉ IPv4 tăng lên rất nhanh, tốc độ cấp phát địa chỉ
IPv4 của các tổ chức quản lý địa chỉ cấp vùng ngày càng tăng cao. Đến giữa năm


4

2008, thời điểm hệ thống quản lý địa chỉ toàn cầu hết IPv4 được dự báo rơi
vàokhoảng tháng 11/2011 [1].

Hình 1.1: Sự biến đổi của Internet [1]

Trên thực tế, thời điểm cạn kiệt IPv4 toàn cầu diễn ra nhanh hơn dự báo.
Ngày 3 tháng 2 năm 2011, IANA đã chính thức công bố cạn kiệt kho địa chỉ dự trữ
cấp phát cho các RIR. Toàn bộ yêu cầu xin cấp IPv4 cho các hoạt động Internet
toàn cầu chỉ sử dụng các vùng địa chỉ dữ trữ của các tổ chức cấp vùng (RIR). Việc
cạn kiệt hoàn toàn địa chỉ IPv4 tại từng khu vực tùy thuộc theo tốc độ tiêu thụ tại

khu vực.
Theo mô hình quản lý toàn cầu, không gian địa chỉ IP các loại và số hiệu
mạng được quản lý thống nhất bởi tổ chức IANA. IANA sau đó cấp các không gian
địa chỉ lớn cho các tổ chức quản lý tài nguyên cấp khu vực RIR (regional Internet
registry). Trên thế giới có tổng cộng 5 RIR bao gồm APNIC phụ trách khu vực
Châu Á Thái Bình Dương, RIPE NCC phụ trách khu vực Châu Âu và Trung Đông,
ARIN phụ trách khu vực Bắc Mỹ, LACNIC phụ trách khu vực Châu Mỹ La tin và
AFRINIC phụ trách khu vực Châu Phi. Các RIR sau khi nhận tài nguyên từ IANA
sẽ chịu trách nhiệm quản lý, phân bổ các tài nguyên đó trong phạm vi khu vực.
Với tốc độ tiêu thụ tài nguyên IPv4 lớn nhất trên toàn cầu, Châu Á - Thái
Bình Dương là khu vực đầu tiên chính thức bước vào giai đoạn cạn kiệt IPv4 kể từ
ngày 15/4/2011 khi toàn bộ khối lượng địa chỉ IPv4 dự trữ của APNIC được tiêu
thụ, chỉ còn lại duy nhất một khối /8 để phục vụ cho việc chuyển đổi sang sử dụng
địa chỉ IPv6.


5

Tiếp theo đó, ngày 14/9/2012, RIPE NCC, tổ chức quản lý địa chỉ khu vực
Châu Âu và Trung Đông thông báo đã chính thức hết IPv4 để cấp theo chính sách
thông thường và chuyển sang chính sách cấp phát hạn chế IPv4 từ khối /8 cuối
cùng. Muộn hơn một chút, các khu vực khác là Châu Mỹ La tin (LACNIC) và Bắc
Mỹ (ARIN) đều hết IPv4 vào đầu năm 2014.
Ở thời điểm hiện tại chỉ còn duy nhất khu vực Châu Phi (do AFRINIC quản
lý) chưa rơi vào tình trạng cạn kiệt địa chỉ IPv4.

1.1.1.2. Hạn chế về công nghệ và nhược điểm của IPv4
Cấu trúc định tuyến không hiệu quả [1]:
Địa chỉ IPv4 có cấu trúc định tuyến vừa phân cấp, vừa không phân cấp. Mỗi
router phải duy trì bảng thông tin định tuyến lớn, đòi hỏi router phải có dung lượng

bộ nhớ lớn. IPv4 cũng yêu cầu router phải can thiệp xử lý nhiều đối với gói tin
IPv4, ví dụ thực hiện phân mảnh, điều này tiêu tốn CPU của router và ảnh hưởng
đến hiệu quả xử lý (gây trễ, hỏng gói tin).
Hạn chế về tính bảo mật và kết nối đầu cuối - đầu cuối [1]:
Trong cấu trúc thiết kế của địa chỉ IPv4 không có cách thức bảo mật nào đi
kèm. IPv4 không cung cấp phương tiện hỗ trợ mã hóa dữ liệu. Kết quả là hiện nay,
bảo mật ở mức ứng dụng được sử dụng phổ biến, không bảo mật lưu lượng truyền
tải giữa các host. Nếu áp dụng IPSec là một phương thức bảo mật phổ biến tại tầng
IP, mô hình bảo mật chủ yếu là bảo mật lưu lượng giữa các mạng, việc bảo mật lưu
lượng đầu cuối - đầu cuối được sử dụng rất hạn chế.
Để giảm nhu cầu tiêu dùng địa chỉ, hoạt động mạng IPv4 sử dụng phổ biến
công nghệ biên dịch NAT. Trong đó, máy chủ biên dịch địa chỉ can thiệp vào gói
tin truyền tải và thay thế trường địa chỉ để các máy tính gắn địa chỉ riêng (private)
có thể kết nối vào mạng Internet.
Mô hình sử dụng NAT của địa chỉ IPv4 có nhiều nhược điểm:
- Khó thực hiện được kết nối điểm - điểm và gây trễ: Làm khó khăn và ảnh
hưởng tới nhiều dạng dịch vụ (VPN, dịch vụ thời gian thực).


