คุณสมบัติหลักอื่นๆ ของโปรโตคอล Neighbor Discovery มีดังต่อไปนี้:
ในตอนท้ายของบทความคุณจะพบกับสิ่งเล็ก ๆ น้อย ๆ ทดสอบ ที่จะช่วยให้คุณ ประเมิน ความรู้ที่ได้รับจากการอ่านครั้งนี้
การกำหนดค่าที่อยู่อัตโนมัติ (SLAAC)
การกำหนดค่าที่อยู่ IPv6 อัตโนมัติเป็นกระบวนการที่โหนดกำหนดและกำหนดค่าที่อยู่ IPv6 โดยอัตโนมัติ โดยไม่ต้องมีการแทรกแซงด้วยตนเองหรือเซิร์ฟเวอร์การกำหนดค่า กลไกการกำหนดค่าอัตโนมัตินี้ใช้โปรโตคอล Neighbor Discovery และส่วนขยายการกำหนดค่าอัตโนมัติของ IPv6 การดำเนินงานของ SLAAC มีดังนี้:
การระบุคำนำหน้าเครือข่าย
ขั้นตอนแรกในการกำหนดค่าอัตโนมัติของที่อยู่คือการได้รับคำนำหน้าเครือข่าย โหนดได้รับข้อมูลนี้ผ่านวิธีการต่างๆ เช่น การรับข้อความโฆษณาเราเตอร์ที่ส่งโดยเราเตอร์บนเครือข่ายหรือผ่านกลไกการค้นพบเครือข่ายอื่นๆ
การสร้างอินเทอร์เฟซตัวระบุ
เมื่อโหนดได้รับคำนำหน้าเครือข่ายแล้ว โหนดจะสร้างตัวระบุอินเทอร์เฟซเพื่อสร้างที่อยู่เฉพาะ ซึ่งอาจขึ้นอยู่กับที่อยู่ MAC ของอินเทอร์เฟซเครือข่าย แม้ว่าวิธีการอื่นๆ เช่น การสร้างตัวเลขสุ่มก็สามารถใช้ได้เช่นกัน
การรวมกันของคำนำหน้าและตัวระบุอินเทอร์เฟซ
โหนดจะรวมคำนำหน้าเครือข่ายที่ได้รับเข้ากับตัวระบุอินเทอร์เฟซที่สร้างขึ้นเพื่อสร้างที่อยู่ IPv6 แบบเต็ม ที่อยู่นี้ไม่ซ้ำกันภายในเครือข่าย
การตรวจจับการซ้ำซ้อนที่อยู่
ก่อนที่จะใช้ที่อยู่ที่กำหนดค่าโดยอัตโนมัติ โหนดจะทำการตรวจจับการซ้ำซ้อนของที่อยู่ สิ่งนี้เกี่ยวข้องกับการส่งข้อความ Neighbor Solicitation ไปยังที่อยู่ IPv6 ที่สร้างขึ้นเพื่อตรวจสอบว่าเครื่องอื่นบนเครือข่ายกำลังใช้งานอยู่หรือไม่
ประกาศเกี่ยวกับเราเตอร์
เราเตอร์บนเครือข่ายส่งข้อความโฆษณาเราเตอร์เป็นระยะ ซึ่งมีข้อมูลการกำหนดค่าเครือข่ายและพารามิเตอร์สำหรับโหนด ข้อความเหล่านี้อนุญาตให้โหนดรับคำนำหน้าเครือข่ายและรายละเอียดอื่นๆ ที่จำเป็นสำหรับการกำหนดค่าที่อยู่อัตโนมัติ
อัพเดตตารางเพื่อนบ้าน
เมื่อโหนดสื่อสารกันบนเครือข่าย โหนดจะรักษาตารางเพื่อนบ้านที่จัดเก็บที่อยู่ IPv6 และที่อยู่ MAC ของเพื่อนบ้านที่รู้จัก ตารางนี้ได้รับการอัปเดตอย่างต่อเนื่องเมื่อมีการค้นพบเพื่อนบ้านใหม่และมีการสร้างการสื่อสารกับพวกเขา
