ประเด็นสำคัญ

ในบรรดาประเด็นที่สำคัญที่สุดของการกระจายตัว เราสามารถให้รายละเอียดได้ดังต่อไปนี้:

การกระจายตัวบนโหนดต้นทาง

ใน IPv6 การกระจายตัวมักจะดำเนินการที่โหนดต้นทางเมื่อมีการสร้างแพ็กเก็ตที่เกิน MTU ของลิงก์ขาออก โหนดต้นทางจะแบ่งแพ็กเก็ตออกเป็นส่วนย่อยๆ และเพิ่มส่วนหัวของส่วนขยายการแตกแฟรกเมนต์ให้กับแต่ละส่วน

แต่ละแฟรกเมนต์มีส่วนหัวการแยกแฟรกเมนต์ของตัวเองพร้อมข้อมูล เช่น แฟล็กออฟเซ็ตแฟรกเมนต์ และแฟล็กเพิ่มเติมแฟรกเมนต์

การกระจายตัวระหว่างการขนส่ง

ต่างจาก IPv4 ที่เราเตอร์สามารถแยกส่วนแพ็กเก็ตระหว่างทางได้ ในเราเตอร์ IPv6 ไม่ได้รับอนุญาตให้แยกส่วนแพ็กเก็ต สิ่งนี้เรียกว่า “การกำหนดเส้นทางที่ปราศจากการแยกส่วน” เราเตอร์เพียงปล่อยแพ็กเก็ต IPv6 ที่เกิน MTU ของลิงก์แทนที่จะแยกส่วน ซึ่งจะช่วยลดภาระการประมวลผลบนเราเตอร์และปรับปรุงประสิทธิภาพของเครือข่าย

การรวบรวมและการประกอบกลับคืน

การประกอบชิ้นส่วนอีกครั้งจะดำเนินการบนโหนดปลายทาง โหนดปลายทางใช้ ID แพ็กเก็ตและฟิลด์ Fragment Offset เพื่อรวบรวมแฟรกเมนต์ที่เกี่ยวข้องและประกอบแพ็กเก็ตดั้งเดิมอีกครั้ง แฟล็ก More Fragments ใช้เพื่อกำหนดว่าเมื่อใดที่ได้รับแฟรกเมนต์สุดท้ายและสามารถประกอบใหม่ให้เสร็จสิ้นได้

การแยกส่วนเป็นลิงก์ต่างๆ

หากแพ็กเก็ต IPv6 จำเป็นต้องส่งผ่านลิงก์ที่มี MTU ต่างกัน การกระจายตัวของลูกโซ่อาจเกิดขึ้นได้ ในกรณีนี้ โหนดต้นทางจะแยกแพ็กเก็ตต้นฉบับออกเป็นแฟรกเมนต์ที่เหมาะสมกับ MTU ของแต่ละลิงก์ตามเส้นทาง เราเตอร์จะส่งต่อเฉพาะแฟรกเมนต์โดยไม่ดำเนินการกระจายแฟรกเมนต์เพิ่มเติม

ตัวเลือกการแยกส่วน

IPv6 ยังมีตัวเลือกการกระจายตัวที่เรียกว่า “ตัวเลือก Jumbo Payload” ตัวเลือกนี้ใช้เพื่อส่งแพ็กเก็ตที่เกินขนาดสูงสุดที่ MTU อนุญาตสำหรับลิงก์ส่วนใหญ่ ตัวเลือกเพย์โหลดขนาดจัมโบ้ช่วยให้แพ็กเก็ตที่มีขนาดสูงสุด 4 GB สามารถแยกส่วนและประกอบใหม่ได้

การกระจายตัวและคุณภาพของการบริการ (QoS)

การกระจายตัวใน IPv6 อาจส่งผลต่อคุณภาพของบริการ เมื่อแยกส่วนแพ็กเก็ต คุณภาพข้อมูลการบริการบางส่วนที่มีอยู่ในแพ็กเก็ตดั้งเดิมอาจสูญหาย ซึ่งอาจทำให้ประสิทธิภาพการทำงานลดลงและการจัดลำดับความสำคัญของแฟรกเมนต์ระหว่างการประกอบใหม่บนโหนดปลายทาง