6

- Đối với nhiều dạng dịch vụ cần xác thực port nguồn/ đích, sử dụng NAT là
không thể được. Trong khi đó, các ứng dụng mới hiện nay, đặc biệt các ứng
dụng client-server ngày càng đòi hỏi kết nối trực tiếp đầu cuối - đầu cuối.
-

Việc gói tin không được giữ nguyên tình trạng từ nguồn tới đích, có những
điểm trên đường truyền tải tại đó gói tin bị can thiệp, như vậy tồn tại những lỗ
hổng về bảo mật.


Hình 1.2: Mô hình thực hiện NAT của địa chỉ IPv4 [1]

Không gian địa chỉ hạn chế [11]:
Không gian địa chỉ có độ dài lớn hơn IPv4(128 bít so với 32 bít) do đó cung
cấp không gian địa chỉ lớn hơn rất nhiều. Trong khi không gian địa chỉ 32 bít của
IPv4 cho phép khoảng 4 tỉ địa chỉ, không gian địa chỉ IPv6 có thể có khoảng
6.5*1023 địa chỉ trên mỗi mét vuông bề mặt trái đất. Địa chỉ IPv6 128 bít được chia
thành các miền phân cấp theo trật tự trên Internet. Nó tạo ra nhiều mức phân cấp và
linh hoạt trong địa chỉ hoá và định tuyến hiện không có trong IPv4.
Không hỗ trợ mobile IP [1]:
Không hỗ trợ cho các dịch vụ truyền tải thông tin đa phương tiện: Vẫn là
mạng truyền số liệu. Dịch vụ viễn thông: thoại cố định, di động, dịch vụ quảng bá,
dịch vụ internet… Cần tích hợp hội tụ lại nhưng IPv4 không hỗ trợ do tốc độ chậm,
dùng TCP/IP qua nhiều thủ tục


7

1.1.1.3. Giải pháp thay thế
Nguy cơ thiếu hụt không gian địa chỉ, cùng những hạn chế của IPv4 thúc đẩy
sự đầu tư nghiên cứu một giao thức internet mới, khắc phục những hạn chế của giao
thức IPv4 và đem lại những đặc tính mới cần thiết cho dịch vụ và cho hoạt động
mạng thế hệ tiếp theo. Giao thức Internet mà IETF đã đưa ra, quyết định thúc đẩy
thay thế cho IPv4 là IPv6 (Internet Protocol Version 6), giao thức Internet phiên bản
6, còn được gọi là giao thức IP thế hệ mới (IP Next Generation - IPng). Địa chỉ
Internet phiên bản 6 có chiều dài gấp 4 lần chiều dài địa chỉ IPv4, gồm 128 bít.
IPv6 được thiết kế để thay thế cho phiên bản IPv4, với hai mục đích cơ bản:
- Thay thế cho nguồn IPv4 cạn kiệt để tiếp nối hoạt động Internet.
- Khắc phục các nhược điểm trong thiết kế của địa chỉ IPv4, qua đó đưa các
công nghệ mới vào Internet.

