Tiêu đề mở rộng phân mảnh trong IPv6 được sử dụng khi gói vượt quá kích thước truyền tối đa (MTU) của liên kết dọc theo đường dẫn phân phối. Phân mảnh chia gói gốc thành các mảnh nhỏ hơn có thể được truyền qua liên kết mà không vượt quá MTU.
Ở cuối bài viết, bạn sẽ tìm thấy một phần nhỏ thử nghiệm điều đó sẽ cho phép bạn đánh giá kiến thức thu được trong bài đọc này
Phân mảnh
Khi gói IPv6 bị phân mảnh, tiêu đề phân mảnh sẽ được thêm vào đầu mỗi phân đoạn được tạo. Các mảnh được truyền riêng lẻ qua mạng và sau đó được tập hợp lại tại nút đích.
Điều quan trọng cần lưu ý là sự phân mảnh trong IPv6 không phổ biến như trong IPv4. Trong IPv6, định tuyến không phân mảnh được ưu tiên bất cứ khi nào có thể. Điều này có nghĩa là các nút và bộ định tuyến dọc theo đường dẫn phải được cấu hình để xử lý các gói có kích thước MTU đầy đủ và không phân mảnh chúng.
Nếu một gói vượt quá MTU trên một liên kết, nút nguồn sẽ cố gắng khám phá một đường dẫn thay thế hoặc sử dụng các kỹ thuật khám phá MTU để tránh phân mảnh.
Các khía cạnh quan trọng
Trong số các khía cạnh quan trọng nhất của phân mảnh, chúng ta có thể trình bày chi tiết như sau:
Phân mảnh trên nút nguồn
Trong IPv6, việc phân mảnh thường được thực hiện tại nút nguồn khi một gói được tạo ra vượt quá MTU của liên kết đi. Nút nguồn chia gói thành các đoạn nhỏ hơn và thêm tiêu đề mở rộng phân mảnh vào mỗi đoạn.
Mỗi mảnh có tiêu đề phân mảnh riêng với các thông tin như Bù phân mảnh và cờ Phân mảnh khác.
Sự phân mảnh trong quá trình vận chuyển
Không giống như IPv4, nơi các bộ định tuyến có thể phân mảnh các gói đang truyền, trong các bộ định tuyến IPv6 không được phép phân mảnh các gói. Điều này được gọi là “định tuyến không bị phân mảnh”. Bộ định tuyến chỉ cần loại bỏ các gói IPv6 vượt quá MTU của liên kết thay vì phân mảnh chúng. Điều này làm giảm tải xử lý trên bộ định tuyến và cải thiện hiệu quả mạng.
Bộ sưu tập và lắp ráp lại
Việc lắp ráp lại các mảnh được thực hiện trên nút đích. Nút đích sử dụng ID gói và trường Độ lệch phân đoạn để thu thập các phân đoạn liên quan và tập hợp lại gói ban đầu. Cờ More Fragments được sử dụng để xác định thời điểm mảnh cuối cùng đã được nhận và việc lắp ráp lại có thể hoàn tất.
Phân mảnh thành các liên kết khác nhau
Nếu một gói IPv6 cần chuyển qua các liên kết với các MTU khác nhau thì sự phân mảnh chuỗi có thể xảy ra. Trong trường hợp này, nút nguồn sẽ phân mảnh gói gốc thành các mảnh phù hợp với MTU của mỗi liên kết dọc theo đường dẫn. Sau đó, bộ định tuyến sẽ chỉ chuyển tiếp các phân đoạn mà không thực hiện phân mảnh bổ sung.
Tùy chọn phân mảnh
IPv6 cũng bao gồm một tùy chọn phân mảnh được gọi là “Tùy chọn tải trọng Jumbo”. Tùy chọn này được sử dụng để gửi các gói vượt quá kích thước tối đa được MTU cho phép của hầu hết các liên kết. Tùy chọn tải trọng Jumbo cho phép các gói có kích thước lên tới 4 GB được phân mảnh và tập hợp lại.
Phân mảnh và chất lượng dịch vụ (QoS)
Sự phân mảnh trong IPv6 có thể ảnh hưởng đến chất lượng dịch vụ. Khi phân mảnh gói, một số thông tin chất lượng dịch vụ có trong gói gốc có thể bị mất. Điều này có thể gây ra sự suy giảm hiệu suất và mức độ ưu tiên của các phân đoạn trong quá trình tập hợp lại trên nút đích.
