Đồ án tốt nghiệp Đại học Mục lục
Mục lục
Mục lục i
Danh mục hình vẽ v
Danh mục bảng viii
Ký hiệu viết tắt ix
LỜI NÓI ĐẦU xii
CHƯƠNG 1 xiv
BỘ GIAO THỨC TCP/IP xiv
1.1 Khái niệm mạng Internet xiv
1.2 Mô hình phân lớp bộ giao thức TCP/IP xv
1.3 Các giao thức trong mô hình TCP/IP xvii
1.3.1 Giao thức Internet xvii
1.3.1.1 Giới thiệu chung xvii
1.3.1.2. Cấu trúc IPv4 xviii
1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu xx
1.3.1.4. Địa chỉ và định tuyến IP xxi
1.3.1.4. Cấu trúc gói tin IPv6 xxi
1.3.2. Giao thức lớp vận chuyển xxiii
1.3.2.1. Giao thức UDP xxiii
1.3.2.2. Giao thức TCP xxiv
1.4 Tổng kết xxix
CHƯƠNG 2 xxx
CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN xxx
2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN xxx
2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet xxx
2.1.2 Khả năng ứng dụng của IP-VPN xxx
2.2 Các khối cơ bản trong mạng IP-VPN xxxi
2.2.1 Điều khiển truy nhập xxxii
2.2.2 Nhận thực xxxiii
2.2.3 An ninh xxxiii

3.1.1.2 Kiểu Tunnel liii
3.2.2 Giao thức tiêu đề xác thực AH liii
3.2.2.1 Giới thiệu liv
3.2.2.2 Cấu trúc gói tin AH liv
3.2.2.3 Quá trình xử lý AH lvi
3.2.3 Giao thức đóng gói an toàn tải tin ESP lix
3.2.3.1 Giới thiệu lix
3.2.3.2 Cấu trúc gói tin ESP lix
Nguyễn Đức Cường, Lớp D2001VT
ii
Đồ án tốt nghiệp Đại học Mục lục
3.2.3.3 Quá trình xử lý ESP lxii
3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE lxvii
3.3.1 Kết hợp an ninh SA lxvii
3.3.1.1 Định nghĩa và mục tiêu lxvii
3.3.1.2 Kết hợp các SA lxviii
3.3.1.3 Cơ sở dữ liệu SA lxix
3.3.2 Giao thức trao đổi khóa IKE lxix
3.3.2.1 Bước thứ nhất lxx
3.3.2.2 Bước thứ hai lxxii
3.3.2.3 Bước thứ ba lxxiv
3.3.2.4 Bước thứ tư lxxvi
3.3.2.5 Kết thúc đường ngầm lxxvi
3.4 Những giao thức đang được ứng dụng cho xử lý IPSec lxxvi
3.4.1 Mật mã bản tin lxxvi
3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES lxxvi
3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES lxxvii
3.4.2 Toàn vẹn bản tin lxxvii
3.4.2.1 Mã nhận thực bản tin băm HMAC lxxviii
3.4.2.2 Thuật toán MD5 lxxviii

4.3.1.2 Mã xác thực bản tin MAC dựa trên các hàm băm một chiều sử dụng khóa 101
4.3.1.3 Chữ ký số dựa trên hệ thống mật mã khóa công khai 103
4.3.2 Xác thực nguồn gốc dữ liệu 104
4.3.2.1 Các phương thức xác thực 104
4.3.2.2 Các chứng thực số (digital certificates) 106
CHƯƠNG 5 111
THỰC HIỆN IP-VPN 111
5.1 Giới thiệu 111
5.2 Các mô hình thực hiện IP-VPN 112
5.2.1 Access VPN 113
5.2.1.1 Kiến trúc khởi tạo từ máy khách 113
5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 114
5.2.2 Intranet IP-VPN và Extranet IP-VPN 114
5.2.3 Một số sản phẩm thực hiện VPN 115
5.3 Ví dụ về thực hiện IP-VPN 115
5.3.1 Kết nối Client-to-LAN 116
5.3.2 Kết nối LAN-to-LAN 118
5.4 Tình hình triển khai VPN ở Việt Nam 119
KẾT LUẬN 119
Tài liệu tham khảo 121
Nguyễn Đức Cường, Lớp D2001VT
iv
Đồ án tốt nghiệp Đại học Mục lục
Các website chính 122
Danh mục hình vẽ
Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP xvi
Hình 1.2: Định tuyến khi sử dụng IP datagram xvii
Hình 1. 3: Giao thức kết nối vô hướng xviii
Hình 1.4: Cấu trúc gói tin IPv4 xviii
Hình 1.5: Hiện tượng phân mảnh trong IP xx

