ส่วนหัวของส่วนขยายการกระจายตัวใน IPv6 ถูกใช้เมื่อแพ็กเก็ตมีขนาดเกินขนาดการส่งข้อมูลสูงสุด (MTU) ของลิงก์ตามเส้นทางการนำส่ง การแยกส่วนจะแยกแพ็กเก็ตดั้งเดิมออกเป็นส่วนย่อยๆ ที่สามารถส่งผ่านลิงก์ได้โดยไม่เกิน MTU
ในตอนท้ายของบทความคุณจะพบกับสิ่งเล็ก ๆ น้อย ๆ ทดสอบ ที่จะช่วยให้คุณ ประเมิน ความรู้ที่ได้รับจากการอ่านครั้งนี้
fragmentation
เมื่อแพ็กเก็ต IPv6 ถูกแยกส่วน ส่วนหัวของการแตกแฟรกเมนต์จะถูกเพิ่มที่จุดเริ่มต้นของแต่ละแฟรกเมนต์ที่สร้างขึ้น ชิ้นส่วนต่างๆ จะถูกส่งทีละชิ้นผ่านเครือข่าย จากนั้นประกอบกลับคืนที่โหนดปลายทาง
สิ่งสำคัญคือต้องทราบว่าการกระจายตัวใน IPv6 นั้นไม่เหมือนกันใน IPv4 ใน IPv6 แนะนำให้ใช้การกำหนดเส้นทางแบบไม่มีการกระจายตัวทุกครั้งที่เป็นไปได้ ซึ่งหมายความว่าโหนดและเราเตอร์ตามเส้นทางจะต้องได้รับการกำหนดค่าให้จัดการแพ็กเก็ตขนาด MTU เต็มรูปแบบ และไม่แยกส่วน
หากแพ็กเก็ตเกิน MTU บนลิงก์ โหนดต้นทางควรพยายามค้นหาเส้นทางอื่น หรือใช้เทคนิคการค้นหา MTU เพื่อหลีกเลี่ยงการกระจายตัว
ประเด็นสำคัญ
ในบรรดาประเด็นที่สำคัญที่สุดของการกระจายตัว เราสามารถให้รายละเอียดได้ดังต่อไปนี้:
การกระจายตัวบนโหนดต้นทาง
ใน IPv6 การกระจายตัวมักจะดำเนินการที่โหนดต้นทางเมื่อมีการสร้างแพ็กเก็ตที่เกิน MTU ของลิงก์ขาออก โหนดต้นทางจะแบ่งแพ็กเก็ตออกเป็นส่วนย่อยๆ และเพิ่มส่วนหัวของส่วนขยายการแตกแฟรกเมนต์ให้กับแต่ละส่วน
แต่ละแฟรกเมนต์มีส่วนหัวการแยกแฟรกเมนต์ของตัวเองพร้อมข้อมูล เช่น แฟล็กออฟเซ็ตแฟรกเมนต์ และแฟล็กเพิ่มเติมแฟรกเมนต์
การกระจายตัวระหว่างการขนส่ง
ต่างจาก IPv4 ที่เราเตอร์สามารถแยกส่วนแพ็กเก็ตระหว่างทางได้ ในเราเตอร์ IPv6 ไม่ได้รับอนุญาตให้แยกส่วนแพ็กเก็ต สิ่งนี้เรียกว่า “การกำหนดเส้นทางที่ปราศจากการแยกส่วน” เราเตอร์เพียงปล่อยแพ็กเก็ต IPv6 ที่เกิน MTU ของลิงก์แทนที่จะแยกส่วน ซึ่งจะช่วยลดภาระการประมวลผลบนเราเตอร์และปรับปรุงประสิทธิภาพของเครือข่าย
การรวบรวมและการประกอบกลับคืน
การประกอบชิ้นส่วนอีกครั้งจะดำเนินการบนโหนดปลายทาง โหนดปลายทางใช้ ID แพ็กเก็ตและฟิลด์ Fragment Offset เพื่อรวบรวมแฟรกเมนต์ที่เกี่ยวข้องและประกอบแพ็กเก็ตดั้งเดิมอีกครั้ง แฟล็ก More Fragments ใช้เพื่อกำหนดว่าเมื่อใดที่ได้รับแฟรกเมนต์สุดท้ายและสามารถประกอบใหม่ให้เสร็จสิ้นได้
การแยกส่วนเป็นลิงก์ต่างๆ
หากแพ็กเก็ต IPv6 จำเป็นต้องส่งผ่านลิงก์ที่มี MTU ต่างกัน การกระจายตัวของลูกโซ่อาจเกิดขึ้นได้ ในกรณีนี้ โหนดต้นทางจะแยกแพ็กเก็ตต้นฉบับออกเป็นแฟรกเมนต์ที่เหมาะสมกับ MTU ของแต่ละลิงก์ตามเส้นทาง เราเตอร์จะส่งต่อเฉพาะแฟรกเมนต์โดยไม่ดำเนินการกระจายแฟรกเมนต์เพิ่มเติม