Phát triển địa chỉ IPv6 là xu thế chung về công nghệ bởi vì IPv6 có các thế
mạnh và ưu điểm so với địa chỉ IPv4. IPv6 không chỉ được xúc tiến triển khai tại
những khu vực có khả năng thiếu thốn về địa chỉ IPv4 như châu Á, mà còn được
triển khai rất mạnh mẽ tại Mỹ, châu Âu, vốn là những quổc gia phát triển Internet
sớm và hiện đang sở hữu rất nhiều địa chỉ IPv4.
Mỹ là quốc gia đầu tiên phát triển mạng Internet và hiện đang sở hữu đến
hơn một nửa số lượng địa chỉ IPv4 toàn cầu, thậm chí Bộ Quốc phòng Mỹ đă trả lại
IANA hai khối /8 địa chỉIPv4 (mỗi khối /8 bao gòm 16.777.216 địa chỉ) do không
có nhu cầu sử dụng. Tuy nhiên, ngay từ năm 2003, Bộ Quốc phòng Mỹ đã công bố
sẽ áp dụng IPv6 cho mạng quốc phòng và đặt kế hoạch sử dụng thực tiễn vào năm
2008. Hiện tại kế hoạch này đã được hoàn tất.
Rõ ràng, việc triển khai địa chỉ IPv6 tại Mỹ hoàn toàn không phải vì thiếu địa
chỉ IPv4. Mỹ triển khai địa chỉ IPv6 vì quốc gia này nhận thấy ứng dụng IPv6 là xu
hưởng phát triển của công nghệ mạng. Với tính năng bảo mật kết nối từ thiết bị gửi
đến thiết bị nhận (đầu cuối - đầu cuối), khả năng tự động cấu hình, địa chỉ IPv6 có
thể sử dụng để triển khai nhiều ứng dụng mà IPv4 không làm đuợc do không hỗ trợ
những tính năng này.


8

Tại Nhật Bản, truyền hình qua Internet (IPTV) trên nền giao thức IPv6 là
một trong những dịch vụ IPv6 thương mại hóa. Không những triển khai rộng rãi
dịch vụ IPTV, Nhật Bản còn đặt kế hoạch tiến tới xóa bỏ hoàn toàn truyền hình
tương tự (analog) để chuyển tiếp sang hệ thống truyền hình số.

1.1.2. Sự khác biệt của IPv6 so với IPv4
Địa chỉ IPv6 có chiều dài gấp 4 lần chiều dài địa chỉ IPv4, gồm 128 bít.
Trong việc đánh số thiết bị bằng địa chỉ IPv6, so với địa chỉ IPv4 có hai điểm khác
biệt cơ bản sau:

- Địa chỉ IPv6 có nhiều loại:
Không gian địa chỉ IPv6 phân thành nhiều loại địa chỉ khác nhau. Mỗi loại
địa chỉ có chức năng nhất định trong phục vụ giao tiếp. Có loại chỉ sử dụng trong
giao tiếp nội bộ trên một đường kết nối. Có loại sử dụng trong giao tiếp toàn cầu
tương đương như địa chỉ IPv4 hiện nay. Có loại khi host sử dụng chỉ giao tiếp với
một host khác duy nhất. Có loại khi host sử dụng sẽ giao tiếp đồng thời với nhiều
host khác.
Kết quả là :
 Để một thiết bị IPv6 hoạt động bình thường, nó phải được gắn đồng thời
nhiều loại địa chỉ khác nhau.
 Trong cấu trúc địa chỉ IPv6 cần có một cách thức nào đó để nhận dạng các
loại địa chỉ IPv6.
- Địa chỉ IPv6 được gắn cho giao diện (interface). Một giao diện có thể đồng
thời gắn nhiều địa chỉ:
Nếu đặt câu hỏi: Chúng ta gắn bao nhiêu địa chỉ cho một node trên mạng
IPv4 Internet. Có thể nhận được câu trả lời như sau: một máy tính IPv4 với một
card mạng chỉ được gắn một địa chỉ IPv4 và xác định trên mạng Internet bằng địa
chỉ này. Như vậy đồng nghĩa với địa chỉ IPv4 được gắn cho các node. Chỉ có router
IPv4 được gắn trên mỗi giao diện (tương đương một card mạng) một địa chỉ IPv4 vì
router có trách nhiệm làm cầu nối liên lạc giữa các mạng khác nhau.


9

Thế hệ địa chỉ IPv6 có những thay đổi cơ bản về mô hình địa chỉ. Địa chỉ
IPv6 được gắn cho các giao diện, không phải gắn cho các node, bởi vì một giao diện
có thể gắn đồng thời nhiều địa chỉ, cùng loại hoặc khác loại. Mỗi địa chỉ khi được
gắn cho một giao diện sẽ có thời gian sống hợp lệ tương ứng. Node IPv6 dù chỉ có
một card mạng cũng sẽ có nhiều giao diện. Đây có thể là giao diện vật lý, hoặc là
các giao diện ảo dành cho công nghệ đường hầm (tunnel).