Hình 3.9: Khuôn dạng gói ESP lx
Hình 3.10: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport lxii
Hình 3.11: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport lxii
Hình 3.12: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel lxiii
Hình 3.13: Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau lxviii
Hình 3.14: Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau lxviii
Hình 3.15: Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau lxix
Hình 3.16: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE lxx
Hình 3.17: Danh sách bí mật ACL lxxi
Hình 3.18: IKE pha thứ nhất sử dụng chế độ chính (Main Mode) lxxii
Hình 3.19: Các tập chuyển đổi IPSec lxxv
Hình 3.20: Ví dụ về hoạt động của IP-VPN sử dụng IPSec lxxxii
Hình 4.1: Các khái niệm chung sử dụng trong các thuật toán mật mã 86
Hình 4.2: Chế độ chính sách mã điện tử ECB 88
Hình 4.3: Thuật toán mật mã khối ở chế độ CBC 89
Hình 4.4: Sơ đồ thuật toán DES 89
Hình 4.5: Mạng Fiestel 90
Hình 4.6: Phân phối khóa trong hệ thống mật mã khóa đối xứng 91
Hình 4.7: Mật mã luồng 92
Hình 4.8: Sơ đồ mã khóa công khai 93
Hình 4.9: Một bít thay đổi trong bản tin dẫn đến 50% các bít MD thay đổi 99
Hình 4.10: Các hàm băm thông dụng MD5, SHA 99
Hình 4.11: Cấu trúc cơ bản của MD5, SHA 100
Hình 4.12: Xác thực tính toàn vẹn dựa trên mã xác thực bản tin MAC 101
Hình 4.13: Quá trình tạo mã xác thực bản tin MAC 102
Hình 4.14: Chữ ký số 103
Hình 4.15: Giao thức hỏi đáp MAC 105
Hình 4.16: Giao thức hỏi đáp sử dụng chữ ký số 106
Nguyễn Đức Cường, Lớp D2001VT
vi

AA Acccess Accept Chấp nhận truy nhập
AAA Authentication, Authorization
and Accounting
Nhận thực, trao quyền và thanh toán
AC Access Control Điều khiển truy nhập
ACK Acknowledge Chấp nhận
ACL Acess Control List Danh sách điều khiển truy nhập
ADSL Asymmetric Digital Subscriber
Line
Công nghệ truy nhập đường dây thuê
bao số không đối xứng
AH Authentication Header Giao thức tiêu đề xác thực
ARP Address Resolution Protocol Giao thức phân giải địa chỉ
ARPA Advanced Research Project
Agency
Cục nghiên cứu các dự án tiên tiến của
Mỹ
ARPANET Advanced Research Project
Agency
Mạng viễn thông của cục nghiên cứu
dự án tiên tiến Mỹ
ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng bộ
BGP Border Gateway Protocol Giao thức định tuyến cổng miền
B-ISDN Broadband-Intergrated Service
Digital Network
Mạng số tích hợp đa dịch vụ băng rộng
BOOTP Boot Protocol Giao thức khởi đầu
CA Certificate Authority Thẩm quyền chứng nhận
CBC Cipher Block Chaining Chế độ chuỗi khối mật mã
CHAP Challenge - Handshake