ตัวเลือกการแยกส่วน
IPv6 ยังมีตัวเลือกการกระจายตัวที่เรียกว่า “ตัวเลือก Jumbo Payload” ตัวเลือกนี้ใช้เพื่อส่งแพ็กเก็ตที่เกินขนาดสูงสุดที่ MTU อนุญาตสำหรับลิงก์ส่วนใหญ่ ตัวเลือกเพย์โหลดขนาดจัมโบ้ช่วยให้แพ็กเก็ตที่มีขนาดสูงสุด 4 GB สามารถแยกส่วนและประกอบใหม่ได้
การกระจายตัวและคุณภาพของการบริการ (QoS)
การกระจายตัวใน IPv6 อาจส่งผลต่อคุณภาพของบริการ เมื่อแยกส่วนแพ็กเก็ต คุณภาพข้อมูลการบริการบางส่วนที่มีอยู่ในแพ็กเก็ตดั้งเดิมอาจสูญหาย ซึ่งอาจทำให้ประสิทธิภาพการทำงานลดลงและการจัดลำดับความสำคัญของแฟรกเมนต์ระหว่างการประกอบใหม่บนโหนดปลายทาง
เส้นทาง MTU Discovery (PMTUD)
เพื่อหลีกเลี่ยงการกระจายตัวใน IPv6 จึงมีการใช้กลไก Path MTU Discovery PMTUD อนุญาตให้โหนดต้นทางปรับขนาดแพ็กเก็ตตามเส้นทางการนำส่งโดยใช้ MTU ต่ำสุดที่พบ สิ่งนี้จะป้องกันการแตกแฟรกเมนต์และรับประกันการส่งข้อมูลที่มีประสิทธิภาพโดยไม่สูญเสียแพ็กเก็ต
ปัญหาการกระจายตัว
การกระจายตัวใน IPv6 อาจทำให้เกิดข้อจำกัดและปัญหาบางประการในเครือข่าย:
- ค่าใช้จ่ายในการประมวลผล: การประกอบชิ้นส่วนบนโหนดปลายทางอีกครั้งอาจต้องใช้ทรัพยากรการประมวลผลและหน่วยความจำเพิ่มเติม
- ปัญหาด้านความปลอดภัย: การกระจายตัวสามารถใช้ในการโจมตีแบบปฏิเสธการบริการ (DoS) และเทคนิคการซ่อนทราฟฟิกที่เป็นอันตราย เพื่อลดความเสี่ยงเหล่านี้ อุปกรณ์และเครือข่ายบางอย่างอาจบล็อกหรือกรองส่วนย่อย
- การค้นพบ MTU: เนื่องจากเราเตอร์ใน IPv6 ไม่กระจายแพ็กเก็ต จึงเป็นสิ่งสำคัญที่โหนดต้นทางจะทำการค้นหา MTU เพื่อกำหนด MTU ที่เหมาะสมตามเส้นทางการนำส่ง สิ่งนี้จะป้องกันการแตกแฟรกเมนต์และรับประกันประสิทธิภาพการส่งแพ็คเก็ตที่ดีขึ้น
โปรดทราบว่าแม้ว่า IPv6 จะเกิดการแตกแฟรกเมนต์ได้ แต่ก็แนะนำให้หลีกเลี่ยงทุกครั้งที่เป็นไปได้ การกำหนดเส้นทางที่ปราศจากการแยกส่วนและการใช้การค้นพบ MTU อย่างเหมาะสมมีความสำคัญอย่างยิ่งต่อการรับประกันประสิทธิภาพสูงสุดและลดความซับซ้อนในเครือข่ายให้เหลือน้อยที่สุด
การยืนยันตัวตน
ส่วนหัวส่วนขยายการรับรองความถูกต้องมีกลไกสำหรับการรับรองความถูกต้องและการตรวจสอบความสมบูรณ์ของแพ็กเก็ต IPv6 ส่วนหัวนี้วางอยู่หลังส่วนหัวส่วนขยาย IPv6 และก่อนส่วนหัวของเพย์โหลด วัตถุประสงค์หลักคือเพื่อให้แน่ใจว่าต้นกำเนิดและ/หรือเนื้อหาของแพ็กเก็ตไม่มีการเปลี่ยนแปลงระหว่างการส่ง