การกำหนดค่าที่อยู่อัตโนมัติใน IPv6 ช่วยลดความยุ่งยากในการกำหนดค่าเครือข่ายและอำนวยความสะดวกในการกำหนดที่อยู่ให้กับโหนดโดยอัตโนมัติ ด้วยการใช้ประโยชน์จากโปรโตคอล Neighbor Discovery และส่วนขยายการกำหนดค่าอัตโนมัติของ IPv6 โหนดสามารถกำหนดที่อยู่ที่ไม่ซ้ำกันและสร้างการสื่อสารข้ามเครือข่ายโดยไม่ต้องมีการกำหนดค่าด้วยตนเองที่ซับซ้อน
การรักษาสถานะของพื้นที่ใกล้เคียง
การบำรุงรักษาสถานะของพื้นที่ใกล้เคียงใน IPv6 หมายถึงกระบวนการที่โหนดในเครือข่าย IPv6 ยังคงตรวจสอบและอัปเดตข้อมูลเกี่ยวกับเพื่อนบ้านบนเครือข่าย
กระบวนการนี้ช่วยให้แน่ใจว่าตาราง Neighbor ของแต่ละโหนดเป็นข้อมูลล่าสุดและสะท้อนถึงที่อยู่ IPv6 และที่อยู่ MAC ของ Neighbor ที่รู้จักได้อย่างถูกต้อง
ด้านล่างนี้เป็นคำอธิบายโดยละเอียดเกี่ยวกับวิธีการบำรุงรักษาสถานะพื้นที่ใกล้เคียงใน IPv6:
การตรวจสอบการเชื่อมต่อ
- แต่ละโหนดจะตรวจสอบการเชื่อมต่อกับเพื่อนบ้านเป็นระยะๆ เพื่อให้แน่ใจว่าโหนดเหล่านั้นยังคงทำงานอยู่และสามารถเข้าถึงได้
- ซึ่งทำได้โดยการส่งข้อความ Neighbor Solicitation ไปยังที่อยู่ IPv6 ของเพื่อนบ้าน และรอการตอบกลับจาก Neighbor Advertisement
อัพเดตตารางเพื่อนบ้าน
- เมื่อโหนดได้รับข้อความโฆษณา Neighbor โหนดจะอัพเดตตาราง Neighbor ด้วยที่อยู่ IPv6 และที่อยู่ MAC ของ Neighbor ที่เกี่ยวข้อง
- หากตรวจพบการเปลี่ยนแปลงข้อมูลเพื่อนบ้าน เช่น การเปลี่ยนแปลงที่อยู่ MAC หรือที่อยู่ IPv6 ใหม่ ตารางเพื่อนบ้านจะได้รับการอัปเดตด้วยข้อมูลล่าสุด
การตรวจจับเพื่อนบ้านที่ไม่สามารถเข้าถึงได้
- หากโหนดหยุดรับการตอบสนองต่อคำขอเพื่อนบ้านที่ส่งไปยังที่อยู่ IPv6 เฉพาะ โหนดจะทำเครื่องหมายเพื่อนบ้านที่เกี่ยวข้องว่าไม่สามารถเข้าถึงได้ในตารางเพื่อนบ้าน
- การตรวจจับเพื่อนบ้านที่ไม่สามารถเข้าถึงได้นี้ทำให้โหนดสามารถอัปเดตข้อมูลบริเวณใกล้เคียงได้อย่างรวดเร็วและปรับให้เข้ากับการเปลี่ยนแปลงในเครือข่าย
ความล่าช้าแบบสุ่มในข้อความเชิญชวนเพื่อนบ้าน
- เพื่อหลีกเลี่ยงไม่ให้เครือข่ายแออัดด้วยข้อความ Neighbor Solicitation พร้อมกัน โหนดจะสุ่มดีเลย์ก่อนที่จะส่งคำขอ
- ความล่าช้าแบบสุ่มนี้ช่วยกระจายคำขอเมื่อเวลาผ่านไป และลดโอกาสที่จะเกิดการชนกันและความแออัดของเครือข่าย
การหมดอายุของรายการเพื่อนบ้าน
- แต่ละรายการในตารางเพื่อนบ้านของโหนดมีเวลาที่เกี่ยวข้องกัน
- หากโหนดไม่ได้รับการอัพเดต Neighbor ภายในระยะเวลาที่กำหนด รายการจะถือว่าหมดอายุและจะถูกลบออกจากตาราง Neighbor
- เพื่อให้แน่ใจว่าตารางเพื่อนบ้านจะได้รับการอัปเดตอยู่เสมอและมีเฉพาะข้อมูลเกี่ยวกับเพื่อนบ้านที่ใช้งานอยู่และสามารถเข้าถึงได้เท่านั้น