IBM International Bussiness Machine Công ty IBM
ICMP Internet Control Message
Protocol
Giao thức bản tin điều khiển Internet
ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn
IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho Internet
IKE Internet Key Exchange Giao thức trao đổi khóa
IKMP Internet Key Management
Protocol
Giao thức quản lí khóa qua Internet
IN Intelligent Network Công nghệ mạng thông minh
IP Internet Protocol Giao thức lớp Internet
IPSec IP Security Protocol Giao thức an ninh Internet
ISAKMP Internet Security Association
and Key Management Protocol
Giao thức kết hợp an ninh và quản lí
khóa qua Internet
ISDN Intergrated Service Digital
Network
Mạng số tích hợp đa dịch vụ
ISO International Standard
Organization
Tổ chức chuẩn quốc tế
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IV Initial Vector Véc tơ khởi tạo
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
LAN Local Area Network Mạng cục bộ
LCP Link Control Protocol Giao thức điều khiển đường truyền
MAC Message Authentication Code Mã nhận thực bản tin

RAS Remote Access Service Dịch vụ truy nhập từ xa
RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF
đưa ra
RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực
RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa
công cộng
SA Security Association Liên kết an ninh
SAD SA Database Cơ sở dữ liệu SA
SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1
SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản
SN Sequence Number Số thứ tự
SPI Security Parameter Index Chỉ số thông số an ninh
SS7 Signalling System No7 Hệ thống báo hiệu số 7
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường
TLS Transport Level Security An ninh mức truyền tải
Nguyễn Đức Cường, Lớp D2001VT
xi
Đồ án tốt nghiệp Đại học Mục lục
UDP User Data Protocol Giao thức dữ liệu người sử dụng
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng diện rộng
Các ký hiệu toán học
Ký hiệu Ý nghĩa
C Văn bản mật mã.
D Thuật toán giải mã.
D
K
Thuật toán giải mã với khóa K.
E Thuật toán mật mã.

xii
Đồ án tốt nghiệp Đại học Mục lục
Với IP-VPN, các doanh nghiệp sẽ giảm được chi phí cho vận hành, duy trì
quản lý đơn giản, khả năng mở rộng tại các vùng địa lí khác nhau một cách linh hoạt
và không hạn chế. Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các
giải pháp thực hiện IP-VPN của doanh nghiệp, ví dụ như giao thức đường ngầm sử
dụng, các thuật toán mã hóa đi kèm và độ phức tạp của các thuật toán mã hóa này…
nhưng không phụ thuộc vào kiến trúc cơ sở hạ tầng của mạng viễn thông.
Mục đích của đồ án “Công nghệ IP-VPN” là tìm hiểu những vấn đề kỹ thuật cơ
bản có liên quan đến việc thực hiện IP-VPN, nội dung cụ thể như sau:
 Chương 1: Bộ giao thức TCP/IP. Chương này trình bày khái niệm của mô
hình phân lớp bộ giao thức TCP/IP. Trong đó tập trung đến 2 lớp là lớp Internet và
lớp vận chuyển. Đây là lớp giao thức nền tảng chung cho các thiết bị trong mạng
Internet, là cơ sở quan trọng cho nền tảng các mạng dựa trên IP. Qua đấy chúng ta
cũng nhận ra rằng mạng Internet nguyên thủy hoàn toàn không hỗ trợ các dịch vụ an
ninh và IP-VPN là một trong giải pháp cho vấn đề an ninh Internet.
 Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN. Chương này
bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó để có thể trở thành một
giải pháp có khả năng phát triển mạnh trên thị trường. Tiếp theo là trình bày về các
khối chức năng cơ bản của IP-VPN, phân loại mạng riêng ảo theo cấu trúc của nó.
Cuối cùng là trình bày về các giao thức đường ngầm sử dụng cho IP-VPN. Ở đây chỉ
trình bày một cách khái quát nhất về hai giao thức đường ngầm hiện đang tồn tại và
các sản phẩm tương đối phổ biến trên thị trường là PPTP và L2TP.
 Chương 3: Giao thức IPSec cho IP-VPN. Chương này trình bày các vấn
đề sau đây: thứ nhất là giới thiệu, khái niệm về giao thức IPSec và các chuẩn RFC có
liên quan. Thứ hai, trình bày vấn đề đóng gói thông tin IPSec, cụ thể là hai giao thức
đóng gói là AH (nhận thực tiêu đề) và ESP (đóng gói an toàn tải tin). Thứ ba, trình
bày về kết hợp an ninh SA và giao thức trao đổi khóa IKE để thiết lập các chính sách
và tham số cho kết hợp an ninh giữa các bên VPN. Thứ tư, giới thiệu về các giao thức
đang tồn tại ứng dụng cho IPSec, bao gồm có: mật mã bản tin, toàn vẹn bản tin, nhận

trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng
Internet hôm nay. Ban đầu, giao thức truyền thông được sử dụng trong mạng
ARPANET là NCP (Network Control Protocol), nhưng sau đó được thay thế bởi bộ
giao thức TCP/IP (Transfer Control Protocol/ Internet Protocol). Bộ giao thức TCP/IP
gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin
liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng.
Trước đây, người ta định nghĩa “Internet là mạng của tất cả các mạng sử dụng
giao thức IP”. Nhưng hiện nay, điều đó không còn chính xác nữa vì nhiều mạng có
kiến trúc khác nhau nhưng nhờ các cầu nối giao thức nên vẫn có thể kết nối vào
Internet và vẫn có thể sử dụng đầy đủ các dịch vụ Internet. Internet không chỉ là một
tập hợp các mạng được liên kết với nhau, Internetworking còn có nghĩa là các mạng
được liên kết với nhau trên cơ sở cùng đồng ý với nhau về các quy ước mà cho phép
Nguyễn Đức Cường, Lớp D2001VT
xiv
Đồ án tốt nghiệp Đại học Mục lục
các máy tính liên lạc với nhau, cho dù con đường liên lạc sẽ đi qua những mạng mà
chúng không được đấu nối trực tiếp tới. Như vây, kỹ thuật Internet che dấu chi tiết
phần cứng của mạng, và cho phép các hệ thống máy tính trao đổi thông tin độc lập với
những liên kết mạng vật lý của chúng.
TCP/IP có những đặc điểm sau đây đã làm cho nó trở nên phổ biến:
- Độc lập với kến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc
Ethernet, Token Ring, trong mạng cục bộ LAN cũng như mạng diện rộng WAN.
- Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng hay
hệ điều hành nào. Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp phần cứng cũng
như phần mềm khác nhau.
- Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ xác
định duy nhất. Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header gồm địa chỉ
của máy đích cũng như địa chỉ của máy nguồn.
- Khung Client - Server: TCP/IP là khung cho những ứng dụng client -
server mạnh hoạt động trên mạng cục bộ và mạng diện rộng.