กระบวนการตรวจสอบสิทธิ์ใน IPv6 ที่มีส่วนหัวส่วนขยายการตรวจสอบสิทธิ์เกี่ยวข้องกับแหล่งที่มาของแพ็กเก็ตที่สร้างลายเซ็นดิจิทัลหรือรหัสตรวจสอบสิทธิ์ข้อความโดยใช้คีย์ลับที่ใช้ร่วมกันหรือคีย์แบบอสมมาตร ผู้รับแพ็กเก็ตสามารถตรวจสอบความถูกต้องและความสมบูรณ์ของแพ็กเก็ตได้โดยใช้คีย์เดียวกัน
สถานการณ์
ส่วนหัวของส่วนขยายการรับรองความถูกต้องสามารถใช้ได้ในสถานการณ์และแอปพลิเคชันต่างๆ ที่ต้องการความปลอดภัยและการรับรองความถูกต้องในระดับสูง ด้านล่างนี้คือบางกรณีที่สามารถใช้ส่วนหัวนี้ได้:
- เครือข่ายส่วนตัวเสมือน (VPN): ในสภาพแวดล้อม VPN ซึ่งมีการสร้างการเชื่อมต่อที่ปลอดภัยบนเครือข่ายสาธารณะ สามารถใช้เพื่อรับประกันความถูกต้องของแพ็กเก็ตที่เดินทางผ่าน VPN เพื่อให้แน่ใจว่าพัสดุมาจากแหล่งที่เชื่อถือได้และไม่ได้รับการแก้ไขระหว่างการขนส่ง
- การสื่อสารที่เป็นความลับ: เมื่อมีการส่งข้อมูลที่เป็นความลับหรือละเอียดอ่อน เช่น ข้อมูลทางการเงินหรือทางการแพทย์ ข้อมูลดังกล่าวจะถูกนำมาใช้เพื่อตรวจสอบว่าข้อมูลไม่มีการเปลี่ยนแปลงและมาจากแหล่งที่มาที่คาดหวัง สิ่งนี้ให้ระดับความปลอดภัยเพิ่มเติมและรับประกันความสมบูรณ์ของข้อมูลที่ส่ง
- การป้องกันการโจมตีแบบฟิชชิ่ง: มันถูกใช้เพื่อป้องกันการโจมตีแบบฟิชชิ่ง ด้วยการตรวจสอบสิทธิ์แพ็กเก็ต IPv6 คุณสามารถมั่นใจได้ว่าแพ็กเก็ตเหล่านั้นมาจากแหล่งที่ถูกต้องและหลีกเลี่ยงการยอมรับแพ็กเก็ตปลอมแปลง
- การตรวจสอบความสมบูรณ์ในการใช้งานที่สำคัญ: ในสภาพแวดล้อมที่ความสมบูรณ์ถูกต้องของข้อมูลเป็นสิ่งสำคัญ เช่น ระบบควบคุมทางอุตสาหกรรมหรือโครงสร้างพื้นฐานที่สำคัญ ช่วยให้มั่นใจได้ว่าคำสั่งและข้อมูลการควบคุมจะไม่ได้รับการแก้ไขระหว่างการส่งผ่านและมาจากแหล่งที่ได้รับอนุญาต
ที่สำคัญ การใช้ส่วนหัวส่วนขยายการรับรองความถูกต้องจำเป็นต้องมีกลไกการจัดการคีย์และโครงสร้างพื้นฐานด้านความปลอดภัยที่เหมาะสม นอกจากนี้ ทั้งต้นทางและผู้รับจะต้องสามารถดำเนินการตรวจสอบที่จำเป็น และแบ่งปันความลับหรือคีย์สาธารณะที่เกี่ยวข้องได้
เพย์โหลดความปลอดภัยของการห่อหุ้ม
ส่วนหัวของส่วนขยาย เพย์โหลดการรักษาความปลอดภัยแบบห่อหุ้ม (ESP) ใช้เพื่อให้บริการรักษาความปลอดภัย เช่น การรักษาความลับ ความสมบูรณ์ และการรับรองความถูกต้อง ให้กับแพ็กเก็ต IPv6 ส่วนหัว ESP จะถูกวางไว้หลังส่วนหัวส่วนขยาย IPv6 และก่อนเพย์โหลดแพ็กเก็ต วัตถุประสงค์หลักคือเพื่อปกป้องข้อมูลแพ็กเก็ตจากการเข้าถึงโดยไม่ได้รับอนุญาตและการปลอมแปลงระหว่างการส่ง
