HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI THỰC TẬP CƠ SỞ :
Triển khai công nghệ IpSec trên giao thức IPv6
trong môi trường Window Server 2008

Giáo viên hướng dẫn :Nguyễn Hồng Việt
Sinh viên thực hiện : Dương Văn Tuyến
Nguyễn Quốc Thuận
Nguyễn Văn Nhật

Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI THỰC TẬP CƠ SỞ :
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi
trường Window Server 2008
Nhận xét của giáo viên hướng dẫn :………………………………………………………..
………………………………………………………………………………………………
…..
………………………………………………………………………………………………
…..
………………………………………………………………………………………………
…..
………………………………………………………………………………………………
…..
………………………………………………………………………………………………
…..
………………………………………………………………………………………………
…..
Điểm chuyên cần của nhóm : ……………………………………………………………….

Chương III. Tìm hiểu IPSec
1.Tổng quan
2.Cấu trúc bảo mật
3.Hiện trạng
4.Thiết kế theo yêu cầu
5.Mode
1.Transport mode
2.Tunnel mode
6. Phương thức
6.1Authentication Header (AH)
6.2Encapsulating Security Payload (ESP)
7. Trao đổi khóa trong IPSEC - Key Exchange(IKE)
7.1 Trao đổi khóa trong IpSec - Key Exchange(IKE)
7.1.1 ISAKMP phase 1
7.1.2 ISAKIMP phase 2
7.2 IKE Modes
Chương IV.Demo
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
4
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
(triển khai Ipsec trên giao thức ipv6 trong window server 2008,dùng các Tool
Network monitor,wireshark phấn tích gói tin…)
Lời nói đầu
IPv4 đang cạn kiệt,cả thế giới đã lên kế hoạch chuyển sang dải địa chỉ IPv6 để
cung cấp cho cả thế giới.Chúng ta hãy tưởng tượng là chiếc Tivi,nồi cơm
điện,điều hòa….đều có thể điều khiển từ xa khi chúng đã được gắn địa chỉ
IP,nhờ có IPv6 điều đó có thể xảy ra.Vấn đề bảo mật cho IPv6 ra sao?nếu triển
khai trên hệ thống window server 2008 sẽ thế nào?Tất cả điều đó sẽ được trình
bày chi tiết trong đề tài này.
Chương I.Tìm hiểu về Window Server 2008

chủ của họ
2.Các công nghệ của Window Server 2008
2.1.Web
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
6
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
7
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
2.2.Ảo hóa
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
8
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
2.3.Bảo mật
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
9
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
2.4.Nền tảng hợp nhất cho công việc của doanh nghiệp
3.So sánh các hệ thống Windows,Linux,Unix
3.1 Windows,Linux(giá cả,tính năng,quản lý,bảo trì,bảo mật….)
Window Server Red Hat Enterprise
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
10
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
-TCO:Chi Phí triển khai & sử dụng:
$199-$3919
+Giảm thời gian bảo trì,quản lý
-Reliability - Độ ổn định
+Dễ cấu hình,quản lý=>ổn định hơn
(Chuẩn hóa,cung cấp các công cụ quản trị cơ

-TCO:Chi phí triển khai:
+Chi phí rẻ đáp ứng yêu cầu thương mại
+window Server 2008 đáp ứng nhiều yêu cầu về giá
cả,quản lý,bảo trì….
-Mission-Critical Needs (ứngdụng trọng yếu).
+Chi phí xây dựng,bảo dưỡng,quản lý cao
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
11
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
+Ứng dụng đa dạng,tùy từng loại,hỗ trợ đa số các
công ty vừa và nhỏ,lớn….
+Độ tin cậy cho hệ thống lớn <Unix
-Applications, Partners and Choice - Ứng dụng, đối
tác và lựa chọn
+Đối tác,chuyên gia,kỹ sư hợp tác nhiều..
+Phần cứng áp dụng được hỗ trợ nhiều
-Next Generation Technologies –
Trong tương lai công nghệ sẽ thế nào?
+Phát triển nhanh chóng,hoàn thiện,đa dạng…nền
tảng cho nhu cầu thương mại tương lai
+Ứng dụng hạn chế,chuyên việt cao,phần
cứng giới hạn,dùng cho cty lớn..
+Mở rộng tin cậy,bảo mật
+Các hãng phần mềm,đối tác,kỹ sư,chuyên
gia ít..(chú trọng phát triển Unix)
+Support khó khăn(ít người am hiểu unix..)
+Là 1 công nghệ cũ,các ứng dụng trong
tương lai
Có thể khó đáp ứng yêu cầu thương mại
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã

chút. Vì IPv6 là một địa chỉ mới nên chúng ta sẽ ko xài hết 128 bits, cũng
giống như SIM điện thoại vậy, đầu số 0122 mới ra có rất nhiều số và do
đó chúng ta có quyền lựa chọn. Và IPv6 cũng vậy, vì mới ra cho nên sẽ
có nhiều số 0 ở các bit đầu. Chúng ta có thể lược bỏ các số 0 này đi. Tôi
lấy một ví dụ cụ thể:
Địa chỉ: 1088:0000:0000:0000:0008:0800:200C:463A
–> Bạn có thể viết 0 thay vì phải viết là 0000, viết 8 thay vì phải viết 0008,
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
13
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
viết 800 thay vì phải viết là 0800
Và đây là địa chỉ đã được rút gọn: 1088:0:0:0:8:800:200C:463A
Nhìn chung như vậy cũng được rồi, nhưng IPv6 còn có một nguyên tắc
nữa là bạn có thể nhóm các số 0 lại thành 2 dấu hai chấm “::”, địa chỉ ở
trên, bạn có thể viết lại như sau:
1088::8:800:200C:463A
Qua ví dụ trên, bạn sẽ rút ra được 2 nguyên tắc:
- -Trong dãy địa chỉ IPV6, nếu có số 0 đứng đầu có thể loại bỏ. Ví dụ
0800 sẽ được viết thành 800, hoặc 0008 sẽ được viết thành 8
-- Trong dãy địa chỉ IPv6, nếu có các nhóm số 0 liên tiếp, có thể đơn
giản các nhóm này bằng 2 dấu :: ( chí áp dụng khi dãy 0 liên tiếp nhau)
Ví dụ 1: FADC:BA98::7654:3210
-> IPv6 có tổng cộng là 8 nhóm, mà ở trên có 4 nhóm, như vậy ở giữa 2 dấu
hai chấm, sẽ là 4 nhóm số 0. Vậy địa chỉ trên có thể viết đầy đủ là:
FADC:BA98:0:0:0:0:7654:3210
Ví dụ 2: FADC:BA98:7654:3210::
-> có địa chỉ đầy đủ là: FADC:BA98:7654:3210:0:0:0:0
Ví dụ 3: ::FADC:BA98:7654:3210
-> có địa chỉ đầy đủ là: 0:0:0:0:FADC:BA98:7654:3210
Có trường hợp như thế này:

+ Anycast Address: Anycast Address dùng để xác định nhiều Interfaces.
Tuy vậy, Packet có đích đến là Anycast Address sẽ thông qua Routing để
chuyển đến một Interface trong số các Interface có cùng Anycast Address,
thông thường là Interface gần nhất. Chữ “gần nhất” ở đây được xác định
thông qua giao thức định tuyến đang sử dụng
+ Multicast Address: Multicast Address dùng để xác định nhiều Interfaces.
Packet có đích đến là Multicast Address sẽ thông qua Routing để chuyển đến
tất cả các Interfaces có cùng Multicast Address
nhận thấy IPv6 không có địa chỉ Broadcast vì chức năng của địa chỉ này
đã bao gồm trong nhóm địa chỉ Multicast
Nói tóm lại, có thể hiểu như sau:
Unicast : Gửi tới 1 địa chỉ xác định
Multicast: Gửi tới tất cả các thành viên của 1 nhóm
Anycast: Gửi tới 1 thành viên gần nhất của 1 nhóm
Bây giờ chúng ta sẽ đi sâu vào từng loại :
2.1- Unicast Address:
Được chia thành 4 nhóm:
a/ Global Unicast Address:
Địa chỉ này được sử dụng để hỗ trợ cho các ISP. Nói đại khái cho dễ hiểu là
nó giống như địa chỉ Public của IPv4.
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
15
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008

001: 3 bits đầu luôn luôn có giá trị = 001
TLA ID( Top Level Aggregation): Xác định nhà cung cấp cao nhất trong hệ
thống các nhà cung cấp dịch vụ
Res: chưa sử dụng
NLA ID (Next Level Aggregation): Xác định nhà cung cấp tiếp theo trong hệ
thống các nhà cung cấp dịch vụ

Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
17
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008