Nguyễn Đức Cường, Lớp D2001VT
xvi
Đồ án tốt nghiệp Đại học Mục lục
 Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với
mạng vật lý. (Thông thường lớp này bao gồm các driver thiết bị trong hệ thống vận
hành và các card giao diện mạng tương ứng trong máy tính. Lớp này thực hiện nhiệm
vụ điều khiển tất cả các chi tiết phần cứng hoặc thực hiện giao tiếp vật lý vớ cácp
(hoặc với bất kỳ môi trường nào được sử dụng)). Cung cấp kiểm soát lỗi dữ liệu phân
bố trên mạng vật lý. Lớp này không định nghĩa một giao thức riêng nào cả, nó hỗ trợ
tất cả các giao thức chuẩn và độc quyền. Ví dụ: Ethernet, Tocken Ring, FDDI, X.25,
wireless, Async, ATM, SNA…
1.3 Các giao thức trong mô hình TCP/IP
1.3.1 Giao thức Internet
1.3.1.1 Giới thiệu chung
Mục đích của giao thức Internet là chuyển thông tin (dữ liệu) từ nguồn tới đích.
IP sử dụng các gói tin dữ liệu đồ (datagram). Mỗi datagram có chứa địa chỉ đích và IP
sử dụng thông tin này để định tuyến gói tin tới đích của nó theo đường đi thích hợp.
Các gói tin của cùng một cặp người sử dụng dùng những tuyến thông tin khác nhau,
việc định tuyến là riêng biệt đối với từng gói tin. Giao thức IP không lưu giữ trạng
thái, sau khi datagram được chuyển đi thì bên gửi không còn lưu thông tin gì về nó
nữa, vì thế mà không có phương pháp nào để phát hiện các gói bị mất và có thể dẫn tới
trình trạng lặp gói và sai thứ tự gói tin.
Hình 1.2: Định tuyến khi sử dụng IP datagram.
Giao thức Internet là giao thức phi kết nối (connectionless), nghĩa là không cần
thiết lập đường dẫn trước khi truyền dữ liệu và mỗi gói tin được xử lí độc lập. IP
không kiểm tra tổng cho phần dữ liệu của nó, chỉ có Header của gói là được kiểm tra
để tránh gửi nhầm địa chỉ. Các gói tin có thể đi được theo nhiều hướng khác nhau để
tới đích. Vì vậy dữ liệu trong IP datagram không được đảm bảo. Để xử lý nhược điểm
mất hoặc lặp gói IP phải dựa vào giao thức lớp cao hơn để truyền tin cậy (ví dụ TCP).
Nguyễn Đức Cường, Lớp D2001VT

datagram, cung cấp cơ chế cho phép điều khiển các gói tin qua mạng. Các bit còn lại
dùng để xác định kiểu lưu lượng datagram tin khi nó chuyển qua mạng như đặc tính
thông, độ trễ và độ tin cậy. Tuy nhiên, bản thân mạng Internet không đảm bảo chất
lượng dịch vụ, vì vậy trường này chỉ mạng tính yêu cầu chứ không mang tính đòi hỏi
đối với các bộ định tuyến.
 Total length (tổng độ dài): trường này gồm 16 bit, nó sử dụng để xác định
chiều dài của toàn bộ IP datagram.
 Identification (nhận dạng): trường nhận dạng dài 16 bit. Trường này được
máy chủ dùng để phát hiện và nhóm các đoạn bị chia nhỏ ra của gói tin. Các bộ định
tuyến sẽ chia nhỏ các datagram nếu như dơn vị truyền tin lớn nhất của gói tin (MTU-
Maximum Transmission Unit) lớn hơn MTU của môi trường truyền.
 Flags (cờ): chứa 3 bit được sử dụng cho quá trình điều khiển phân đoạn,
bít đầu tiên chỉ thị tới các bộ định tuyến cho phép hoặc không cho phép phân đoạn gói
tin, 2 bit giá trị thấp được sử dụng điều khiển phân đoạn, kết hợp với trường nhận dạng
để xác định được gói tin nhận sau quá trình phân đoạn.
 Fragment offset: mạng thông tin về số lần chỉa một gói tin, kích thước của
gói tin phụ thuộc vào mạng cơ sở truyền tin, tức là đọ dài gói tin không thể vượt quá
MTU của môi trường truyền.
 Time - to - live (thời gian sống): được dùng để ngăn việc các gói tin lặp
vòng trên mạng. Nó có vai trò như một bộ đếm ngược, tránh hiện tượng các gói tin đi
quá lâu trong mạng. Bất kì gói tin nào có thời gian sống bằng 0 thì gói tin đó sẽ bị bộ
định tuyến hủy bỏ và thông báo lỗi sẽ được gửi về trạm phát gói tin.
 Protocol (giao thức): trường này được dùng để xác nhận giao thức tầng kế
tiếp mức cao hơn đang sử dụng dịch vụ IP dưới dạng con số.
 Header checksum: trường kiểm tra tổng header có độ dài 16 bit, được tính
toán trong tất cả các trường của tiêu đề IPv4. Một gói tin khi đi qua các bộ định tuyến
Nguyễn Đức Cường, Lớp D2001VT
xix
Đồ án tốt nghiệp Đại học Mục lục
thì các trường trong phần tiêu đề có thể bị thay đổi, vì vậy trường này cần phải được