เส้นทาง MTU Discovery (PMTUD)

เพื่อหลีกเลี่ยงการกระจายตัวใน IPv6 จึงมีการใช้กลไก Path MTU Discovery PMTUD อนุญาตให้โหนดต้นทางปรับขนาดแพ็กเก็ตตามเส้นทางการนำส่งโดยใช้ MTU ต่ำสุดที่พบ สิ่งนี้จะป้องกันการแตกแฟรกเมนต์และรับประกันการส่งข้อมูลที่มีประสิทธิภาพโดยไม่สูญเสียแพ็กเก็ต

ปัญหาการกระจายตัว

การกระจายตัวใน IPv6 อาจทำให้เกิดข้อจำกัดและปัญหาบางประการในเครือข่าย:

• • ค่าใช้จ่ายในการประมวลผล: การประกอบชิ้นส่วนบนโหนดปลายทางอีกครั้งอาจต้องใช้ทรัพยากรการประมวลผลและหน่วยความจำเพิ่มเติม
  • ปัญหาด้านความปลอดภัย: การกระจายตัวสามารถใช้ในการโจมตีแบบปฏิเสธการบริการ (DoS) และเทคนิคการซ่อนทราฟฟิกที่เป็นอันตราย เพื่อลดความเสี่ยงเหล่านี้ อุปกรณ์และเครือข่ายบางอย่างอาจบล็อกหรือกรองส่วนย่อย
  • การค้นพบ MTU: เนื่องจากเราเตอร์ใน IPv6 ไม่กระจายแพ็กเก็ต จึงเป็นสิ่งสำคัญที่โหนดต้นทางจะทำการค้นหา MTU เพื่อกำหนด MTU ที่เหมาะสมตามเส้นทางการนำส่ง สิ่งนี้จะป้องกันการแตกแฟรกเมนต์และรับประกันประสิทธิภาพการส่งแพ็คเก็ตที่ดีขึ้น

โปรดทราบว่าแม้ว่า IPv6 จะเกิดการแตกแฟรกเมนต์ได้ แต่ก็แนะนำให้หลีกเลี่ยงทุกครั้งที่เป็นไปได้ การกำหนดเส้นทางที่ปราศจากการแยกส่วนและการใช้การค้นพบ MTU อย่างเหมาะสมมีความสำคัญอย่างยิ่งต่อการรับประกันประสิทธิภาพสูงสุดและลดความซับซ้อนในเครือข่ายให้เหลือน้อยที่สุด

การยืนยันตัวตน

ส่วนหัวส่วนขยายการรับรองความถูกต้องมีกลไกสำหรับการรับรองความถูกต้องและการตรวจสอบความสมบูรณ์ของแพ็กเก็ต IPv6 ส่วนหัวนี้วางอยู่หลังส่วนหัวส่วนขยาย IPv6 และก่อนส่วนหัวของเพย์โหลด วัตถุประสงค์หลักคือเพื่อให้แน่ใจว่าต้นกำเนิดและ/หรือเนื้อหาของแพ็กเก็ตไม่มีการเปลี่ยนแปลงระหว่างการส่ง

กระบวนการตรวจสอบสิทธิ์ใน IPv6 ที่มีส่วนหัวส่วนขยายการตรวจสอบสิทธิ์เกี่ยวข้องกับแหล่งที่มาของแพ็กเก็ตที่สร้างลายเซ็นดิจิทัลหรือรหัสตรวจสอบสิทธิ์ข้อความโดยใช้คีย์ลับที่ใช้ร่วมกันหรือคีย์แบบอสมมาตร ผู้รับแพ็กเก็ตสามารถตรวจสอบความถูกต้องและความสมบูรณ์ของแพ็กเก็ตได้โดยใช้คีย์เดียวกัน