Khám phá đường dẫn MTU (PMTUD)
Để tránh sự phân mảnh trong IPv6, cơ chế Path MTU Discovery được sử dụng. PMTUD cho phép các nút nguồn điều chỉnh kích thước gói dọc theo đường dẫn phân phối bằng cách sử dụng MTU thấp nhất được tìm thấy. Điều này ngăn chặn sự phân mảnh và đảm bảo truyền tải hiệu quả mà không làm mất gói tin.
Vấn đề phân mảnh
Sự phân mảnh trong IPv6 có thể gây ra một số hạn chế và vấn đề trong mạng:
- Chi phí xử lý: Việc tập hợp lại các đoạn trên nút đích có thể yêu cầu tài nguyên bộ nhớ và xử lý bổ sung.
- Vân đê bảo mật: Phân mảnh có thể được sử dụng trong các cuộc tấn công từ chối dịch vụ (DoS) và các kỹ thuật ẩn lưu lượng truy cập độc hại. Để giảm thiểu những rủi ro này, một số thiết bị và mạng có thể chặn hoặc lọc các đoạn.
- Khám phá MTU: Vì các bộ định tuyến trong IPv6 không phân mảnh các gói nên điều quan trọng là các nút nguồn phải thực hiện khám phá MTU để xác định MTU thích hợp dọc theo đường dẫn phân phối. Điều này ngăn chặn sự phân mảnh và đảm bảo hiệu quả truyền gói tốt hơn.
Hãy nhớ rằng, mặc dù sự phân mảnh trong IPv6 có thể xảy ra nhưng bạn nên tránh điều đó bất cứ khi nào có thể. Định tuyến không bị phân mảnh và sử dụng khám phá MTU hợp lý là rất quan trọng để đảm bảo hiệu suất tối ưu và giảm thiểu độ phức tạp trong mạng.
Xác thực
Tiêu đề mở rộng Xác thực cung cấp cơ chế xác thực và xác minh tính toàn vẹn của các gói IPv6. Tiêu đề này được đặt sau tiêu đề mở rộng IPv6 và trước tiêu đề tải trọng. Mục đích chính của nó là đảm bảo rằng nguồn gốc và/hoặc nội dung của gói không bị thay đổi trong quá trình truyền.
Quá trình xác thực trong IPv6 với tiêu đề mở rộng Xác thực liên quan đến nguồn gói tạo chữ ký số hoặc mã xác thực tin nhắn bằng khóa bí mật chung hoặc khóa bất đối xứng. Người nhận gói có thể xác minh tính xác thực và tính toàn vẹn của gói bằng cùng một khóa.
Kịch bản
Tiêu đề tiện ích mở rộng Xác thực có thể được sử dụng trong các tình huống và ứng dụng khác nhau yêu cầu mức độ bảo mật và xác thực cao. Dưới đây là một số trường hợp có thể sử dụng tiêu đề này:
- Mạng riêng ảo (VPN): Trong môi trường VPN, nơi các kết nối an toàn được thiết lập qua mạng công cộng, nó có thể được sử dụng để đảm bảo tính xác thực của các gói truyền qua VPN. Điều này đảm bảo rằng các gói hàng đến từ các nguồn đáng tin cậy và không bị sửa đổi trong quá trình vận chuyển.
- Thông tin liên lạc bí mật: Khi dữ liệu bí mật hoặc nhạy cảm, chẳng hạn như thông tin tài chính hoặc y tế, được truyền đi, nó được sử dụng để xác minh rằng dữ liệu không bị thay đổi và đến từ nguồn dự kiến. Điều này cung cấp mức độ bảo mật bổ sung và đảm bảo tính toàn vẹn của dữ liệu được truyền.
- Ngăn chặn các cuộc tấn công lừa đảo: Nó được sử dụng để ngăn chặn các cuộc tấn công lừa đảo. Bằng cách xác thực các gói IPv6, bạn có thể đảm bảo rằng chúng đến từ các nguồn chính xác và tránh chấp nhận các gói giả mạo.
- Xác minh tính toàn vẹn trong các ứng dụng quan trọng: Trong các môi trường mà tính toàn vẹn của dữ liệu là rất quan trọng, chẳng hạn như hệ thống điều khiển công nghiệp hoặc cơ sở hạ tầng quan trọng, giúp đảm bảo rằng các lệnh và dữ liệu điều khiển không bị sửa đổi trong quá trình truyền và đến từ các nguồn được ủy quyền.