Địa chỉ: Mỗi trạm trong mạng đều được đặc trưng bởi một số hiệu nhất định
gọi là địa chỉ IP. Địa chỉ IP được sử dụng trong lớp mạng để định tuyến các gói tin qua
mạng. Do tổ chức và độ lớn của các mạng con trong liên mạng khác nhau, nên người
ta chia địa chỉ IP thành các lớp A, B, C, D, E.
Hình 1.6: Các lớp địa chỉ IPv4
Định tuyến trong mạng Internet: việc định tuyến trong một hệ thống mạng
chuyển gói chỉ ra tiến trình lựa chọn tuyến đường để gửi gói dữ liệu qua hệ thống đó.
Router chính là thành phần thực hiện chức năng bộ định tuyến. Việc định tuyến sẽ tạo
nên mạng ảo bao gồm nhiều mạng vật lý cung cấp dịch vụ phát chuyển gói tin theo
một phương thức phi kết nối. Có nhiều giao thức và phần mềm khác nhau được sử
dụng để định tuyến. Việc chọn kênh cho một gói tin dựa trên hai tiêu chuẩn: trạng thái
của các nút và liên kết hoặc khoảng cách tới đích (chiều dài quãng đường hoặc số hop
trên đường). Một khi tiêu chuẩn khoảng cách được chọn thì các tham số khác như: độ
trễ, băng thông hoặc xác suất mất gói…được tính đến khi lựa chọn tuyến.
1.3.1.4. Cấu trúc gói tin IPv6
Thế giới đang đối mặt với việc thiếu địa chỉ IP cho các thiết bị mạng, địa chỉ
dài 32 bit không đáp ứng được sự bùng nổ của mạng. Thêm nữa, IPv4 là giao thức cũ,
không đáp ứng được các yêu cầu mới về bảo mật, sự linh hoạt trong định tuyến và hỗ
trợ lưu lượng. Diễn đàn IPv6 được bắt đầu vào tháng 7-1999 bởi 50 nhà cung cấp
Nguyễn Đức Cường, Lớp D2001VT
xxi
Đồ án tốt nghiệp Đại học Mục lục
Internet hàng đầu với mục đích phát triển giao thức IPv6, nó được thiết kế bao gồm
các chức năng và định dạng mở rộng hơn IPv4 để giải quyết vấn đề cải thiện chất
lượng và bảo mật của Internet. IPv6 đặc biệt quan trong khi các thiết bị tính toán di
động tiếp tục tham gia vào Internet trong tương lai.
Do sự thay đổi bản chất của Internet và mạng thương mại mà giao thức liên
mạng IP trở nên lỗi thời. Trước đây, Internet và hầu hết mạng TCP cung cấp sự hỗ trợ
các ứng dụng phân tán khá đơn giản như truyền file, mail, truy nhập từ xa TELNET.
Song ngày nay, Internet ngày càng trở thành phương tiện, môi trường giàu tính ứng