สถานการณ์

ส่วนหัวของส่วนขยายการรับรองความถูกต้องสามารถใช้ได้ในสถานการณ์และแอปพลิเคชันต่างๆ ที่ต้องการความปลอดภัยและการรับรองความถูกต้องในระดับสูง ด้านล่างนี้คือบางกรณีที่สามารถใช้ส่วนหัวนี้ได้:

• เครือข่ายส่วนตัวเสมือน (VPN): ในสภาพแวดล้อม VPN ซึ่งมีการสร้างการเชื่อมต่อที่ปลอดภัยบนเครือข่ายสาธารณะ สามารถใช้เพื่อรับประกันความถูกต้องของแพ็กเก็ตที่เดินทางผ่าน VPN เพื่อให้แน่ใจว่าพัสดุมาจากแหล่งที่เชื่อถือได้และไม่ได้รับการแก้ไขระหว่างการขนส่ง
• การสื่อสารที่เป็นความลับ: เมื่อมีการส่งข้อมูลที่เป็นความลับหรือละเอียดอ่อน เช่น ข้อมูลทางการเงินหรือทางการแพทย์ ข้อมูลดังกล่าวจะถูกนำมาใช้เพื่อตรวจสอบว่าข้อมูลไม่มีการเปลี่ยนแปลงและมาจากแหล่งที่มาที่คาดหวัง สิ่งนี้ให้ระดับความปลอดภัยเพิ่มเติมและรับประกันความสมบูรณ์ของข้อมูลที่ส่ง
• การป้องกันการโจมตีแบบฟิชชิ่ง: มันถูกใช้เพื่อป้องกันการโจมตีแบบฟิชชิ่ง ด้วยการตรวจสอบสิทธิ์แพ็กเก็ต IPv6 คุณสามารถมั่นใจได้ว่าแพ็กเก็ตเหล่านั้นมาจากแหล่งที่ถูกต้องและหลีกเลี่ยงการยอมรับแพ็กเก็ตปลอมแปลง
• การตรวจสอบความสมบูรณ์ในการใช้งานที่สำคัญ: ในสภาพแวดล้อมที่ความสมบูรณ์ถูกต้องของข้อมูลเป็นสิ่งสำคัญ เช่น ระบบควบคุมทางอุตสาหกรรมหรือโครงสร้างพื้นฐานที่สำคัญ ช่วยให้มั่นใจได้ว่าคำสั่งและข้อมูลการควบคุมจะไม่ได้รับการแก้ไขระหว่างการส่งผ่านและมาจากแหล่งที่ได้รับอนุญาต

ที่สำคัญ การใช้ส่วนหัวส่วนขยายการรับรองความถูกต้องจำเป็นต้องมีกลไกการจัดการคีย์และโครงสร้างพื้นฐานด้านความปลอดภัยที่เหมาะสม นอกจากนี้ ทั้งต้นทางและผู้รับจะต้องสามารถดำเนินการตรวจสอบที่จำเป็น และแบ่งปันความลับหรือคีย์สาธารณะที่เกี่ยวข้องได้

เพย์โหลดความปลอดภัยของการห่อหุ้ม

ส่วนหัวของส่วนขยาย เพย์โหลดการรักษาความปลอดภัยแบบห่อหุ้ม (ESP) ใช้เพื่อให้บริการรักษาความปลอดภัย เช่น การรักษาความลับ ความสมบูรณ์ และการรับรองความถูกต้อง ให้กับแพ็กเก็ต IPv6 ส่วนหัว ESP จะถูกวางไว้หลังส่วนหัวส่วนขยาย IPv6 และก่อนเพย์โหลดแพ็กเก็ต วัตถุประสงค์หลักคือเพื่อปกป้องข้อมูลแพ็กเก็ตจากการเข้าถึงโดยไม่ได้รับอนุญาตและการปลอมแปลงระหว่างการส่ง