Bảng 1-1: So sánh IPv6 và IPv4

IPv4

IPv6

Địa chỉ dài 32 bit

Địa chỉ dài 128 bit

IPSec là tùy chọn

IPSec được yêu cầu

Không định dạng được luồng dữ liệu

Định dạng được luồng dữ liệu nên
hỗtrợ QoS tốt hơn.

Sự phân mảnh được thực hiện tại các
host gửi và tại router, nên khả năngthực

Sự phân mảnh chỉ xảy ra tại host gửi.

thi của router chậm.
Không đòi hỏi kích thước gói lớp lien

Lớp liên kết hỗ trợ gói 1.280 byte

kết và phải được tái hợp gói 576 byte.


vàtái hợp gói 1.500 byte.

Checksum header.

Không checksum header.

Header có phần tùy chọn.
ARP sử dụng frame ARP Request
đểphân giải địa chỉ IPv4 thành địa chỉ
lớpliên kết.

Tất cả dữ liệu tùy chọn được
chuyểnvào phần header mở rộng.
Frame ARP Request được thay thế
bởimessage Neighbor Solicitation.

IGMP (Internet Group
ManagementProtocol) được dùng để

IGMP được thay thế bởi messageMLD

quản lý cácthành viên của mạng con cục

(Multicast Listener Discovery).

bộ.
ICMP Router Discovery được dùng

ICMPv4 Router Discovery được



10

đểxác định địa chỉ của gateway mặc

thaythế bởi message ICMPv6

địnhtốt nhất và là tùy chọn.

RouterDiscovery và Router
Advertisement .

Địa chỉ broadcast để gửi lưu lượng
đếntất cả các node.

IPv6 không có địa chỉ broadcast,
màđịa chỉ multicast đến tất cả các
node(phạm vi Link-Local).

Phải cấu hình bằng tay hoặc thông

Cấu hình tự động, không đòi

quagiao thức DHCP cho IPv4.

hỏiDHCP cho IPv6.

Sử dụng các mẫu tin chứa tài nguyênđịa


Sử dụng các mẫu tin AAAA

chỉ host trong DNS để ánh xạ tênhost

trongDNS để ánh xạ tên host thành địa

thành địa chỉ IPv4.

chỉIPv6.

1.2.

Mục tiêu trong thiết kế IPv6.
Như đã biết, IPv4 có khá nhiều nhược điểm, trong đó quan trọng nhất là việc

không gian địa chỉ IPv4 đang cạn kiệt. Điều này dẫn đến tất yếu phải ra đời một thế
hệ địa chỉ mới giải quyết được những nhược điểm của IPv4, đó là IPv6.
- Không gian địa chỉ lớn hơn và dễ dàng quản lý không gian địa chỉ.
Không gian địa chỉ có độ dài lớn hơn IPv4( 128 bít so với 32 bít) do đó cung
cấp không gian địa chỉ lớn hơn rất nhiều. Trong khi không gian địa chỉ 32 bít của
IPv4 cho phép khoảng 4 tỉ địa chỉ, không gian địa chỉ IPv6 có thể có khoảng
6.5*1023 địa chỉ trên mỗi mét vuông bề mặt trái đất. Địa chỉ IPv6 128 bít được chia
thành các miền phân cấp theo trật tự trên Internet. Nó tạo ra nhiều mức phân cấp và
linh hoạt trong địa chỉ hoá và định tuyến hiện không có trong IPv4.
Thế hệ địa chỉ IPv6 không những giải quyết được những vấn đề của
IPv4 mà còn cung cấp thêm một số ưu điểm
Hỗ trợ tốt hơn truyền thông nhóm (truyền thông nhóm là một tùy chọn của
địa chỉ IPv4, tuy nhiên khả năng hỗ trợ và tính khả dụng chưa cao).
Hỗ trợ end to end dễ dàng hơn và loại bỏ hoàn toàn công nghệ NAT
Không cần phải phân mảnh, không cần trường kiểm tra phần đầu