1111 1101 : 8 bits đầu là giá trị cố định FD00:: /8
40 bits kế tiếp là Global ID : địa chỉ Site (Site ID). Có thể gán tùy ý
16 bits kế tiếp là Subnet ID : địa chỉ Subnet trong Site, có thể tạo ra 65.536
subnet trong một site
64 bits cuối cùng: là địa chỉ của Interface
2.2- Anycast Address:
Anycast Address là địa chỉ đặc biệt có thể gán cho nhiều interface, gói tin chuyển
đến Anycast Address sẽ được vận chuyển bởi hệ thống Routing đến Interface
gần nhất. Hiện nay, địa chỉ Anycast được sử dụng rất hạn chế, rất ít tài liệu nói
về cách sử dụng loại địa chỉ này. Hầu như Anycast addresss chỉ được dùng để
đặt cho Router, không đặt cho Host, lý do là bởi vì hiện nay địa chỉ này chỉ được
sử dụng vào mục đích cân bằng tải.
Ví dụ : khi một nhà cung cấp dịch vụ mạng có rất nhiều khách hàng muốn truy
cập dịch vụ từ nhiều nơi khác nhau, nhà cung cấp muốn tiết kiệm nên chỉ để một
Server trung tâm phục vụ tất cả, họ xây dựng nhiều Router kết nối khách hàng
với Server trung tâm, khi đó mỗi khách hàng có thể có nhiều con đường để truy
cập dịch vụ. Nhà cung cấp dịch vụ đặt địa chỉ Anycast cho các Interfaces là các
Router kết nối đến Server trung tâm, bây giờ mỗi khách hàng chỉ việc ghi nhớ và
truy cập vào một địa chỉ Anycast thôi, tự động họ sẽ được kết nối tới Server
thông qua Router gần nhất. Đây thật sự là một cách xử lý đơn giản và hiệu quả
Khi tìm hiểu về địa chỉ Anycast, chúng ta sẽ thấy rất nhầm lẫn. Bởi vì nếu như
gán địa chỉ này cho một Interface thì nó y như là địa chỉ Unicast, nhưng khi gán
cho nhiều Interfaces thì nó lại có vẻ như là địa chỉ Multicast
2.3 Multicast Address:
Trong địa chỉ IPv6 không còn tồn tại khái niệm địa chỉ Broadcast. Mọi chức năng
của địa chỉ Broadcast trong IPv4 được đảm nhiệm thay thế bởi địa chỉ IPv6

6to4 Address là địa chỉ của Tunnel (Tulneling Address) định nghĩa bởi RFC
3056
3.Header Ipv6
Lớp AT5C-Học Viện Kỹ Thuật Mật Mã
19
Triển khai công nghệ IpSec trên giao thức IPv6 trong môi trường Window Server 2008
IPv6 là bản nâng cấp của IPv4 , như trong hình trường Flow Label và
Extension headers là những trường được thêm mới vào trong IPv6
Các trường cơ bản của IPv6 Header:
• Version(4-bit) – Phiên bản của giao thức IP. Trường này chứa giá trị 6 khác
với giá trị 4 của IPv4
• Traffic Class(8-bit) – Trường này có chức nay tương tự trường Type of
Service(ToS) trong IPv4. Nó được đánh dấu gói tin IPv6 với mã Differentiated
Services Code Point(DSCP), khi một gói tin được đánh dấu DSCP thì các router
sẽ biết gói tin được xử lý ưu tiên như thế nào.
• Flow Label(20-bit) – Trường này có tác dụng đánh dấu luồng cho gói tin IPv6,
nó giúp cho các router chuyển gói tin một cách liên tục từ nguồn tới đích . Flow
Label được sử dụng trong IPv6 sẽ hỗ trợ tốt hơn khi thực thi QoS.
Khái niệm một dòng (flow):
Một dòng (flow) là một chuỗi các gói tin được gửi từ một nguồn tới một đích nhất
định (có thể là unicast hay multicast). Nguồn sẽ yêu cầu các router có các xử lí
đặc biệt đối với các gói tin thuộc một flow. Việc cần phải xử lí như thế nào đối
với gói tin có thể được truyền tới router bằng một thủ tục điều khiển, hoặc cũng
có thể là thông tin chứa trong chính gói tin của dòng, ví dụ như header mở rộng
hop-by-hop của gói tin.
Giữa một nguồn và một đích có thể có nhiều dòng. Việc kết hợp giữa địa chỉ
nguồn và một số Flow label khác 0 sẽ xác định duy nhất một dòng. Những gói tin
không thuộc dòng nào cả sẽ được thiết lập toàn bộ các bít Flow Label có giá trị
0.
Mọi gói tin thuộc cùng một dòng phải được gửi với cùng địa chỉ nguồn, cùng địa