Điều quan trọng là việc sử dụng tiêu đề mở rộng Xác thực yêu cầu cơ chế quản lý khóa và cơ sở hạ tầng bảo mật thích hợp. Ngoài ra, cả nguồn và người nhận phải có khả năng thực hiện các hoạt động xác thực cần thiết và chia sẻ khóa bí mật hoặc khóa chung tương ứng.
Tải trọng bảo mật đóng gói
Tiêu đề mở rộng Tải trọng bảo mật đóng gói (ESP) Nó được sử dụng để cung cấp các dịch vụ bảo mật, chẳng hạn như tính bảo mật, tính toàn vẹn và xác thực cho các gói IPv6. Tiêu đề ESP được đặt sau tiêu đề mở rộng IPv6 và trước tải trọng gói. Mục đích chính của nó là bảo vệ dữ liệu gói khỏi bị truy cập trái phép và giả mạo trong quá trình truyền.
Tiêu đề mở rộng ESP cho phép hệ thống nguồn và đích đàm phán các thuật toán mã hóa và các tham số bảo mật được sử dụng để bảo vệ thông tin liên lạc. Các hệ thống có thể đồng ý sử dụng mã hóa đối xứng hoặc bất đối xứng, cũng như xác thực các tin nhắn bằng hàm băm mật mã.
Việc sử dụng tiêu đề mở rộng ESP cho phép bạn bảo mật các thông tin liên lạc nhạy cảm, bảo vệ quyền riêng tư của dữ liệu và ngăn chặn các cuộc tấn công nghe lén và giả mạo. Tuy nhiên, việc triển khai nó đòi hỏi phải có cấu hình và quản trị phù hợp, bao gồm việc thiết lập và quản lý các khóa mã hóa và xác thực.
Tính năng tiêu đề mở rộng ESP
Tiêu đề này có các đặc điểm sau:
- Tích hợp với các dịch vụ bảo mật khác: Tiêu đề ESP có thể được sử dụng cùng với các dịch vụ bảo mật khác để cung cấp mức độ bảo vệ bổ sung. Ví dụ, nó có thể được kết hợp với việc sử dụng VPN (Mạng riêng ảo) để tạo kết nối an toàn giữa các mạng hoặc sử dụng kết hợp với tường lửa và hệ thống phát hiện và ngăn chặn xâm nhập để tăng cường an ninh mạng.
- Ccân nhắc về hiệu suất: Việc sử dụng tiêu đề mở rộng ESP liên quan đến việc xử lý bổ sung trên các thiết bị mạng, điều này có thể ảnh hưởng đến hiệu suất liên lạc. Các thuật toán mã hóa được sử dụng để mã hóa và xác thực dữ liệu có thể yêu cầu tài nguyên tính toán đáng kể, đặc biệt là trong môi trường có lưu lượng truy cập cao. Do đó, điều quan trọng là phải xem xét sự cân bằng giữa bảo mật và hiệu suất mạng khi triển khai tiêu đề ESP.
- Chính sách quản lý và bảo mật khóa: Việc triển khai tiêu đề mở rộng ESP yêu cầu quản lý thích hợp các khóa bảo mật được sử dụng để mã hóa và xác thực. Điều này liên quan đến việc tạo, phân phối và lưu trữ khóa một cách an toàn cũng như thiết lập các chính sách bảo mật để quản lý và cập nhật chúng. Quản lý khóa thích hợp là điều cần thiết để đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu được bảo vệ bởi tiêu đề ESP.
- Tuân thủ tiêu chuẩn: Tiêu đề mở rộng ESP tuân theo các tiêu chuẩn do Lực lượng đặc nhiệm kỹ thuật Internet (IETF) xác định trong RFC 4303. Điều quan trọng là phải tính đến các yêu cầu và đề xuất được thiết lập bởi các tiêu chuẩn để đảm bảo khả năng tương tác và bảo mật khi triển khai tiêu đề ESP.
Bài kiểm tra kiến thức tóm tắt
Bạn nghĩ gì về bài viết này?
Bạn có dám đánh giá kiến thức đã học của mình không?
Cuốn sách được đề xuất cho bài viết này
Sách IPv6 với MikroTik, RouterOS v7
Tài liệu học tập cho Khóa học Chứng chỉ MTCIPv6E được cập nhật lên RouterOS v7