11

- Hỗ trợ tốt hơn cho di động:
Thời điểm IPv4 được thiết kế, chưa tồn tại khái niệm về thiết bị IP di động.
Trong IPv4, mobile IP là tính năng mới cần phải thêm vào nếu cần sử dụng. Ngược
lại với IPv6, tính di động được tích hợp sẵn, có nghĩa là node IPv6 nào cũng có thể
sử dụng khi cần thiết.
- Tự động cấu hình:
Đơn giản hơn trong việc cấu hình địa chỉ IP cho các thiết bị bằng việc sử dụng
địa chỉ IPv6. IPv6 có khả năng tự động cấu hình mà không cần máy chủ DHCP như
trong mạng sử dụng địa chỉ IPv4.
- Hỗ trợ tốt về dịch vụ đa phương tiện:
Header của IPv6 đơn giản và hợp lý hơn so với IPv4. IPv6 chỉ có 6 trường và
2 địa chỉ trong khi IPv4 có 10 trường và 2 địa chỉ. Do vậy các gói tin IPv6 di
chuyển nhanh hơn trên mạng. Hạn chế message tin di chuyển trên mạng. Dẫn đến
tốc độ mạng được cải thiện.
- Hỗ trợ bảo mật tốt hơn:
IPv4 được thiết kế tại thời điểm chỉ có các mạng nhỏ, biết rõ nhau kết nối với
nhau. Do vậy bảo mật chưa phải là một vấn đề được quan tâm. Song hiện nay, bảo
mật mạng internet trở thành một vấn đề rất lớn, là mối quan tâm hàng đầu.
Cấu trúc địa chỉ IPv4 hoàn toàn khác so với IPv6. Địa chỉ IPv6 128 bit được
biểu diễn bằng cách phân chúng ra thành 8 đoạn 16-bit . Mỗi đoạn được viết trong
hệ thập lục phân giữ 0x000 và 0xFFF cách nhau bằng 2 dấu chấm. Các chữ số thập
lục A, B,C,D,E và F đại diện trong IPv6.


12


Bộ định tuyến cơ sở dữ liệu IPv6 phân cấp, hiệu quả và có khả năng tổng
hợp lại dựa trên nhiều mức của nhà cung cấp dịch vụ.
Địa chỉ được tạo mã hóa (Cryptographically Generated Address). Trong
IPv6, có thể tạo một khóa dùng làm chữ ký điện tử (public signature key) cho mỗi
một địa chỉ IP. Địa chỉ này được gọi là địa chỉ được tạo mã hóa CGA
(Cryptographically Generated Address). Tính năng này gia tăng mức độ bảo vệ
được dùng trong cơ chế phát hiện bộ định tuyến lân cận (neighbourhood router
discovery mechanism) cho pháp người dùng cuối cung cấp bằng chứng sở hữu
(proof of ownership) địa chỉ IP của mình. Tính năng này hòan toàn mới ở phiên bản
IPv6 và nó đem lại các lợi điểm sau:
 CGA khiến cho việc giả mạo (spoof) và đánh cắp địa chỉ trong IPv6 khó khăn
hơn
 Cho phép các thông điệp được đảm bảo tính nguyên vẹn bằng chữ ký điện tử.
 Không yêu cầu phải nâng cấp hay thay đổi hệ thống mạng.


13

1.3.

Cấu trúc địa chỉ IPv6.

1.1.3. Không gian địa chỉ IPv6
Kích thước địa chỉ IPv6 là 128 bit, dài gấp 4 lần địa chỉ của IPv4, không gian
địa chỉ 32 bit cho phép đánh 2 32 hay 4.294.967.296 địa chỉ [1]. Không gian địa chỉ
128 bit cho phép đánh 2 128 địa chỉ hay (3.4x10 38 ) địa chỉ tương đương
340.282.366.920.938.463.463.374.607.431.768.211.456
Vào những năm cuối thập niên 70 của thế kỷ trước khi mà không gian địa chỉ
IPv4 được thiết kế thì người ta chưa tưởng tượng được rằng nó sẽ cạn kiệt trong
tương lai. Tuy nhiên do sự phát triển mạnh mẽ của Internet và các thiết bị mạng, địa

chỉ IPv4 đã được tổ chức quản lý IPv4 toàn cầu thông báo cấp phát hết vào tháng 3
năm 2012. Việc ra đời một không gian địa chỉ mới thay thế là tất yếu.
Với IPv6 thật khó có thể tưởng tượng được rằng nó sẽ được phân phát hết
bởi vì theo ước tính không gian địa chỉ IPv6 sẽ cung cấp cho mỗi m 2 bề mặt trái đất
là 655.570.793.348.866.943.898.599 (6.5x10 23 ) địa chỉ. Kích thước tương đối lớn
của địa chỉ IPv6 được thiết kế để chia nhỏ thành các miền định tuyến phân cấp phản
ánh topo của Internet hiện nay. Việc sử dụng 128 bit cho phép nhiều mức độ phân
cấp và tính linh động trong việc thiết kế định tuyến và đánh địa chỉ phân cấp.

Hình 1.3: Kiến trúc IPv6 (IPv6 Architecture) [2]