ส่วนหัวส่วนขยาย ESP ช่วยให้ระบบต้นทางและปลายทางสามารถเจรจาอัลกอริธึมการเข้ารหัสและพารามิเตอร์ความปลอดภัยที่ใช้เพื่อปกป้องการสื่อสาร ระบบสามารถตกลงที่จะใช้การเข้ารหัสแบบสมมาตรหรือไม่สมมาตร รวมถึงตรวจสอบความถูกต้องของข้อความโดยใช้ฟังก์ชันแฮชการเข้ารหัส
การใช้ส่วนหัวส่วนขยาย ESP ช่วยให้คุณสามารถรักษาความปลอดภัยการสื่อสารที่ละเอียดอ่อน ปกป้องความเป็นส่วนตัวของข้อมูล และป้องกันการดักฟังและการแทรกแซงการโจมตี อย่างไรก็ตาม การใช้งานจำเป็นต้องมีการกำหนดค่าและการดูแลระบบที่เหมาะสม รวมถึงการสร้างและจัดการคีย์การเข้ารหัสและการรับรองความถูกต้อง
คุณสมบัติส่วนหัวส่วนขยาย ESP
ส่วนหัวนี้มีลักษณะดังต่อไปนี้:
- บูรณาการกับบริการรักษาความปลอดภัยอื่น ๆ : ส่วนหัว ESP สามารถใช้ร่วมกับบริการรักษาความปลอดภัยอื่นๆ เพื่อเพิ่มระดับการป้องกันได้ ตัวอย่างเช่น สามารถใช้ร่วมกับการใช้ VPN (Virtual Private Network) เพื่อสร้างการเชื่อมต่อที่ปลอดภัยระหว่างเครือข่าย หรือใช้ร่วมกับไฟร์วอลล์และระบบตรวจจับและป้องกันการบุกรุกเพื่อเสริมสร้างความปลอดภัยของเครือข่าย
- Cข้อควรพิจารณาด้านประสิทธิภาพ: การใช้ส่วนหัวส่วนขยาย ESP เกี่ยวข้องกับการประมวลผลเพิ่มเติมบนอุปกรณ์เครือข่าย ซึ่งอาจส่งผลต่อประสิทธิภาพการสื่อสาร อัลกอริธึมการเข้ารหัสที่ใช้ในการเข้ารหัสและรับรองความถูกต้องของข้อมูลอาจต้องใช้ทรัพยากรการคำนวณจำนวนมาก โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่มีการรับส่งข้อมูลสูง ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องพิจารณาความสมดุลระหว่างความปลอดภัยและประสิทธิภาพของเครือข่ายเมื่อใช้ส่วนหัว ESP
- นโยบายการจัดการที่สำคัญและความปลอดภัย: การใช้งานส่วนหัวส่วนขยาย ESP จำเป็นต้องมีการจัดการคีย์ความปลอดภัยที่ใช้สำหรับการเข้ารหัสและการตรวจสอบสิทธิ์อย่างเหมาะสม สิ่งนี้เกี่ยวข้องกับการสร้าง แจกจ่าย และจัดเก็บคีย์อย่างปลอดภัย รวมถึงการกำหนดนโยบายความปลอดภัยสำหรับการจัดการและการอัปเดต การจัดการคีย์ที่เหมาะสมถือเป็นสิ่งสำคัญเพื่อให้มั่นใจถึงการรักษาความลับและความสมบูรณ์ของข้อมูลที่ได้รับการคุ้มครองโดยส่วนหัว ESP
- การปฏิบัติตามมาตรฐาน: ส่วนหัวส่วนขยาย ESP เป็นไปตามมาตรฐานที่กำหนดโดย Internet Engineering Task Force (IETF) ใน RFC 4303 สิ่งสำคัญคือต้องคำนึงถึงข้อกำหนดและคำแนะนำที่กำหนดโดยมาตรฐานเพื่อให้มั่นใจถึงความสามารถในการทำงานร่วมกันและความปลอดภัยในการใช้งานส่วนหัว ESP
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
หนังสือแนะนำสำหรับบทความนี้
หนังสือ IPv6 พร้อม MikroTik, RouterOS v7
เอกสารการศึกษาสำหรับหลักสูตรการรับรอง MTCIPv6E ที่อัปเดตเป็น RouterOS v7