Những đặc điểm của IPv6
 Mở rộng không gian địa chỉ cho phép phân cấp và giải quyết được sự thiếu
địa chỉ. Với IPv6 có 2
128
địa chỉ (khoảng 3,4x10
38
địa chỉ).
 Hiệu quả hơn trong việc định tuyến: việc đăng ký địa chỉ IPv6 được thiết
kế để kích cỡ của bảng định tuyến đường trục không vượt quá giá trị 10.000
trong khi kích cỡ bảng định tuyến của IPv4 thường lớn hơn 100.000 bản ghi.
 Tiêu đề nhỏ hơn so với các mở rộng tùy chọn, vì vậy một số trường bị loại
bỏ hoặc thay bằng tùy chọn nên làm giảm gánh nặng cho các quá trình xử lý
và giảm chi phí cho băng thông.
 Tăng cường chất lượng dịch vụ.
 Xây dựng sẵn cơ chế truyền tin an toàn.
 Hỗ trợ mạng thông tin di động.
1.3.2. Giao thức lớp vận chuyển
1.3.2.1. Giao thức UDP
Giao thức UDP (User Datagram Protocol) cung cấp cơ chế chính yếu mà các
chương trình ứng dụng sử dụng để gửi đi các gói tin tới các chương trình ứng dụng
khác. UDP cung cấp các cổng để phân biệt các chương trình ứng dụng trên một máy
tính đơn. Nghĩa là, cùng với mỗi một bản tin gửi đi, mỗi bản tin UDP còn bao gồm
một giá trị cổng nguồn và cổng đích, giúp cho phần mềm UDP tại đích có thể phát
chuyển gói tin tới đúng nơi nhận và cho phép nơi nhận gửi trả lại xác nhận tin.
UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo độ tin
cậy như IP. UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin đên đích hay
không, không thực hiện sắp xếp các bản tin và không cung cấp thông tin phản hồi để
xác định mức độ truyền thông tin giữa hai máy. Chính vì vậy, một chương trình ứng
Nguyễn Đức Cường, Lớp D2001VT
xxiii

Giải thích ý nghĩa các trường:
 Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị
cổng TCP để xác định các chương trình ứng dụng tại hai đầu kết nối. Mỗi khi TCP
nhận gói dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu TCP. Khi đọc
Destination port, nó sẽ tìm trong tệp tin chứa các thông tin về dịch vụ để gửi dữ liệu
đến chương trình ứng với số cổng đó. Song với TCP, giá trị cổng phức tạp hơn UDP vì
một giá trị cổng TCP cho trước không tương ứng với một đối tượng đơn. Thay vì vậy,
TCP được xây dựng trên kết nối trừu tượng, trong đó các đối tượng được xác định là
những liên kết mạch ảo, không phải từng cổng. Ví dụ như giá trị 192.168.2.3,25 xác
định cổng TCP 25 trên máy tính có địa chỉ 192.168.2.3.
 Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte dữ liệu
trong segment của nơi gửi.
 Acknowledgment Number (số xác nhận): xác định số octet mà nguồn
đang đợi để nhận kế tiếp. Lưu ý là Sequence Number để chỉ đến lượng dữ liệu theo
cùng chiều với segment, trong khi giá trị Acknowledgment Number để chỉ đến dữ liệu
ngược lại với segment đến.
 Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài
của phần đầu segment, được tính theo bội số của 32 bit. Giá trị này là cần thiết vì có
phần Options có độ dài thay đổi, tùy thuộc vào những lựa chọn đã được đưa vào.
 Unused (dự phòng): được dành riêng để sử dụng trong tương lai.
 Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của
segment, diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit. Ví dụ
segment chỉ chuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải những yêu cầu để
thiết lập hoặc ngắt nối.
 Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đêm
cho quá trình truyền.
 Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài
dòng xác định, chương trình nhận phải được thông báo lập tức ngay khi dữ liệu đến
cho dù nó nằm ở đâu trong vùng dữ liệu. Sau khi xử lý xong dữ liệu khẩn cấp, TCP
thông báo cho chương trình ứng dụng trở về trạn thái thông thường.