การค้นหาเส้นทางเริ่มต้น
การค้นหาเส้นทางเริ่มต้นใน IPv6 เป็นกระบวนการที่โหนดกำหนดเส้นทางที่จะใช้เพื่อส่งแพ็กเก็ตนอกเครือข่ายท้องถิ่น ซึ่งเกี่ยวข้องกับการระบุและการกำหนดค่าเส้นทางเริ่มต้นเพื่อใช้เมื่อไม่ได้ระบุเส้นทางเฉพาะสำหรับปลายทางใดจุดหมายหนึ่ง
การดำเนินการค้นหาเส้นทางเริ่มต้นจะเป็นดังนี้:
โฆษณาเราเตอร์
- เราเตอร์บนเครือข่ายจะส่งข้อความ "โฆษณาเราเตอร์" เป็นระยะผ่านที่อยู่มัลติคาสต์ "All-Routers"
- ข้อความเหล่านี้ประกอบด้วยข้อมูลที่เกี่ยวข้องกับการกำหนดค่าของโหนด รวมถึงการบ่งชี้เส้นทางเริ่มต้น
บ่งชี้เส้นทางเริ่มต้น
- ข้อความประกาศของเราเตอร์อาจมีตัวเลือกที่เรียกว่า "เส้นทางเริ่มต้น" ซึ่งระบุที่อยู่ฮอปถัดไปหรือลิงก์ขาออกสำหรับแพ็กเก็ตที่ไม่มีเส้นทางเฉพาะ
กำลังประมวลผลข้อความประกาศของเราเตอร์
- เมื่อโหนดได้รับข้อความโฆษณาเราเตอร์ โหนดจะตรวจสอบว่ามีตัวเลือกเส้นทางเริ่มต้นอยู่หรือไม่
- หากพบตัวเลือกเส้นทางเริ่มต้น โหนดจะกำหนดค่าตารางเส้นทางให้รวมเส้นทางเริ่มต้นที่ระบุในข้อความ
การเลือกเส้นทางเริ่มต้น
- หากมีตัวเลือกเส้นทางเริ่มต้นหลายตัวเลือกในข้อความประกาศของเราเตอร์ โหนดจะต้องเลือกหนึ่งในนั้น
- กระบวนการคัดเลือกอาจขึ้นอยู่กับเกณฑ์ที่แตกต่างกัน เช่น ลำดับความสำคัญของเราเตอร์โฆษณา หรือคุณภาพของการเชื่อมต่อ
อัพเดตตารางเส้นทาง
- เมื่อเลือกเส้นทางเริ่มต้นแล้ว โหนดจะอัปเดตตารางเส้นทางด้วยข้อมูลที่เกี่ยวข้อง
- ตารางนี้จะรวมที่อยู่ปลายทางของเส้นทางเริ่มต้นและที่อยู่ของลิงก์กระโดดหรือขาออกถัดไปที่เกี่ยวข้อง
การกำหนดเส้นทางแพ็คเก็ต
- เมื่อโหนดจำเป็นต้องส่งแพ็กเก็ตนอกเครือข่ายท้องถิ่นและไม่มีเส้นทางเฉพาะ โหนดจะใช้เส้นทางเริ่มต้นที่กำหนดค่าไว้ในตารางเส้นทาง
- แพ็กเก็ตจะถูกส่งไปยังฮอปถัดไปหรือส่งโดยตรงไปยังลิงก์ทางออกตามที่ระบุไว้ในเส้นทางเริ่มต้น
การค้นหาเส้นทางเริ่มต้นใน IPv6 ช่วยให้โหนดสามารถกำหนดเส้นทางที่จะใช้เพื่อส่งแพ็กเก็ตนอกเครือข่ายท้องถิ่นได้โดยอัตโนมัติ เมื่อรับและประมวลผลข้อความโฆษณาเราเตอร์ โหนดจะกำหนดค่าตารางเส้นทางด้วยเส้นทางเริ่มต้นที่เหมาะสม เพื่อให้มั่นใจว่าการกำหนดเส้นทางแพ็คเก็ตในเครือข่าย IPv6 มีประสิทธิภาพและถูกต้อง
ป้องกันการโจมตีด้วยการปลอมแปลง