ส่วนหัวส่วนขยาย ESP ช่วยให้ระบบต้นทางและปลายทางสามารถเจรจาอัลกอริธึมการเข้ารหัสและพารามิเตอร์ความปลอดภัยที่ใช้เพื่อปกป้องการสื่อสาร ระบบสามารถตกลงที่จะใช้การเข้ารหัสแบบสมมาตรหรือไม่สมมาตร รวมถึงตรวจสอบความถูกต้องของข้อความโดยใช้ฟังก์ชันแฮชการเข้ารหัส

การใช้ส่วนหัวส่วนขยาย ESP ช่วยให้คุณสามารถรักษาความปลอดภัยการสื่อสารที่ละเอียดอ่อน ปกป้องความเป็นส่วนตัวของข้อมูล และป้องกันการดักฟังและการแทรกแซงการโจมตี อย่างไรก็ตาม การใช้งานจำเป็นต้องมีการกำหนดค่าและการดูแลระบบที่เหมาะสม รวมถึงการสร้างและจัดการคีย์การเข้ารหัสและการรับรองความถูกต้อง

คุณสมบัติส่วนหัวส่วนขยาย ESP

ส่วนหัวนี้มีลักษณะดังต่อไปนี้:

• บูรณาการกับบริการรักษาความปลอดภัยอื่น ๆ : ส่วนหัว ESP สามารถใช้ร่วมกับบริการรักษาความปลอดภัยอื่นๆ เพื่อเพิ่มระดับการป้องกันได้ ตัวอย่างเช่น สามารถใช้ร่วมกับการใช้ VPN (Virtual Private Network) เพื่อสร้างการเชื่อมต่อที่ปลอดภัยระหว่างเครือข่าย หรือใช้ร่วมกับไฟร์วอลล์และระบบตรวจจับและป้องกันการบุกรุกเพื่อเสริมสร้างความปลอดภัยของเครือข่าย
• Cข้อควรพิจารณาด้านประสิทธิภาพ: การใช้ส่วนหัวส่วนขยาย ESP เกี่ยวข้องกับการประมวลผลเพิ่มเติมบนอุปกรณ์เครือข่าย ซึ่งอาจส่งผลต่อประสิทธิภาพการสื่อสาร อัลกอริธึมการเข้ารหัสที่ใช้ในการเข้ารหัสและรับรองความถูกต้องของข้อมูลอาจต้องใช้ทรัพยากรการคำนวณจำนวนมาก โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่มีการรับส่งข้อมูลสูง ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องพิจารณาความสมดุลระหว่างความปลอดภัยและประสิทธิภาพของเครือข่ายเมื่อใช้ส่วนหัว ESP
• นโยบายการจัดการที่สำคัญและความปลอดภัย: การใช้งานส่วนหัวส่วนขยาย ESP จำเป็นต้องมีการจัดการคีย์ความปลอดภัยที่ใช้สำหรับการเข้ารหัสและการตรวจสอบสิทธิ์อย่างเหมาะสม สิ่งนี้เกี่ยวข้องกับการสร้าง แจกจ่าย และจัดเก็บคีย์อย่างปลอดภัย รวมถึงการกำหนดนโยบายความปลอดภัยสำหรับการจัดการและการอัปเดต การจัดการคีย์ที่เหมาะสมถือเป็นสิ่งสำคัญเพื่อให้มั่นใจถึงการรักษาความลับและความสมบูรณ์ของข้อมูลที่ได้รับการคุ้มครองโดยส่วนหัว ESP
• การปฏิบัติตามมาตรฐาน: ส่วนหัวส่วนขยาย ESP เป็นไปตามมาตรฐานที่กำหนดโดย Internet Engineering Task Force (IETF) ใน RFC 4303 สิ่งสำคัญคือต้องคำนึงถึงข้อกำหนดและคำแนะนำที่กำหนดโดยมาตรฐานเพื่อให้มั่นใจถึงความสามารถในการทำงานร่วมกันและความปลอดภัยในการใช้งานส่วนหัว ESP