การป้องกันการโจมตีด้วยการปลอมแปลงใน IPv6 เป็นสิ่งสำคัญในการรับรองความปลอดภัยของการสื่อสาร และป้องกันไม่ให้โหนดที่เป็นอันตรายแอบอ้างเป็นโหนดอื่นบนเครือข่าย
ต่อไปนี้เป็นมาตรการป้องกันทั่วไปบางส่วนต่อการโจมตีด้วยการปลอมแปลงใน IPv6:
การกรองที่อยู่ MAC
- การกรองที่อยู่ MAC เกี่ยวข้องกับการกำหนดค่าอุปกรณ์เครือข่ายเพื่ออนุญาตการสื่อสารกับที่อยู่ MAC ที่ระบุเท่านั้น
- วิธีนี้จะป้องกันไม่ให้โหนดที่ไม่ได้รับอนุญาตเชื่อมต่อหรือสื่อสารผ่านเครือข่าย
การกำหนดค่า Neighbor Discovery Protocol (NDP) ที่เหมาะสม
- Neighbor Discovery Protocol (NDP) ใน IPv6 มีกลไกในการค้นหาและดูแลรักษาเพื่อนบ้านบนเครือข่าย
- สิ่งสำคัญคือต้องกำหนดค่า NDP อย่างเหมาะสมเพื่อป้องกันการโจมตีด้วยการปลอมแปลง เช่น การจำกัดการยอมรับข้อความประกาศของเพื่อนบ้านเฉพาะเราเตอร์ที่ได้รับอนุญาตเท่านั้น
การตรวจสอบข้อความ NDP
- เพื่อปกป้อง NDP จากการโจมตีการปลอมแปลงเพิ่มเติม สามารถใช้การรับรองความถูกต้องข้อความ NDP ได้
- สิ่งนี้เกี่ยวข้องกับการใช้เทคนิคการเข้ารหัส เช่น ลายเซ็นดิจิทัล เพื่อให้แน่ใจว่าข้อความ NDP มาจากแหล่งที่เชื่อถือได้และไม่ได้รับการแก้ไขระหว่างการส่ง
การปรับใช้ Secure Neighbor Discovery (SEND)
- โปรโตคอล Secure Neighbor Discovery (SEND) เป็นส่วนขยายการรักษาความปลอดภัยสำหรับ NDP ใน IPv6
- SEND จัดเตรียมกลไกการตรวจสอบสิทธิ์และการป้องกันสำหรับข้อความ NDP ซึ่งช่วยป้องกันการโจมตีด้วยการปลอมแปลง และรับประกันความสมบูรณ์และความถูกต้องของการสื่อสาร
การใช้ IPv6 ผ่าน VPN
- การใช้ IPv6 บน VPN ช่วยเพิ่มระดับการรักษาความปลอดภัยด้วยการกำหนดเส้นทางการรับส่งข้อมูล IPv6 ผ่านการเชื่อมต่อที่ปลอดภัย
- ซึ่งจะช่วยปกป้องการสื่อสาร IPv6 จากการโจมตีที่อาจเป็นการปลอมแปลงโดยการเข้ารหัสการรับส่งข้อมูลและรับรองความถูกต้องของการเชื่อมต่อ VPN
การดำเนินการนโยบายความปลอดภัยบนอุปกรณ์เครือข่าย
- การกำหนดค่าและการใช้นโยบายความปลอดภัยบนอุปกรณ์เครือข่าย เช่น ไฟร์วอลล์และระบบป้องกันการบุกรุก ช่วยตรวจจับและบล็อกกิจกรรมที่เป็นอันตรายบนเครือข่าย IPv6
- นโยบายเหล่านี้อาจรวมถึงการตรวจสอบแพ็กเก็ต การตรวจจับความผิดปกติ และการป้องกันการโจมตีด้วยการปลอมแปลงที่ทราบ
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
หนังสือแนะนำสำหรับบทความนี้
หนังสือ IPv6 พร้อม MikroTik, RouterOS v7
เอกสารการศึกษาสำหรับหลักสูตรการรับรอง MTCIPv6E ที่อัปเดตเป็น RouterOS v7